Los agentes de seguridad endpoint de TI no funcionan en OT porque son pesados y perturbadores, no pueden entender los protocolos IoT y no están formados en entornos OT , por lo que detectan las amenazas equivocadas.

Los agentes de seguridad Endpoint son una parte estándar de los despliegues de seguridad informática, no solo en ordenadores de sobremesa, portátiles e impresoras, sino también en la explosión de dispositivos IoT y remotos. Son esenciales para la protección antivirus y la aplicación de parches. Lamentablemente, las experiencias negativas de despliegue de agentes centrados en TI en dispositivos OT han llevado a una escasa adopción de la tan necesaria supervisión de endpoint finales.

Estas son algunas de las principales razones por las que los agentes de endpoint tradicionales se quedan cortos en entornos industriales:

1. Pesado y disruptivo

Muchos dispositivos y controladores OT tienen una potencia de cálculo y una memoria limitadas, diseñadas para realizar tareas específicas. Incluso los agentes antivirus estándar consumen demasiados recursos. Las soluciones de seguridad de TI endpoint también suelen requerir un reinicio del sistema tras la instalación, lo que implica tiempo de inactividad.

2. Amenazas erróneas

Los sistemas tradicionales de exploración de vulnerabilidades y prevención de intrusiones están diseñados para detectar amenazas informáticas utilizando modelos heurísticos y de aprendizaje automático entrenados en entornos informáticos. No buscan amenazas industriales, no entienden los protocolos de comunicación industrial y no reconocen las líneas de base OT . Por ejemplo, mientras que las soluciones antivirus ofrecen visibilidad de las estaciones de trabajo, no pueden proporcionar información sobre los controladores y actuadores industriales. Algunas de las consecuencias pueden ser que el hardware de ingeniería deje de responder, que se marquen como maliciosos protocolos de seguridad legítimos o comandos del sistema de control, que se detenga un proceso o que se elimine una aplicación crítica que se perciba como malware.

3. Acceso a nivel del núcleo

Al causar interrupciones masivas en todo el mundo en los dispositivos Windows el 19 de julio de 2024, la ahora famosa actualización de contenido defectuoso del sensor de endpoint Falcon de CrowdStrike hizo que las partes interesadas OT desconfiaran aún más del despliegue de agentes en entornos industriales.

Este incidente pone de relieve lo importante que es garantizar que los agentes de seguridad endpoint creados para proteger los requisitos exclusivos de alta disponibilidad de los entornos OT sean seguros y no sufran interrupciones.

Lanzado en 2023, Nozomi Arc no opera a nivel del núcleo del sistema operativo anfitrión, nunca reiniciará sus máquinas y consume muy pocos recursos del sistema.

Seguridad de Endpoint segura y eficaz para dispositivos OT

Nozomi Arc es un agente de seguridad seguro y no disruptivo diseñado específicamente para proteger los requisitos exclusivos de alta disponibilidad de los terminales OT . Arroja luz sobre áreas de su entorno que antes eran inalcanzables y no estaban supervisadas, donde los sensores de red no son prácticos o son insuficientes para detectar el tráfico Este-Oeste, los puertos USB, los archivos de registro, el tráfico de red local y la actividad de los usuarios. 

Los beneficios incluyen:

• Proporciona datos detallados, como el tipo de dispositivo, el proveedor, la versión del sistema operativo o del firmware, el número de serie, las direcciones IP y Mac, los nodos, las zonas, los protocolos utilizados, las cuentas activas y la actividad sospechosa de los usuarios.
• Detecta amenazas como ordenadores portátiles infectados de terceros. Errores del operador, amenazas internas maliciosas y credenciales robadas.
• Analiza patrones de eventos en archivos de registro de host mediante reglas SIGMA y detecta eventos en curso relacionados con malware, robo de credenciales, descarga de scripts y mucho más. Este contexto es útil tanto para operadores como para analistas de seguridad.
• Proporciona a los operadores información sobre resolución de problemas que nunca habían tenido, lo que contribuye en gran medida a generar confianza. Con los sensores de endpoint , pueden ver no solo los cambios de configuración y las anomalías, sino también quién ha iniciado sesión en un dispositivo, con qué otros dispositivos se comunica y qué protocolos utiliza.

Principales casos de uso de los sensores deEndpoint OT

1. Despliegue estratégico en las joyas de la Corona

Supongamos que la supervisión de la red es excesiva para su entorno, pero aún tiene activos críticos que proteger. Los sensores de Endpoint le permiten desplegar agentes sólo en esos activos, para supervisar lo que más importa. Pueden instalarse en cientos de puntos finales clave con unos pocos clics y sin reiniciar.

2. Despliegue más rápido y sin complicaciones

‍Supongamosque tiene una subestación remota en la que los conmutadores sólo pueden reconfigurarse durante una interrupción anual de una hora, el próximo mes de febrero. O tal vez tenga que lidiar con un conmutador de línea de 12 años de antigüedad sin puertos libres. De nuevo, basta con instalar sensores de endpoint sin reiniciar.

3. Red de bajo ancho de banda y alta latencia

Los buques de carga son los principales candidatos para los sensores de endpoint . Dependen de los satélites para la conectividad, y es casi imposible desplegar cableado.

4. Control puntual o a corto plazo

Supongamos que sólo desea supervisar a ese técnico contratado mientras está conectado. Puede instalar un sensor de endpoint para supervisar la máquina a la que está conectado y configurarlo para que se borre cuando se desconecte.

5. Supervisión de dispositivos fuera de línea

Nozomi Arc recopila datos localmente, incluso cuando el dispositivo host no está enviando ni recibiendo tráfico, y los envía cuando el usuario se conecta a la red. Esta es una excelente forma de obtener registros de auditoría detallados de los dispositivos de campo y los trabajadores móviles.