Однією з ключових здібностей для досягнення ситуаційної обізнаності є постійне виявлення загроз. В умовах посилення регулятивного контролю, збільшеної кількості порушень ланцюжків постачання та геополітичних конфліктів, організаціям потрібна всебічна картинка того, як встановлювати пріоритети та розвивати потенціал у галузі кібербезпеки. Раніше виявлення включало лише сигнатури та аналіз типів атак, але зараз вони поєднують комплексні методи виявлення аномалій і використання машинного навчання для більш проактивного та контекстного виявлення подій та інцидентів у сфері безпеки. Технологія безперервного моніторингу є фундаментом ефективної кібербезпеки в ОТ. Вона забезпечує контекст та видимість активів та мережеві звʼязки в режимі реального часу. Крім того, додаткові функції, такі як виявлення вразливостей та Threat Intelligence, допомагають виявляти потенційні загрози та аномалії ще до моменту їх ескалації.
Впровадження технології безперервного моніторингу надає командам безпеки ситуативну обізнаність щодо їхніх ОТ-середовищ, що призводить до:
1. Скорочення часу простою: маючи реальний часовий контекст подій в ОТ-середовищі, команди безпеки можуть активно реагувати на загрози та аномалії, мінімізуючи фінансові та репутаційні наслідки кібератак.
2. Покращеної інвентаризації активів: безперервний моніторинг забезпечує докладну інвентаризацію активів, що дозволяє більш ефективно обслуговувати їх та управляти ризиками.
3. Відповідності нормативним вимогам: багато галузей промисловості підпадають під суворі нормативні акти, які регулюють безпеку критичної інфраструктури. Безперервний моніторинг забезпечує необхідну видимість та можливості звітності, щоб підтвердити відповідність вимогам.
4. Ефективного реагування на інциденти: у разі виникнення події, пов'язаної з безпекою, інструменти безперервного моніторингу допомагають командам швидко визначити джерело проблеми та вжити відповідних заходів для її локалізації та усунення.
5. Операційної стійкості: безперервний моніторинг допомагає операційним командам виявляти та усувати проблеми з мережею або зв'язком до того, як вони вплинуть на доступність або безпеку системи.

Підходи до моніторингу операційних технологій (OT)

Операційні технології (OT) відрізняються від традиційних ІТ-систем підвищеною складністю управління та моніторингу, яка зумовлена наявністю великої кількості спеціалізованих пристроїв OT та Інтернету речей (IoT) з унікальними протоколами та вимогами безпеки. Крім того, установка патчів та виправлень рідко можуть бути автоматизованими, що ускладнює управління вразливостями.
Хоча щоденно виявляються нові вразливості, найпоширенішими причинами інцидентів є використання слабких паролів, недостатня безпекова практика та неправильні конфігурації. Порушень, що виникають через людську помилку або відсутність процедур безпеки, цілком можна уникнути шляхом покращення видимості та обізнаності в процесах ОТ-середовища. Налаштування мережі є першим кроком до покращення безпеки в реальному середовищі.
Згідно з NIST SP 800-82 Rev 3, безперервний моніторинг може бути реалізовано через автоматизовані інструменти, що включають пасивне сканування або можливості ручного аналізу. Наприклад, оцінка ризиків може визначити, що журнали ізольованих (тобто не пов'язаних з мережею), некритичних пристроїв повинні щомісяця переглядатися персоналом з технічного обслуговування, щоб визначити, чи відбувається аномальна поведінка. Крім того, пасивний мережевий моніторинг може виявити вразливі мережеві служби без необхідності активного сканування пристроїв.

1. Управління активамиПлатформа повинна ідентифікувати всі активи в середовищі, зокрема OT- та IoT-пристрої, і враховувати їх дані, такі як IP-адреси, виробники, встановлене програмне забезпечення та зони розміщення. Ця інформація допомагає зрозуміти контекст активів та покращує пріоритизацію ризиків.
2. Виявлення вразливостейПлатформа повинна виявляти вразливості в операційних системах, додатках і мікропрограмах для визначення пріоритетів виправлень. Крім того, вона повинна надавати детальну інформацію про кожну вразливість для подальшого виявлення та усунення проблем.
3. Виявлення загрозПлатформа повинна використовувати сигнатури та методи аналізу на основі поведінки для виявлення підозрілої активності. Вона повинна оновлюватися найновішими даними про загрози та мати можливість класифікувати їх для ефективного аналізу.
4. Виявлення аномалійПлатформа повинна виявляти відхилення від нормальної поведінки пристроїв та їх комунікацій, а також зміни в процесах. Це допомагає вчасно виявити аномальну активність та вжити заходів.
5. Прогностична аналітикаЗнання про активи, виявлення вразливостей, загроз та аномалій можна автоматизувати за допомогою машинного навчання. Це дозволяє збирати та аналізувати значну кількість даних, щоб завчасно виявляти та запобігати виникненню проблем.
Використання платформи безперервного моніторингу OT- та IoT-мереж дозволяє зміцнити кібербезпеку та забезпечити надійність операційних технологій. Так ви зможете отримувати актуальну інформацію про стан систем і приймати критично важливі рішення для розв'язання проблем. Платформа Nozomi Networks відповідає цим потребам, забезпечуючи постійний моніторинг безпеки для операційних технологій, виявлення загроз і аномалій та реагування на інциденти.