Combinare monitoraggio passivo e attivo in OT e IoT per una migliore cyber resilienza

redazione

Storicamente, per i sensori di sicurezza che monitorano le reti OT e i sistemi ICS nelle infrastrutture critiche, l’unico approccio consentito all’utente finale è stato quello passivo. Per ridurre al minimo i rischi, le condizioni delle reti OT impongono che tali dispositivi non possano essere coinvolti attivamente nel monitoraggio.

Il monitoraggio passivo in tempo reale fornisce visibilità su queste reti senza interferire con il traffico né interrompere le operazioni. Sapere cosa viene comunicato, quando e come, è utile ai fini dell’inventario degli asset, la gestione delle vulnerabilità, la visibilità operativa e la difesa dagli attacchi informatici. Tuttavia, in un contesto di minacce informatiche in continua evoluzione, il solo monitoraggio passivo potrebbe non essere sufficiente.

Con un approccio più completo al monitoraggio, che comprenda anche altre tecniche, è possibile proteggere più efficacemente i propri sistemi OT e IoT.

File di progetto e integrazioni

Ad estensione del monitoraggio passivo, i file di configurazione di progetto del sistema, se disponibili, possono essere importati per arricchire l’inventario degli asset. Il file è un’istantanea di informazioni statiche legate a un sistema specifico. Naturalmente, ci sono delle limitazioni: non sono sempre disponibili poiché alcuni fornitori non condividono queste informazioni e se le informazioni sono aggiornate, i file devono essere reimportati.

Gli ambienti OT e ICS contengono anche una moltitudine di tecnologie di fornitori esterni. Le integrazioni sono necessarie per consolidare le informazioni sugli asset di fornitori terzi con le informazioni esistenti per mantenere aggiornato l’inventario degli asset. Il problema dell’inserimento di dati esterni è che si basa su tecnologie di terze parti che potrebbero non essere sempre disponibili e le diverse fonti potrebbero avere livelli di accuratezza diversi.

Il vantaggio del monitoraggio passivo è che fornisce un informazioni continue della rete basandosi sulla comunicazione esistente. Tuttavia, il monitoraggio passivo presenta delle limitazioni che possono influire sull’inventario accurato delle risorse, valutazione delle vulnerabilità e visibilità dei dispositivi non comunicanti. Per questi motivi, il monitoraggio attivo compensa alcuni dei limiti del monitoraggio passivo.

Monitoraggio attivo

L’introduzione del monitoraggio attivo negli ambienti OT e IoT ha richiesto un cambiamento culturale. La scansione pura comporta un aumento del throughput e un cattivo utilizzo dei cicli della CPU degli endpoint, con possibili ripercussioni su prestazioni e stabilità di rete.

Alcune soluzioni affrontano il problema adottando il monitoraggio attivo tramite query e il monitoraggio attivo tramite sensore su endpoint.

Monitoraggio attivo tramite query e sensore su endpoint

A differenza della scansione classica, il monitoraggio attivo tramite query mira a interrogare i dispositivi in base alla conoscenza delle loro capacità di protocollo, sfruttando messaggi e istruzioni speciali che sono noti per restituire informazioni utili, minimizzando il throughput e senza influire sulla stabilità del dispositivo. Questa è una buona opzione per i dispositivi embedded, dove le soluzioni basate su agenti storicamente non potevano essere ospitate.

Il monitoraggio attivo tramite query è adatto quando sono in uso dispositivi embedded OT/IoT e quando sono in uso soluzioni IT e non è possibile utilizzare un sensore endpoint. Con il monitoraggio attivo tramite query, si ottengono i seguenti vantaggi:

  • Massima visibilità sui dispositivi embedded
  • Maggiore visibilità sui dispositivi Windows / Linux / macOS.
  • Miglioramento della valutazione delle vulnerabilità. Ad esempio, il fornitore, il nome del prodotto e la versione del firmware di una telecamera a circuito chiuso non sono disponibili con il monitoraggio passivo. Recuperando attivamente queste informazioni, si calcolano le vulnerabilità.

Consideriamo ora il monitoraggio attivo tramite sensore su endpoint. La presenza di questo sensore aumenta la visibilità dall’interno dell’endpoint stesso, combinando i rilevamenti di rete, come il monitoraggio del traffico, e l’estrazione di informazioni dell’asset. Questo sensore aggiunge funzionalità che non sarebbero possibili se non da installati sulla macchina obiettivo. Il monitoraggio di massa della rete offerto da un monitoraggio passivo viene integrato da un monitoraggio locale, che trasforma le macchine obiettivo in sensori, compresa la possibilità di eseguire il monitoraggio attivo tramite query attive – di cui sopra- dall’endpoint stesso.

Con il monitoraggio attivo tramite sensore endpoint, si ottengono i seguenti vantaggi:

  • Rilevamenti unici basati sull’host, che garantiscono la massima visibilità sui dispositivi Windows / Linux / macOS.
  • Miglioramento della valutazione delle vulnerabilità
  • Visibilità locale completa grazie al monitoraggio del traffico direttamente dal sensore su endpoint, senza affidarsi a switch o tap.
  • Visibilità completa per gli asset che non comunicano in rete tramite raccolta dati offline.
  • Tutti i vantaggi del “monitoraggio attivo tramite query” da posizione privilegiata, in quanto eseguite dall’endpoint

Gabriele Webber, Product Manager, Nozomi Networks