OT Security-Technologien
Die umfassende OT Security-Lösung umfasst zwei zentrale Erfassungstechnologien:
-
Netzwerkerkennung – Die Netzwerkerkennungstechnologie von OT Security ist eine passive Deep-Packet Inspection Engine, die für die einzigartigen Eigenschaften und Anforderungen industrieller Steuerungssysteme entwickelt wurde. Die Netzwerkerkennung bietet detaillierte Echtzeit-Einblicke in alle Aktivitäten, die über das Betriebsnetzwerk durchgeführt werden, mit einem einzigartigen Fokus auf Engineering-Aktivitäten. Dazu gehören Firmware-Downloads/-Uploads, Code-Updates und Konfigurationsänderungen, die über proprietäre, anbieterspezifische Kommunikationsprotokolle stattfinden. Die Netzwerkerkennung warnt in Echtzeit vor verdächtigen/nicht autorisierten Aktivitäten und erstellt ein umfassendes Ereignisprotokoll mit forensischen Daten. Die Netzwerkerkennung generiert drei Arten von Warnungen:
-
Richtlinienbasiert – Sie können vordefinierte Richtlinien aktivieren oder benutzerdefinierte Richtlinien erstellen, die bestimmte granulare Aktivitäten, die auf Cyberbedrohungen oder Betriebsfehler hinweisen, auf die Zulassungsliste und/oder Sperrliste setzen, um Warnungen auszulösen. Es können auch Richtlinien festgelegt werden, um Prüfungen aktiver Abfragen für vordefinierte Situationen auszulösen.
-
Verhaltensanomalien – Das System erkennt Abweichungen von einer Baseline für den Netzwerk-Traffic, die basierend auf Traffic-Mustern während eines bestimmten Zeitraums festgelegt wurde. Außerdem erkennt es verdächtige Scans, die auf Malware und Auskundschaftsverhalten hinweisen.
-
Signaturerkennungsrichtlinien – Diese Richtlinien verwenden signaturbasierte OT- und IT-Bedrohungserkennung, um Netzwerk-Traffic zu identifizieren, der auf Bedrohungen durch Eindringlinge hinweist. Die Erkennung basiert auf Regeln, die in der Threats-Engine von Suricata katalogisiert wurden.
-
-
Aktive Abfrage – Die patentierte Abfragetechnologie von OT Security überwacht Geräte im Netzwerk, indem sie regelmäßig die Metadaten von Kontrollgeräten im ICS-Netzwerk abfragt. Diese Funktionalität verbessert die Fähigkeit von OT Security, alle ICS-Ressourcen, einschließlich untergeordneter Geräte wie SPS und RTUs, automatisch zu erkennen und zu klassifizieren, selbst wenn sie nicht im Netzwerk aktiv sind. Sie identifiziert außerdem lokal implementierte Änderungen in den Metadaten des Geräts (z. B. Firmware-Version, Konfigurationsdetails und Status) sowie Änderungen in jedem Code-/Funktionsblock der Gerätelogik. Da sie schreibgeschützte Abfragen in den nativen Controller-Kommunikationsprotokollen verwendet, ist sie sicher und hat keine Auswirkungen auf die Geräte. Abfragen können regelmäßig nach einem vordefinierten Zeitplan oder nach Bedarf durch den Benutzer ausgeführt werden.