Hubo un tiempo en que se creía que los ICS utilizados en la industria, el transporte, los servicios públicos, la energía y las infraestructuras críticas eran inmunes a los ciberataques porque los ordenadores que los manejaban no tenían acceso a Internet y estaban separados de la red corporativa. El riesgo de amenazas del Estado-nación, espionaje y exposición interna está aumentando.

Los administradores de sistemas y redes, los proveedores externos y los desarrolladores e integradores de sistemas industriales tienen distintos niveles de acceso a Internet y a la gestión de ICS. Este acceso más amplio ha creado involuntariamente una vía de entrada para los atacantes. Por ejemplo, un contratista puede traer un portátil infectado, conectarse a la red y el ataque puede propagarse al entorno ICS controlado.

La creciente prevalencia de dispositivos industriales conectados al IoT ha aumentado drásticamente la superficie de ataque de los ICS. Más de un millón de dispositivos ICS fueron accesibles de forma remota en Internet entre 2012 y 2014, según el estudio Project SHINE (SHodan INtelligence Extraction).

Más allá de los riesgos de la conectividad a Internet, cada vez más dispositivos ICS ejecutan sistemas operativos comerciales, lo que expone al ICS a una mayor variedad de vulnerabilidades conocidas.

La conectividad e integración de la tecnología de la información tradicional con la tecnología operativa -convergencia TI/OT- está aumentando exponencialmente. La adopción de IoT y la convergencia IT/OT se ven aceleradas por un entorno empresarial en rápida evolución y el uso de IA para impulsar decisiones y acciones en entornos ICS.

Refuerce su infraestructura de seguridad actual con Nozomi y Vectra

Ya sea proporcionando la inteligencia para bloquear una nueva clase de amenaza con cortafuegos, seguridad de puntos finales, NAC y otros puntos de aplicación, o proporcionando un punto de partida claro para una búsqueda más amplia con SIEM y herramientas forenses, Vectra y Nozomi le ofrecen más valor a partir de las tecnologías de seguridad existentes.

Las robustas API de Cognito y Nozomi automatizan la respuesta y la aplicación con prácticamente cualquier solución de seguridad. Ambos generan mensajes syslog y registros CEF para todas las detecciones, así como puntuaciones de host priorizadas. Esto hace que Cognito y Nozomi sean mucho más que otra fuente de registros y proporciona un desencadenante ideal para investigaciones y flujos de trabajo dentro de su SIEM.

Principales ventajas de la integración

Juntos, Nozomi y Vectra reducen los riesgos cibernéticos de los ICS

• Visibilidad completa de las amenazas a lo largo de todo el ciclo de vida del ataque: la integración de Cognito y Nozomi proporciona una visión crítica de las amenazas específicas, así como de la progresión de los ataques a lo largo de todo el ciclo de vida del ataque. Esta visibilidad permite a los equipos de seguridad distinguir rápidamente los comportamientos oportunistas de las redes de bots de las amenazas selectivas más graves y tomar medidas antes de que los datos sean robados o dañados.
• Cognito y Nozomi asocian automáticamente todos los comportamientos maliciosos a la red física y a los hosts de TI y OT para presentar una visión completa del riesgo global de la organización.
• Asignación automatizada de detecciones de Cognito y Nozomi a SIEM: las detecciones de Cognito y Nozomi pueden correlacionarse en su SIEM, lo que permite a los analistas de seguridad ver inmediatamente los eventos de Cognito y Nozomi. Ahora, los equipos de seguridad pueden correlacionar y rastrear adecuadamente todos los comportamientos y eventos tanto en los dispositivos de TI como en los de IoT.

Fabricantes, operadores de transporte, servicios públicos, energía e infraestructuras críticas pueden utilizar Nozomi y Vectra para eliminar los puntos ciegos de sus redes industriales. Las organizaciones pueden adelantarse a las crecientes amenazas malware que afectan tanto a los dispositivos de TI como a los de OT y mitigar el riesgo de interrupción operativa, robo de datos u otros daños debidos a ciberataques.

Falta de visibilidad de las amenazas

La falta de visibilidad es uno de los principales impedimentos para proteger los ICS. Los equipos de seguridad necesitan conocer todos los activos conectados e interconectados, las configuraciones y la integridad de las comunicaciones para proteger con éxito las infraestructuras críticas. Grandes equipos de analistas de seguridad deben realizar análisis manuales que consumen mucho tiempo para identificar ataques o comportamientos no aprobados dentro de un entorno regulado por ICS. Un enfoque manual simplemente no es una forma escalable, eficiente o eficaz de avanzar.

La visibilidad dentro de las redes de TI y OT que se adapta a la dinámica de crecimiento y cambio es fundamental. Las organizaciones necesitan tecnología que automatice el análisis en tiempo real de las comunicaciones, los dispositivos, los administradores y los comportamientos humanos en una red IT/OT convergente para detectar ataques intencionados o consecuencias no intencionadas.

Visibilidad en tiempo real y detección de amenazas para redes industriales

Debido a la naturaleza especializada de los ICS y a las diferencias en el funcionamiento de las redes de TI y OT, la respuesta adecuada para una visibilidad completa en un entorno de TI/OT es la mejor tecnología de su clase que comprenda el funcionamiento interno de cada entorno, no una solución genérica adaptada para funcionar en ambos.Esta es la razón por la que Vectra y Nozomi están trabajando juntos para proporcionar a las organizaciones una visibilidad total de todos sus activos, lo que permite una caza de amenazas completa en todos los activos de TI y OT.Juntos, Nozomi y Cognito proporcionan información en tiempo real sobre el comportamiento de cada dispositivo en una red de TI/OT, con la capacidad de transferir esta información a un punto central, de modo que los comportamientos de la red puedan correlacionarse para obtener una imagen completa del ciclo de vida del ataque.