OT-BASE ist unser strategisches Softwareprodukt, das den Kunden hilft, ein zuverlässiges und sicheres IIoT zu bauen und sicherzustellen, dass die IT / OT-Konvergenz effizient und glatt ist, anstatt einen Kulturkampf. In vieler Hinsicht ist die Technologie, die wir in OT-BASE einsetzen, ganz anders als die Angebote in der überfüllten Marktnische der OT-Netzwerkverkehrs-Anomalie-Erkennung (mit Firmen wie Claroty, Nexdefense, SecurityMatters und Nozomi). Dies basiert auf einer bewussten Designentscheidung, die in diesem Beitrag erklärt wird.
Was ist los mit der Anomalieerkennung?
Wenn Sie OT-Anomalie-Erkennungstechnologie studiert haben, wie wir es haben (in der Tat haben wir unser eigenes, jetzt veraltetes Produkt auf den Markt zurück im Jahr 2006 eingeführt) Sie sind sich bereits bewusst, dass eines seiner größten praktischen Probleme falsch positiv ist. Aber das ist nur die Oberfläche. Wie jeder OT-Sicherheitsexperte Ihnen sagen kann, reduziert die Anomalie-Erkennung das OT-Sicherheitsproblem auf einen kleinen Aspekt: Der Versuch, Cyber-Attacken im Live-Drahtverkehr zu identifizieren.
Auch wenn das mit 100% Genauigkeit funktionieren würde (es geht nicht aus Gründen, die einen Blogpost in seinem eigenen Recht verdienen würden), wäre es alles, was du tun musst als jemand verantwortlich für OT Sicherheit? Oder wollen Sie noch nicht anfällige Softwareprodukte und Konfigurationen, Infiltrationen über USB-Sticks und Laptops identifizieren und minimieren? Möchten Sie nicht Ihre Angriffsfläche durch Verhärten von Systemen und Protokollen reduzieren, anstatt alle Eier in den Anomalie-Erkennungskorb zu legen? Und schließlich möchten Sie nicht Cyber-Sicherheitsaspekte in das Systemdesign bei der Planung neuer Installationen einführen?
Wahrscheinlich würden Sie, und so tun wir auch. Deshalb haben wir uns einen anderen Ansatz gewählt.
Kontext schlägt Inhalt
Die Nationale Sicherheitsbehörde (NSA) ist weltweit führend bei SIGINT. Wenn diese Organisation mit ihren nahezu unbegrenzten technischen Fähigkeiten sich von der Inhaltsanalyse (von abgefangenen Kommunikationen) entfernt, Es sollte dir etwas sagen Vielleicht hatten sie eine neue geheime Sauce gefunden, die nur bessere Ergebnisse mit weniger Aufwand produziert? Diese geheime Sauce ist Metadaten oder Kontext. Es ist auch das, was wir in OT-BASE verwenden.
Denken Sie an OT-BASE als CMDB auf Steroiden, mit denen Sie komplexe und hybride Beziehungen zwischen digitalen Geräten, ihren Netzwerkverbänden, installierten Software, Nutzern, Mitarbeitern, Geolokalitäten und physikalischen Prozesseigenschaften (Sicherheit, Logistikabhängigkeiten etc.) analysieren können. . Oder anders ausgedrückt, ermöglicht es menschlichen Experten zu entwickeln und dann analysieren ein High-Fidelity-Modell ihrer digitalen OT-Infrastruktur. Während dies mit einer Fülle von Werkzeugen für die Automatisierung (Software-Agenten, Netzwerk-Monitoring-Ausrüstung etc.) kommt, ist die ultimative Ressource in diesem Spiel nicht eine Sammlung von undokumentierten künstlichen Intelligenz Algorithmen, sondern die menschliche Sachverständige, sowohl aus der OT und der IT Seite. Mittlerweile verwenden ICS-Ingenieure den gleichen Datensatz für die Fehlersuche und die Systemdokumentation. Systemdesigner verwenden es, um neue OT-Architekturen anzugeben. Projektingenieure verwenden es, um die Übereinstimmung mit den Spezifikationen während FAT und SAT zu überprüfen. Und so weiter.
Eine zuverlässigere Möglichkeit, Cyberangriffe zu erkennen
Ein solches Systemmodell erlaubt Ihnen auch, Cyber-physische Angriffe zu erkennen, während sie sich entfalten. Wir tun dies, indem wir uns auf die Artefakte konzentrieren, die durch einen Angriff (nicht autorisierte Konfigurationsänderung) erzeugt werden, anstatt zu versuchen, “schlechte”, bösartigen Paketinhalte zu identifizieren, während sie fliegt. Auf diese Weise können wir falsche Positives eliminieren, denn unautorisierte Konfigurationsänderungen sind immer etwas, auf das man achten muss, egal ob es sich um einen Cyber-Angriff oder um einen schlampigen Ingenieur handelt, der sich nicht entschieden hat, dem Konfigurationsänderungsverfahren zu folgen.
Der andere Vorteil ist, dass, da der Kontext transparent ist, Sie sofort wissen, die Kritikalität des Ereignisses und kann beginnen, Indikatoren des Kompromisses durch das Sammeln von passenden Mustern von allen anderen Einrichtungen in Ihrer Flotte zu verarbeiten. Ein Workflow für das Incident Management ist tatsächlich in OT-BASE eingebaut.
Jenseits des Dramas
Aber OT-BASE macht viel mehr für dich. Lass uns ehrlich sein, Cyberangriffe gegen OT sind völlig übertrieben. Die jüngste Raserei von Risikokapitalgebern, die in OT-Sicherheit stürmen, war nicht auf eine stark gestiegene Marktnachfrage zurückzuführen, sondern auf die Tatsache, dass der IT-Sicherheitsmarkt weitgehend genommen wird. Darum bewegt sich das Risikokapital von der Innenstadt in die Vorstädte und produziert eine Reihe von Lösungen, für die nur wenige Kunden glauben, dass sie ein passendes Problem haben.
Was ist ein schnell wachsendes Problem in der realen Welt und eine Marktchance zugleich ist das schnelle Wachstum des IIoT. Und da kommt OT-BASE wieder herein. Fragen Sie sich, was eine Organisation tun muss, wenn sie planen, ihre Anzahl an digitalen Geräten auf dem Werksboden um eine Größenordnung zu erweitern und damit eine exponentielle Zunahme des Datenverkehrs zu bewältigen. Kurz gesagt, eine solche Organisation, die Wettbewerbsfähigkeit und Wohlstand auf die Zuverlässigkeit dieser hyperkomplexen Infrastruktur setzt, hat einen soliden Plan, wie man alle wichtigen Teile davon steuert – Hardwarekonfiguration, Softwarekonfiguration, Netzwerkarchitektur, Benutzer, Prozess und Geschäftskritik – beginnend in der Planungsphase. Das machen wir in OT-BASE.
Um mehr über OT-BASE zu erfahren, fragen Sie nach unserer umfangreichen Broschüre und einer Web-Demo.