Technologies OT Security
La solution complète OT Security comprend deux technologies de collecte principales :
-
Détection réseau – La technologie de détection réseau OT Security est un moteur passif d'inspection approfondie des paquets, spécialement conçu pour répondre aux caractéristiques et aux exigences uniques des systèmes de contrôle industriels. La détection réseau offre une visibilité approfondie et en temps réel de toutes les activités effectuées sur le réseau opérationnel, avec un accent particulier sur les activités d'ingénierie. Cela inclut les chargements et téléchargements de firmwares, les mises à jour apportées au code et les modifications de configuration effectuées sur des protocoles de communication propriétaires spécifiques au fournisseur. La détection réseau signale en temps réel les activités suspectes/non autorisées et produit un journal complet des événements avec un relevé des preuves. La détection réseau génère trois types d'alertes :
-
Basées sur des politiques – Pour déclencher des alertes, vous pouvez activer des politiques prédéfinies ou créer des politiques personnalisées qui mettent sur liste d'autorisation et/ou liste de blocage des activités spécifiques potentiellement révélatrices de cybermenaces ou d'erreurs opérationnelles. Des politiques peuvent également déclencher des vérifications par requêtes actives pour des situations prédéfinies.
-
Anomalies comportementales – Le système détecte les déviations par rapport à une référence de trafic réseau, établie en fonction de modèles de trafic définis sur une plage de temps spécifiée. Il détecte également les scans suspects pouvant indiquer la présence de malware ou de comportements de reconnaissance.
-
Politiques de détection de signature – Ces politiques détectent les menaces OT et IT basées sur les signatures, afin d'identifier le trafic réseau indiquant des menaces d'intrusion. La détection est basée sur des règles cataloguées dans le moteur de détection de menaces Suricata.
-
-
Requête active (Active Querying) – La technologie d'active querying brevetée de OT Security permet de surveiller les appareils présents sur le réseau, en examinant périodiquement les métadonnées des appareils de contrôle du réseau ICS. Cette technologie améliore la capacité de OT Security à découvrir et à classer automatiquement tous les assets ICS. Cela inclut les appareils de niveau inférieur tels que contrôleurs logiques programmables (PLC) et les unités terminales à distance (RTU), même lorsqu'ils ne sont pas actifs sur le réseau. Elle identifie également les changements locaux dans les métadonnées de l'appareil (par exemple, la version du firmware, les détails de configuration et l'état) ainsi que les changements dans chaque code/bloc fonctionnel de la logique de l'appareil. En utilisant des requêtes en lecture seule dans les protocoles de communication natifs du contrôleur, elle est sûre et n'a aucun impact sur les appareils. Les requêtes peuvent être exécutées périodiquement selon un calendrier prédéfini ou à la demande de l'utilisateur.