Os fornecedores de segurança cibernética industrial geralmente falam sobre a descoberta de ativos como se fosse um recurso comoditizado. Para Claroty, isso seria como dizer que os tijolos de uma casa são tão importantes estruturalmente quanto o papel de parede. Neste artigo, vamos nos aprofundar nos três métodos de descoberta de ativos da Claroty, o que torna cada um deles único e como eles funcionam juntos.
O modo como as soluções de segurança cibernética industrial revelam os ativos de rede e seus padrões de comunicação é muitas vezes ignorado pelas razões pelas quais precisamos de visibilidade em primeiro lugar. Escrevemos extensivamente sobre por que a visibilidade total é fundamental para o gerenciamento de riscos em ambientes industriais, bem como sobre as barreiras para alcançá-la. Uma rápida recapitulação nos diria que, sem visibilidade total do ambiente industrial, uma organização não tem uma referência ou linha de base para medir e entender as vulnerabilidades, as ameaças e os riscos resultantes que podem estar presentes nele.
O processo de obtenção de visibilidade total do ambiente industrial costuma ser desafiador devido a uma série de fatores, que vão desde conjuntos de equipamentos antiquados que usam uma infinidade de protocolos de comunicação, muitas vezes proprietários, até configurações de rede complexas e inerentemente inseguras. Essas condições levam a uma realidade em que as empresas têm muito pouco conhecimento sobre o que está realmente conectado à sua rede industrial, tornando a visibilidade abrangente a primeira etapa para melhorar a postura de segurança. O Claroty foi desenvolvido especificamente para revelar redes industriais e começa com nossos três métodos de descoberta de ativos: Monitoramento passivo, consultas ativas e análise de AppDB.
Três aspectos da descoberta de ativos
Pelos motivos mencionados acima, é importante usar várias técnicas de descoberta para obter a visão mais abrangente de sua rede industrial. Por meio de anos de esforços de pesquisa e desenvolvimento, bem como de relações estreitas com vários fornecedores de automação industrial, o Claroty consegue manter o suporte à maior biblioteca de protocolos industriais do setor. Com o respaldo desse calibre de cobertura de protocolos, os três métodos de descoberta de ativos a seguir nos permitem revelar e contextualizar 100% dos ativos conhecidos, mal compreendidos e anteriormente invisíveis. Para nossos clientes, o resultado é um inventário centralizado e sempre atualizado de ativos de TO, IoT e IIoT, bem como de suas linhas de base comportamentais.
Passiva: Essa forma de descoberta de ativos é comum entre os fornecedores de ICS e geralmente é a primeira forma de descoberta que uma empresa empregará para mapear sua rede. Isso se deve ao fato de ser uma maneira segura e simples de obter uma grande quantidade de visibilidade da rede com pouco ou nenhum impacto na rede. O monitoramento passivo de dados funciona reconfigurando um switch na rede industrial com uma porta SPAN, espelho ou monitor para copiar dados e enviá-los para Claroty para processamento. Essa transferência de dados unidirecional garante que o Claroty não cause impacto negativo no ambiente industrial, enquanto reúne informações enriquecidas sobre os ativos da rede, como versão do firmware, números de modelo, dados do slot do rack e arquivos de configuração. O monitoramento passivo também permite que o Claroty identifique riscos e vulnerabilidades presentes nos ativos, como CVEs, ou mostre sinais de comportamento potencialmente errôneo ou mal-intencionado.
Ativas: Para atingir partes mais específicas da rede, como camadas mais profundas e complexas do ambiente, uma empresa pode usar consultas ativas. As consultas ativas permitem que o sistema identifique e extraia dados de dispositivos diretamente e no protocolo que eles foram projetados para aceitar. Por exemplo, o sistema da Claroty pode solicitar informações de um PLC na mesma mensagem de comunicação que vem de uma estação de trabalho de engenharia. A utilização desse método ajuda a garantir que as consultas do Claroty sejam precisas, totalmente seguras e não causem interrupções, pois não sobrecarregam a rede com tráfego desnecessário.
AppDB: esse método exclusivo e não intrusivo de descoberta de ativos permite que o site Claroty ingira e analise diretamente os arquivos de configuração de backup de dispositivos industriais, como PLCs. O AppDB é ideal para partes da rede que são herméticas, não podem ser conectadas diretamente e/ou contêm ativos que não podem ser descobertos por meio de técnicas passivas ou ativas. Ao ingerir arquivos de configuração de backup para esses ativos, o Claroty é capaz de fornecer visibilidade imediata da rede e pode monitorar várias redes simultaneamente, eliminando a necessidade de se conectar a elas.
Por que três técnicas diferentes?
Embora a maioria dos ativos de rede possa ser descoberta em poucos minutos após a implementação do monitoramento passivo, dependendo da frequência com que esses ativos se comunicam, pode levar semanas para mapear completamente os padrões de comportamento. A utilização de uma combinação das três técnicas de descoberta de ativos pode reduzir drasticamente essa linha do tempo e, ao mesmo tempo, proporcionar uma visão mais abrangente do ambiente industrial.
Por exemplo, depois de iniciar uma execução de aquisição de dados passiva, você consegue detectar a maioria dos ativos na rede em questão de minutos com base apenas no tráfego atual da rede. No entanto, sua rede contém ativos que só se comunicam semanalmente e outros que estão em air-gap por motivos de segurança. É nesse ponto que as várias técnicas da descoberta de ativos do Claroty entram em ação.
No caso de ativos que se comunicam com pouca frequência, pode ser difícil avaliar seus padrões de comportamento de forma passiva para criar uma linha de base que permita a detecção de comportamentos anômalos. Sabendo disso, você envia consultas ativas a esses ativos para extrair informações diretamente deles, evitando a longa espera pela próxima comunicação. Para os ativos com air-gap, você envia dados do sistema de backup e restauração da sua empresa para Claroty para que esses dispositivos possam ser identificados e seus dados adicionados ao banco de dados de ativos.
Ao usar esses três métodos em conjunto, você poderá criar e manter de forma rápida e abrangente um banco de dados de ativos constantemente atualizado, completo com informações de ativos enriquecidas, linhas de base comportamentais, CVEs não corrigidos e arquivos de configuração.
