Infrastructura critică este un element esențial al vieții de zi cu zi, dar și al siguranței naționale, iar afectarea acesteia, în orice formă, are un efect de mare anvergură asupra climatului economic și social al unei țări. De aceea, companiile de stat sau private care au sub control rețele vaste conectate la IoT au nevoie de soluții de protecție care să le ofere un nivel avansat de siguranță, dar și o vizibilitate sporită a amenințărilor și riscurilor care provin din spațiul cibernetic. Azure Defender for IoT și Darktrace Industrial Immune System sunt două dintre soluțiile de securitate folosite de Safetech.
Instituțiile americane cele mai abilitate (CISA, NSA) recomandă ca organizațiile să realizeze o hartă precisă și detaliată a infrastructurii OT (operational technology). De asemenea, este necesar să utilizeze un set validat de active pentru a investiga și a determina riscurile specifice asociate dispozitivelor OT existente, precum și să implementeze un program de monitorizare continuă și vigilentă a sistemului, cu detectarea anomaliilor.
Azure Defender for IoT este o soluție relativ recent achiziționată de Microsoft, cunoscută în trecut sub numele CyberX. Dezvoltată de o echipă israeliană cu experiență bogată în securizarea mediilor IT industriale, soluția este construită special de către aceștia pentru mediile OT. Azure Defender se implementează foarte ușor și are inclusiv integrare nativă cu cele mai utilizate tehnologii de către echipele de răspuns la incidente (Azure Sentinel, Splunk, ServiceNow etc).
Sistemul poate poate detecta modificări neautorizate în cadrul rețelei, poate detecta protocoalele OT, poate detecta traficul din interiorul protocoalelor OT, structura pachetelor și valorile câmpurilor care nu respectă specificațiile protocoalelor. De asemenea, soluția Azure Defender of IoT poate detecta comportamentul anormal dintr-o zi normală de business și comportamentul unui atacator, poate detecta activitatea malware, poate detecta orice anomalie în cadrul rețelei ascultând traficul și detectând toate echipamentele din cadrul rețelei. Pot fi detectate inclusiv incidente operaționale sau echipamente care s-au defectat.
Implementarea este simplă, la întâlnirea dintre mediul IT și cel OT. Partea de control este plasată în mediul IT – o consolă de administrare centrală. În partea de OT există doar senzori care ascultă traficul generat de pe switch-uri, prin mecanisme de port-mirroring, span sau tap, în funcție de situație.
Amenințările noi, nemaiîntâlnite înainte („zero-days”) evită cu ușurință listele, regulile și semnăturile. Metodele bazate pe informații istorice nu pot ține pasul cu cele mai rapide progrese ale atacatorilor, precum și cu transformările din însăși infrastructura industrială. Darktrace Industrial Immune System este un răspuns la acest tip de provocări. Sistemul valorifică inteligența artificială avansată pentru a identifica în timp real amenințări de tip “zero-days”.
Indiferent de tehnologie și de protocoale, inteligența artificială cu capacitate de autoînvățare evoluează pe măsură ce mediul industrial se schimbă, ceea ce îi permite să rămână cu un pas înaintea atacatorilor.
Darktrace înțelege „modelul normal de viață” în medii industriale individuale și poate detecta amenințări sofisticate prin detectarea unor abateri subtile. Sistemul analizează comportamentul, nu conținutul, ceea ce îi permite să detecteze și să împiedice incidentele anormale, indiferent de sursa amenințării sau de tehnologia specifică compromisă, fie că este vorba de PLC, SCADA, HMI sau orice integrare nouă (de exemplu, IIoT) sau inovație în materie de flux de lucru (de exemplu, ICSaaS).
Safetech utilizează aceste soluții în activitatea sa recurentă de monitorizare și răspuns la incidente, inclusiv pentru clienți din România, dar și pentru clienți din afara țării.