endpoint funktionieren in der OT nicht, weil sie schwergewichtig und störend sind, IoT nicht verstehen und nicht für OT geschult sind, sodass sie die falschen Bedrohungen erkennen.

Endpoint sind ein Standardbestandteil von IT-Sicherheitsimplementierungen, nicht nur auf Desktop-Computern, Laptops und Druckern, sondern auch auf der explosionsartigen Zunahme von IoT und Remote-Geräten. Sie sind für den Virenschutz und das Patching unerlässlich. Leider haben negative Erfahrungen mit der Bereitstellung von IT-fokussierten Agenten auf OT dazu geführt, dass die dringend benötigte endpoint nur selten eingesetzt wird.

Hier sind einige der Hauptgründe, warum herkömmliche endpoint in industriellen Umgebungen versagen:

1. Schwergewichtig und disruptiv

Viele OT und -Steuerungen verfügen nur über eine begrenzte Rechenleistung und einen begrenzten Speicher, der für die Ausführung bestimmter Aufgaben ausgelegt ist. Selbst Standard-Virenschutzagenten verbrauchen zu viele Ressourcen. Außerdem erfordern endpoint nach der Installation in der Regel einen Neustart des Systems, was zu Ausfallzeiten führt.

2. Falsche Drohungen

Herkömmliche Schwachstellen-Scanner und Intrusion-Prevention-Systeme sind darauf ausgelegt, IT-Bedrohungen mithilfe von Heuristiken und maschinellen Lernmodellen zu erkennen, die auf IT-Umgebungen trainiert wurden. Sie suchen nicht nach industriellen Bedrohungen, verstehen keine industriellen Kommunikationsprotokolle und erkennen keine OT . Anti-Viren-Lösungen bieten zwar Einblick in Workstations, aber keine Einsicht in industrielle Steuerungen und Aktoren. Einige der Folgen sind, dass technische Hardware nicht mehr reagiert, legitime Sicherheitsprotokolle oder Steuersystembefehle als bösartig eingestuft werden, ein Prozess angehalten oder eine kritische Anwendung gelöscht wird, die als Malware erkannt wird.

3. Zugriff auf Kernel-Ebene

Am 19. Juli 2024 kam es zu massiven, weltweiten Ausfällen auf Windows-Geräten, und das inzwischen berühmt-berüchtigte fehlerhafte Inhalts-Update des endpoint von CrowdStrike hat die OT noch mehr davon abgehalten, Agenten in industriellen Umgebungen einzusetzen.

Dieser Vorfall macht deutlich, wie wichtig es ist, sicherzustellen, dass endpoint , die zum Schutz der einzigartigen Hochverfügbarkeitsanforderungen für OT entwickelt wurden, sicher und störungsfrei arbeiten.

Der im Jahr 2023 veröffentlichte Nozomi Arc arbeitet nicht auf der Kernel-Ebene des Host-Betriebssystems, startet Ihre Rechner nicht neu und verbraucht nur sehr wenig Systemressourcen.

Sichere und wirksame Endpoint für OT

Nozomi Arc ist ein sicherer, unterbrechungsfreier Sicherheitsagent, der speziell für den Schutz der einzigartigen Hochverfügbarkeitsanforderungen von OT entwickelt wurde. Er bringt Licht in einst unerreichbare, unüberwachte Bereiche Ihrer Umgebung, in denen Netzwerksensoren nicht praktikabel sind oder nicht ausreichen, um Ost-West-Verkehr, USB-Ports, Protokolldateien, lokalen Netzwerkverkehr und Benutzeraktivitäten zu erkennen. 

Die Vorteile umfassen:

• Liefert detaillierte Daten wie Gerätetyp, Hersteller, Betriebssystem oder Firmware-Version, Seriennummer, IP- und Mac-Adressen, Knoten, Zonen, verwendete Protokolle, aktive Konten und verdächtige Benutzeraktivitäten.
• Erkennt Bedrohungen wie infizierte Laptops von Drittanbietern. Bedienerfehler, böswillige Insider-Bedrohungen und gestohlene Anmeldedaten
• Analysiert Ereignismuster in Host-Protokolldateien mithilfe von SIGMA-Regeln und erkennt laufende Ereignisse wie Malware, Diebstahl von Anmeldeinformationen, Skript-Downloads und mehr. Dieser Kontext ist sowohl für Betreiber als auch für Sicherheitsanalysten nützlich.
• Die Betreiber erhalten Informationen zur Fehlerbehebung, die sie bisher nicht kannten, was einen großen Beitrag zum Aufbau von Vertrauen leistet. Mit endpoint können sie nicht nur Konfigurationsänderungen und Anomalien erkennen, sondern auch, wer sich bei einem Gerät angemeldet hat, mit welchen anderen Geräten es kommuniziert und welche Protokolle es verwendet.

Die wichtigsten Anwendungsfälle fürEndpoint

1. Strategischer Einsatz bei Kronjuwelen

Angenommen, die Netzwerküberwachung ist für Ihre Umgebung zu aufwendig, aber Sie müssen dennoch wichtige Ressourcen schützen. Mit Endpoint können Sie Agenten nur auf diesen Anlagen einsetzen, um das zu überwachen, was am wichtigsten ist. Sie können mit wenigen Klicks und ohne Neustart auf Hunderten von wichtigen Endpunkten installiert werden.

2. Schnellere, problemlose Bereitstellung

Angenommen, Sie haben ein abgelegenes Umspannwerk, in dem die Switches nur während eines einstündigen jährlichen Stromausfalls - im nächsten Februar - neu konfiguriert werden können. Oder vielleicht haben Sie es mit einem 12 Jahre alten Leitungs-Switch zu tun, der keine freien Ports mehr hat. Auch hier können Sie einfach endpoint installieren, ohne einen Neustart durchzuführen.

3. Netzwerk mit geringer Bandbreite und hoher Latenz

Frachtschiffe sind hervorragende Kandidaten für endpoint . Sie sind für die Konnektivität auf Satelliten angewiesen, und es ist fast unmöglich, eine Verkabelung zu installieren.

4. Einmalige oder kurzfristige Überwachung

Nehmen wir an, Sie möchten nur den Vertragstechniker überwachen, während er eingesteckt ist. Sie können einen endpoint installieren, um den Rechner zu überwachen, mit dem er verbunden ist, und ihn so konfigurieren, dass er sich selbst löscht, wenn er sich abmeldet.

5. Überwachung von Offline-Geräten

Nozomi Arc sammelt Daten lokal, auch wenn das Host-Gerät keinen Datenverkehr sendet oder empfängt, und sendet sie weiter, wenn sich der Benutzer mit dem Netzwerk verbindet. Dies ist ein großartiger Weg, um detaillierte Audit Trails von Feldgeräten und mobilen Mitarbeitern zu erhalten.