Kaspersky ha lanciato la nuova funzionalità EDR di Kaspersky Industrial CyberSecurity. Con questa, i clienti possono avere una visibilità immediata sugli incidenti di sicurezza delle tecnologie operative (Operational Technologies – OT) ed eseguire azioni di risposta.
La soluzione aiuta anche a rivelare i punti deboli nascosti nelle reti, sia che si tratti di vulnerabilità, configurazioni errate o non conformità con policy e normative. Grazie alle nuove funzionalità di polling attivo e alla mappa della topologia fisica, le aziende possono vedere ancora meglio gli asset della rete OT e le loro interconnessioni.
Queste nuove funzionalità e la maggiore integrazione di Kaspersky Industrial CyberSecurity for Nodes e Kaspersky Industrial CyberSecurity for Networks migliorano notevolmente la visibilità e il controllo delle reti OT, la conformità e la protezione dalle minacce.
La convergenza di IT e OT porta un numero crescente di connessioni, dispositivi e servizi alle organizzazioni industriali. Garantire controllo, disponibilità, sicurezza e conformità richiederà una nuova generazione di soluzioni di cybersecurity dedicate.
Secondo le previsioni di IDC Worldwide IT/OT Convergence 2022, entro il 2024 il 30% delle aziende del settore industriale integrerà strumenti di gestione della sicurezza centralizzati per colmare il divario IT/OT. La nuova piattaforma Kaspersky Industrial Cybersecurity si inserisce in questa tendenza.
Attraverso l'EDR di Kaspersky Industrial CyberSecurity for Nodes, un team di cybersecurity può tracciare le attività dannose, analizzare la causa principale attraverso la visualizzazione del percorso di diffusione degli attacchi ed eseguire azioni di risposta sui computer SCADA e sulle workstation degli operatori.
Il prodotto offre un'ampia gamma di azioni di risposta che non influiscono sul processo industriale a meno che non vi sia un intervento esplicito dell'operatore, tra cui la quarantena o la rimozione di un oggetto dannoso, il divieto di eseguire un processo malevolo in futuro e così via.
Per garantire che la minaccia non si diffonda ad altri computer, gli specialisti della sicurezza possono creare indicatori di compromissione (IoC) o artefatti per dimostrare che un sistema è stato violato ed eseguire una risposta cross-endpoint basata su questi IoC.
La funzionalità EDR viene fornita come parte di Kaspersky Industrial CyberSecurity for Nodes, senza la necessità di installare hardware aggiuntivo. Funziona su qualsiasi sistema operativo, compreso Windows XP, ed è ottimale per le reti industriali in quanto non le sovraccarica di traffico e non ha alcun impatto sugli host ICS. Inoltre, non richiede competenze specifiche da parte degli amministratori della sicurezza IT o OT.
Con Kaspersky Industrial CyberSecurity for Networks, i clienti possono implementare un approccio alla cybersecurity orientato al rischio. Il prodotto è ora in grado di rilevare i punti deboli che possono potenzialmente mettere in pericolo l’integrità OT o causare l’interruzione dei processi tecnologici.
Le aree prese in considerazione includono: vulnerabilità dell’architettura di rete (accesso a reti esterne, mancanza di segmentazione, dispositivi multi-homed); impostazioni deboli di sicurezza dell’host (porte aperte, mancanza di autorizzazione, firewall disattivati); protocolli obsoleti, vulnerabili, indesiderati, non criptati e anomalie nei protocolli di rete; sistemi operativi obsoleti; dispositivi non autorizzati e vulnerabilità nei PLC.
Tutti i rischi vengono classificati per gravità nella management console, in modo che i team di sicurezza possano concentrarsi prima su quelli più critici. L'aggiornamento di Kaspersky Industrial CyberSecurity for Nodes è in grado di verificare automaticamente gli host OT o un gruppo di host alla ricerca di vulnerabilità nel software, configurazioni errate e conformità a normative locali o internazionali e policy aziendali.
Il prodotto utilizza i contenuti dell’Open Vulnerability and Assessment Language (OVAL) per valutare gli host. Il prodotto fornisce, per impostazione predefinita, un database di vulnerabilità SCADA di Kaspersky ICS CERT in formato OVAL. È possibile usare qualsiasi database OVAL, sia quello del NIST, del CIS o di altre organizzazioni sia campioni personalizzati.
La visibilità del network e dei dispositivi è migliorata grazie al polling attivo e alla mappa della topologia fisica della rete industriale di Kaspersky Industrial CyberSecurity for Networks. Il polling attivo aiuta a identificare gli asset dei sistemi OT e la loro configurazione, mentre la mappa topologica visualizza l’architettura del network: come gli asset sono fisicamente collegati e comunicano tra loro.
Grazie a questi dati, gli operatori OT o i team di sicurezza possono comprendere rapidamente elementi quali il punto del network in cui si verifica un problema e a quale oggetto fisico nell’area di produzione si riferisce, consentendo di risolverlo più rapidamente.
Kaspersky Industrial CyberSecurity for Nodes offre inoltre agli esperti di sicurezza OT uno scanner USB portatile da utilizzare sui computer per i quali le policy limitano l'installazione di qualsiasi software, compresi i prodotti di cybersecurity.
Può trattarsi di vecchi endpoint con software obsoleto o di quelli che sono troppo critici per installarvi qualcosa. Un altro caso d'uso è rappresentato dalle dotazioni dei fornitori, che possono essere utilizzate all'interno della rete OT del cliente. Gli specialisti della sicurezza OT possono usare una semplice chiavetta USB per scaricare lo scanner da Kaspersky Industrial CyberSecurity for Nodes e poi usarlo per scansionare il computer isolato.
Lo scanner non installa nulla sul computer, ma fornisce informazioni su eventuali minacce rilevate, in modo che i team di sicurezza possano pianificare le azioni necessarie.
Come piattaforma, Kaspersky Industrial CyberSecurity garantisce anche l'integrazione nativa di tutti i suoi componenti, tra cui Kaspersky Industrial CyberSecurity for Nodes per Windows e Linux, Kaspersky Industrial CyberSecurity for Networks e l'orchestrazione attraverso un'unica management platform.
L'integrazione più profonda di Kaspersky Industrial CyberSecurity for Nodes e Kaspersky Industrial CyberSecurity for Networks consente di ricevere avvisi di rete arricchiti con dati su un host, sui suoi processi e su quale utente è stato eseguito. I team di sicurezza IT/OT, gli analisti SOC e gli operatori SCADA hanno ora una maggiore visibilità sulle azioni sospette e possono prendere decisioni consapevoli sulle azioni di risposta.