Visibilidad OT y detección de anomalías

La suite de detección de anomalías y visibilidad OT de Radiflow proporciona al personal de seguridad visualización de red, detección de amenazas, alertas y configuración de reglas de comunicación para dispositivos y protocolos.

Centrada en la plataforma de gestión y detección de amenazas industriales iSID, la solución Radiflow permite el monitoreo local (local) o central en la empresa o en el SOC de un MSSP. La solución incorpora el recopilador inteligente iSAP, instalado en sitios remotos de redes distribuidas, para recopilar, comprimir (para evitar la sobrecarga de la red) y enviar a través de GRE todo el tráfico LAN desde el conmutador local, utilizando la duplicación de puertos a un iSID instalado centralmente a través de túneles VPN; y la solución de gestión iCEN para grandes redes distribuidas, para monitorear grandes matrices iSID a través de un único panel.

Plataforma de gestión y detección de amenazas industriales iSID

Los múltiples motores de seguridad de iSID ofrecen capacidades relacionadas con tipos específicos de actividad de red: modelado y visibilidad de dispositivos, protocolos y sesiones de OT y TI; detección de amenazas y ataques; seguimiento de políticas y validación de parámetros operativos; gestión de mantenimiento basada en reglas; y gestión de dispositivos en red.

iSID emplea iSAP Smart Collectors de Radiflow, instalados en sitios remotos de redes distribuidas, para recopilar, comprimir (para evitar la sobrecarga de la red) y enviar a través de GRE todo el tráfico LAN desde el conmutador local, utilizando la duplicación de puertos a un iSID instalado centralmente a través de túneles VPN.

iSID permite diferentes modos de implementación, lo que permite a las organizaciones optimizar sus gastos en ciberseguridad: en el sitio de la instalación industrial (basada en ICS/SCADA); en la ubicación central de monitoreo del operador; o en el SOC (centro de operaciones de seguridad) de un MSSP utilizando la plataforma de gestión iCEN para múltiples instancias de iSID.

Múltiples paquetes de seguridad para una detección integral de amenazas OT

iSID permite el monitoreo no disruptivo de redes SCADA distribuidas para detectar cambios en la topología y el comportamiento, utilizando múltiples paquetes de seguridad, cada uno de los cuales ofrece una capacidad única relacionada con un tipo específico de actividad de red:

• Visibilidad de la red:  mediante el escaneo pasivo de todo el tráfico de la red OT, iSID crea un modelo de red visual para todos los dispositivos, protocolos y sesiones, con alertas sobre cambios de topología detectados (por ejemplo, nuevos dispositivos o sesiones).
• Ataque cibernético:  el paquete Cyber ​​Attack maneja amenazas conocidas a la red SCADA, incluidos PLC, RTU y protocolos industriales, según los datos recopilados de toda la comunidad de investigación de seguridad cibernética.
• Monitoreo de políticas: defina/modifique políticas para cada enlace de red, para validar comandos específicos (por ejemplo, «escribir en el controlador») y rangos operativos (por ejemplo, «no configurar la turbina a más de 800 rpm»).
• Gestión de mantenimiento:  limite la exposición de la red durante el mantenimiento programado mediante la creación de órdenes de trabajo para dispositivos específicos durante los períodos de tiempo establecidos. Se emite un informe de registro de todas las actividades de mantenimiento al finalizar la sesión.
• Detección de anomalías:  el paquete Detección de anomalías crea un modelo de red de comportamiento utilizando múltiples parámetros, incluido el tiempo de muestreo de la secuencia del dispositivo, la frecuencia de los valores operativos y más, para detectar anomalías de comportamiento.
• Comportamiento operativo: supervise y audite la gestión de dispositivos (PLC, RTU e IED) en sitios remotos, con alertas de cambios de firmware o modificaciones de configuración (por ejemplo, actualizaciones de software o encendido o apagado de dispositivos de vanguardia) y registro de actividad.

Funciones iSID

Vista del mapa

La vista de mapa de iSID muestra una representación gráfica de todos los dispositivos de red en múltiples modos de visualización (Perdue, Flow, Analyst y Custom). Los mapas se pueden ampliar y los elementos se pueden arrastrar a cualquier ubicación de la pantalla. Además, el analizador Attack Vector puede detectar vulnerabilidades dentro de la interacción entre diferentes procesos comerciales.

Gestión de activos

La pestaña Gestión de activos presenta todos los activos del sistema, categorizados y filtrables por tipo (por ejemplo, PLC, servidor, HMI, estación de ingeniería, transmisión, etc.) o por cualquier característica de activo. iSID detecta automáticamente los tipos de activos; el usuario puede cambiar la designación de cada activo o agregar un tipo de activo personalizado.

Gestión de alertas

La pantalla Alertas muestra alertas por paquete de seguridad que las generó, como se enumera en la barra superior: Ataque cibernético por comportamiento sospechoso de la red; Monitor de políticas para detectar violaciones de las políticas de comunicación; Alertas del Sistema por comportamiento anómalo en iSID; Gestión de activos para nuevos CVE o alertas de control de dispositivos; y Visibilidad de red para alertas de red

La sonda inteligente iSAP

iSAP  Smart Collector  es una solución rentable para enviar de forma no intrusiva todo el tráfico de datos de la red OT al sistema de detección de amenazas industriales iSID para su análisis.

Aumentar la cobertura de la red pasando tráfico desde redes remotas a un IDS central puede crear problemas de sobrecarga de la red, debido a los grandes volúmenes de datos enviados al IDS central. El iSAP Smart Collector de Radiflow resuelve este problema. Instalado en cada sitio remoto, recibe todo el tráfico LAN desde el conmutador local (mediante duplicación de puertos) y filtra gran parte de los datos de tráfico irrelevantes, dejando intacto el tráfico SCADA (por ejemplo, datos ModBus).

iSAP ayuda a reducir su gasto general en ciberseguridad al requerir solo un dispositivo iSAP para cada sitio de red remoto. Cada iSAP se conecta de forma segura a un servidor de detección de amenazas iSID ubicado centralmente, donde se analiza la actividad de dispositivos y redes de toda la empresa.

Para reducir aún más el consumo de ancho de banda, iSAP Smart Collector utiliza el algoritmo de compresión patentado de Radiflow que alcanza proporciones de hasta 1:10. Una vez recibidos en la ubicación central, el servidor iSID puede descomprimir los paquetes de datos enviados sin pérdida de información. El usuario puede establecer la cantidad de compresión aplicada, si es que se aplica, a diferentes clases de datos.

Radiflow iSAP es una herramienta versátil que se puede implementar en cualquier sitio, grande o pequeño, lo que permite una cobertura de red completamente pasiva sin modificar su infraestructura existente.
El colector inteligente Radiflow iSAP RF-2180 y la puerta de enlace robusta segura iSEG RF-3180 se fabrican con hardware idéntico construido por Radiflow y se prueban según los estándares establecidos en las especificaciones del producto en este documento.

Características:

• Agregación y tunelización del tráfico de red monitoreado al sistema de detección de amenazas iSID para su análisis.
• Operación sin interferencias , uso de flujos de tráfico reflejados en sitios remotos
• Transmisión unidireccional del tráfico de red a través de un enlace unidireccional, para una mayor protección de la red OT
• Compresión y filtrado de datos : compresión de protocolos industriales en una proporción de hasta 1:10, así como filtrado de datos de tráfico irrelevantes.
• Túnel cifrado para enviar tráfico OT reflejado a través de redes de transporte
• Listo para el campo : diseñado para cumplir con las duras condiciones ambientales en subestaciones y sitios remotos

Descargue la hoja de datos de iSAP Smart Collector para obtener más información y especificaciones técnicas.

Gestión y monitorización centralizada iCEN para iSID

Diseñado para grandes empresas y proveedores de servicios de seguridad administrados (MSSP), iCEN proporciona una vista unificada de las puntuaciones de riesgo de los sitios, los activos de OT, el estado de iSID, las alertas y el mantenimiento, todo a través de una interfaz web fácil de usar. iCEN muestra una instantánea del estado de todas las instancias de iSID en toda la organización, incluido su riesgo total y estado de actividad, con un desglose sencillo y una conexión remota a cada instancia de iSID.

Los usuarios pueden cambiar entre los modos de visualización de mapa geográfico y tabular, ambos con codificación de colores para una rápida priorización entre sitios. Además, iCEN proporciona un resumen rápido del estado, propiedades detalladas y estado de monitoreo de salud (CPU, RAM) para cada instancia monitoreada de iSID. Los usuarios de MSSP pueden crear y configurar diferentes organizaciones que operan múltiples instancias de iSID, en un único sistema iCEN, creando un único sistema de monitoreo y gestión para todos sus clientes protegidos por Radiflow.

iCEN muestra datos agregados de todas las instancias de iSID en una organización, incluidos:

• Activos totales según tipo de activo
• Alertas totales según gravedad y motor de alertas
• Principales protocolos de red
• Puntuación de riesgo para cada sitio, para una fácil priorización de las actividades de mitigación.

Características:

• Aprovisionamiento centralizado: iCEN permite el aprovisionamiento central con un solo clic de firmas actualizadas de detección de ataques cibernéticos a múltiples instancias de iSID, para mejorar el tiempo de respuesta y la detección de nuevas amenazas en toda la organización.
• Gestión de usuarios y control de acceso basado en roles: iCEN presenta capacidades de gestión de usuarios locales y remotas (usando Active Directory), con soporte para diferentes roles y permisos de usuario. Los MSSP que monitorean las redes de múltiples organizaciones pueden otorgar permisos a los operadores de iCEN, por organización, según el principio de Mínimo Privilegio para la seguridad de los datos.
• Conexión segura: toda la conectividad hacia y desde iCEN está protegida y encriptada. Si es necesario, iCEN admite una conexión iSID unidireccional a iCEN para garantizar el aislamiento del entorno OT de amenazas externas.
• Instalación sencilla: iCEN se instala utilizando Radiflow Installation Manager (RIM), un instalador único para todos los productos Radiflow. RIM no solo simplifica el proceso de instalación, sino que también brinda la posibilidad de instalar/cargar iCEN desde una computadora cliente al servidor iCEN dedicado.
  Descargue la hoja de datos de iCEN para obtener más información y especificaciones técnicas.

Visibilidad de OT y detección de anomalías: casos de uso

• Técnico en sitio : iSID monitoreará automáticamente las actividades de mantenimiento durante el período de tiempo predefinido. Las operaciones fuera de los límites de mantenimiento activarán alertas.
• Cambios de configuración del PLC no autorizados : iSID detectará comandos de protocolo conocidos que afectan la configuración del PLC.
• Ataque al servidor SCADA : iSID detectará y alertará sobre cambios en el modelo industrial, incluida la secuencia de comandos y anomalías en la secuencia de comandos y el tiempo.
• Software espía : iSID generará alertas sobre los intentos de malware de filtrar datos confidenciales de las redes operativas. Los indicadores de actividad de software espía incluyen comportamiento anómalo de la red, uso de protocolos desconocidos y establecimiento de conexiones externas.
• Man-in-the-Middle : iSID detectará y alertará sobre dispositivos no autorizados en la red que se hacen pasar por un servidor, estación de trabajo o controlador SCADA válido, mediante el robo de direcciones Mac o IP.
• Malware diseñado a medida industrial : iSID identificará y alertará sobre todo el malware ICS personalizado conocido, basándose en datos recopilados de toda la comunidad de investigación de seguridad cibernética. La detección de malware desconocido se realiza en base a indicios de comandos SCADA no autorizados, así como anomalías específicas en el proceso industrial.

Implementation