Claroty Security Posture Assessment - jest to rozwiązanie oceniające, które zapewnia działóm bezpieczeństwa widoczność statusu bezpieczeństwa sieci OT. Narzędzie wykorzystuje plik danych PCAP zebrany z przełącznika sieciowego i wykonuje kompleksową analizę sieci ICS. Raport zawiera podsumowanie i szczegółową analizę zasobów i komunikacji znalezionych w sieci przemysłowej, identyfikując luki zasobów i rozwiązań, również ujawnia konfigurację sieci i inne problemy związane z „higieną sieci”, które mogą zapewnić atakującą ścieżkę lub wpływ procesów krytycznych.

W ramach procesu raportowania informacje pozyskane z protokołów OT dostarczają informacji sytuacyjnych o istniejących podatnościach, problemach związanych z higieną sieci i możliwymi nieprawidłowymi konfiguracjami, słabymi hasłami, niepewnymi połączeniami lub zdalnymi połączeniami. Działa całkowicie pasywnie, bez konieczności instalowania agenta na chronionych urządzeniach końcowych i nie wpływa na sieć OT.
Analiza bezpieczeństwa Claroty zapewnia obraz natychmiastowy szczegółowych informacji o zagrożeniach i podatnościach, a także zrozumienie priorytetów ryzyka i zalecanych środków ograniczających ryzyko. Korzystając z tych informacji, zespoły bezpieczeństwa i menedżerowie SOC mogą znacznie zmniejszyć liczbę ataków sieciowych, skutecznie pomagając zwiększyć poziom ryzyka ICS.

Ocena bezpieczeństwa automatycznie identyfikuje zasoby w sieci ICS, w tym przypisany adres IP i zasoby, które komunikują się przez połączenia szeregowe. Korzystanie z widoczności w czasie rzeczywistym pozwala stworzyć logiczną mapę urządzeń w sieci, które będą wykorzystywane do inwentaryzacji zasobów i zadań zarządzania, a także do spełnienia różnych wymagań regulacyjnych i audytów wewnętrznych.

ANALIZA SIECI

Analiza bezpieczeństwa zapewnia szczegółowy opis różnych urządzeń podczas zarządzania oraz sposób ich komunikacji przez sieć, w tym szczególnie widoczność ścieżek komunikacyjnych i podłączonych urządzeń.

Komunikacja wielopoziomowa

Automatyczne wykrywanie zasobów zapewnia topologię sieci
oraz logiczne połączenie różnych urządzeń w oparciu o ich odpowiedni poziom komunikacji. Każdy element w sieci zawiera wszystkie dane niezbędne do zarządzania, w tym: adres IP, typ, definicję protokołu, status i wiele innych.
 

Wykres sieci OT

W tym przypadku przedstawiona jest szczegółowa topologia elementów OT, ich połączenia ze sobą oraz w całej sieci w oparciu o odpowiedni poziom komunikacji.

Anomalie sieciowe

Analiza IT-infrastruktury identyfikuje różne anomalie sieciowe, które są generowane natychmiast po pobraniu danych z sieci (PCAP). Raport zawiera m.in. ocenę ryzyka dla całej sieci ICS, a także ocenę każdego wykrytego urządzenia, konkretne CVE dla każdego urządzenia oraz inne zagrożenia i luki w sieci.

Typowe luki w zabezpieczeniach i skutki (CVE)

Standard zapewniający zalecaną metodę znanych luk w zabezpieczeniach informacji. Raport identyfikuje odpowiednie zasoby korzystające z wersji oprogramowania, z których także mogą korzystać cyberprzestępcy, do różnych złośliwych celów, tw tym zdalne wykonanie kodu, DDOS itp.

Zbieranie danych

Aktywa, które rejestrują dane dotyczące aktywności, stanowią potencjalne ryzyko, ponieważ mogą zmieniać dane procesowe w PLC.

Uprzywilejowane polecenia

Polecenia uprzywilejowane są zwykle wykonywane przez stacje inżynierskie. Wskazują na nieuczciwą aktywność wysyłania uprzywilejowanych poleceń do PLC.

Zapytania DNS

Badanie zapytań DNS może ujawnić zasób, który ma nieprawidłowe połączenie wychodzące, co może wskazywać na złośliwą obecność.

Luki w zabezpieczeniach otwartych portów

Niepoprawnie skonfigurowane otwarte porty mogą być interpretowane jako porty do innych celów, zamiast ich celu. Raport wykorzystuje różne filtry portów do wyświetlania informacji o podatności na kilka sposobów - umożliwiając identyfikację potencjalnego ryzyka związanego z otwartymi portami i usługami.

Aktywa do uwagi

Aktywa te są wysoko oceniane pod względem liczby inicjowanych połączeń sieciowych. W niektórych przypadkach oznacza to kluczowe elementy w sieci - usługi gromadzenia danych, monitorowanie serwera lub dane wywiadowcze.