Решения Claroty - для безопасности критической инфраструктуры

Основа решения Claroty является платформа, которая построена на технологии Claroty CoreX - которая была специально разработана для обеспечения безопасной и надежной работы в крупных, сложных промышленных сетях. Платформа предоставляет группам безопасности исключительную прозрачность в промышленных сетях управления, мониторинг в режиме реального времени, сегментацию сети, контроль над сотрудниками и сторонним удаленным доступом, а также интеграцию с существующей SOC, инструментами кибербезопасности и сетевой инфраструктуры.

Архитектура платформы многоуровневая, кроме того, есть возможность интеграции с SIEM системами и средствами межсетевого экранирования.

Технологии Claroty CoreX обеспечивает:

Мониторинг CoreX устанавливает высокоточную базовую модель сети OT и использует расширенное обнаружение аномалий на основе поведения в сочетании с мощным механизмом обнаружения вторжений для быстрого установления известных и неизвестных угроз. Система постоянно следит за изменениями в средах OT и анализирует сеть на предмет выявления уязвимостей, используя собственную базу сигнатур Claroty.

Визуализация Сложный механизм визуализации отображает сетевые узлы и каналы связи вплоть до самых низких уровней сети OT - вплоть до последовательных сетей и сетей промышленных сетей, которые контролируют физические процессы. Расширенная фильтрация в сочетании с активной анимацией позволяет получить полное представление о сети и о том, как взаимодействуют узлы.

Сбор данных Благодаря многоуровневому сбору данных CoreX анализирует промышленные сети и обеспечивает почти 100% обзор сети АСУ ТП. Используя проприетарные диссекторы для всех основных протоколов и файлов конфигурации ИТ и АСУ ТП, система безопасно извлекает подробные сведения об ИТ и промышленных сетевых устройствах в сети АСУ ТП, обнаруживает, как промышленные сетевые устройства конфигурируются и обмениваются данными, и расшифровывает обмен пакетами системы автоматизации через последовательные протоколы и промышленный ethernet - вплоть до уровня ввода / вывода. Благодаря многоспектральному сбору данных клиенты могут использовать один или несколько режимов для обеспечение уникальных технических, эксплуатационных требований, условиям к развертыванию, существующих в различных промышленных средах.

Масштабируемую архитектуру Усовершенствованное ядро Claroty CoreX было специально разработано для обеспечения безопасной и надежной работы в крупных сложных промышленных сетях и полностью настроено для поддержки нескольких вариантов использования, при технических ограничениях и сред, включая объекты с ограниченной вычислительной мощностью, требующие меньшей физической нагрузки, и варианты, где необходима связь по каналам с низкой пропускной способностью.

Решение Claroty Continuous Threat Detection

Наш опыт внедрений систем безопасности в инфраструктуру АСУ ТП показывает, что зачастую за тем, что происходит в промышленном сегменте, никто не следит. АСУ ТП – сегмент изолирован от корпоративной сети, что вполне оправдано, ведь в противном случае вероятность подвергнуться хакерской атаке значительно возрастёт. Claroty предлагает непрерывный мониторинг критически важной инфраструктуры и централизованный анализ в виде единой консоли, которая будет консолидировать данные со всех сенсоров, собирающих локальные данные на обширной территории.

Флагманский продукт Claroty, Continuous Threat Detection, обеспечивает исключительную прозрачность, постоянный мониторинг угроз и уязвимостей, а также глубокое знание сетей АСУ ТП. Он был специально разработан для обеспечения безопасной, надежной работы в крупных, сложных промышленных сетях, обеспечивая нулевое воздействие на базовые операционные процессы и повышенную киберустойчивость .

Continuous Threat Detection извлекает точные сведения о каждом промышленном устройстве в сети, создаёт профили всех коммуникаций и протоколов, генерирует точную базовую поведенческую характеристику (baseline), которая характеризует корректную коммуникацию, и предупреждает вас об изменениях в сети, новых уязвимостях и угрозах. Оповещения, генерируемые системой, предоставляют контекстную информацию, необходимую для быстрого изучения и реагирования.

К отличительным особенностям решения относятся:

Мониторинг угроз в реальном времени Claroty

Используя расширенные возможности обнаружения аномалий в CoreX, система обеспечивает надёжное обнаружение угроз и обеспечивает оповещения по всей цепочке атаки - от сканирования до более поздних стадий, предназначенных для непосредственного воздействия на системы управления и процессы. Система обеспечивает беспрецедентные возможности поиска для целого ряда угроз - критический аспект для групп SOC и АСУ ТП при расследовании и реагировании на предупреждения. Ключевым параметром является оповещение системы с учетом контекста - обеспечение того, чтобы команды SOC имели непосредственную ситуационную осведомленность и детали, необходимые для быстрого расследования проблем и сотрудничества со специалистами АСУ ТП для быстрого устранения угроз.

Сегментация виртуальной сети OT

Используя наше понимание того, как ваша сеть АСУ ТП настроена и взаимодействует, мы используем собственные алгоритмы для группировки промышленных сетевых устройствах в логические сегменты и генерирования идеальной схемы «виртуальной сегментации». Вооружившись этими знаниями и связанными подробностями этих коммуникаций, ваши специалисты могут реализовывать политики брандмауэра - от правил портов и протоколов до политик прикладного уровня - или создавать соответствующие VLAN. Эта уникальная возможность обеспечивает экономически эффективную опцию для сегментирования нижних уровней сетей АСУ ТП, где блокировка запрещена.

Непрерывный мониторинг уязвимостей Claroty

Дает глубокое представление о вашей сети АСУ ТП, позволяя заблаговременно выявлять и исправлять конфигурацию и другие проблемы с "гигиеной" сети, которые могут сделать вашу сеть уязвимой для атак или привести к эксплуатационным проблемам. Claroty постоянно отслеживает сеть на наличие новых известных уязвимостей, используя интеллектуальные возможности безопасности, поддержку расследования со стороны Claroty Research, что позволяет ИТ-специалистам оставаться в курсе о текущих рисках АСУ ТП. Ключевым параметром является способность системы обеспечивать точную идентификацию по CVE - вплоть до точных версий встроенного ПО для промышленных устройств.

Возможность интеграции со средствами межсетевого экранирования.

На сервере Claroty Continuous Threat Detection можно настроить взаимодействие с серверами управления МЭ таких вендоров как: Cisco, Check Point, Palo Alto, Fortinet, Aruba. Взаимодействие выгружает сетевые объекты в сервер управления межсетевого экрана, что позволяет автоматизировано отправлять хосты, определённые как вредоносные, в карантин.

Вывод:

Широкий перечень поддерживаемых протоколов, оборудования и известных версий ПО с дополнительной базой уязвимостей в них создают наглядную картину текущего состояния защищённости контролируемой зоны. Встроенная интеграция с производителями решений по межсетевому экранированию позволяет эффективно встроить платформу Claroty в существующую инфраструктуру защиты, создав тем самым дополнительную ценность.