Controleren welk verkeer wordt bewaakt

Sensoren voeren automatisch diepe pakketdetectie uit voor IT- en OT-verkeer en lossen informatie over netwerkapparaten op, zoals apparaatkenmerken en gedrag. Er zijn verschillende hulpprogramma's beschikbaar om het type verkeer te beheren dat elke sensor detecteert.

Analyse- en zelfleerprogramma's

Engines identificeren beveiligingsproblemen via continue bewaking en vijf analyse-engines die zelf leren gebruiken om de noodzaak voor het bijwerken van handtekeningen of het definiëren van regels te elimineren. De engines gebruiken ICS-specifieke gedragsanalyse en gegevenswetenschap om continu OT-netwerkverkeer te analyseren op afwijkingen. De vijf motoren zijn:

  • Detectie van protocolschendingen: identificeert het gebruik van pakketstructuren en veldwaarden die ICS-protocolspecificaties schenden.

  • Detectie van beleidsschendingen: identificeert beleidsschendingen zoals onbevoegd gebruik van functiecodes, toegang tot specifieke objecten of wijzigingen in apparaatconfiguratie.

  • Industriële malwaredetectie: Identificeert gedrag dat de aanwezigheid van bekende malware aangeeft, zoals Conficker, Black Energy, Havex, WannaCry en NotPetya.

  • Anomaliedetectie: detecteert ongebruikelijke M2M-communicaties (machine-to-machine) en gedrag. Door ICS-netwerken te modelleren als deterministische reeksen statussen en overgangen, gebruikt de engine een gepatenteerde techniek genaamd Industrial Finite State Modeling (IFSM). De oplossing vereist een kortere leerperiode dan algemene wiskundige benaderingen of analyses, die oorspronkelijk zijn ontwikkeld voor IT in plaats van OT. Ook worden afwijkingen sneller gedetecteerd, met minimale fout-positieven.

  • Detectie van operationele incidenten: identificeert operationele problemen, zoals onregelmatige connectiviteit die kan duiden op vroege tekenen van storingen van apparatuur.

Leer- en slimme IT-leermodi

In de leermodus wordt uw sensor geïnstrueerd om de gebruikelijke activiteit van uw netwerk te leren. Voorbeelden zijn apparaten die zijn gedetecteerd in uw netwerk, protocollen die zijn gedetecteerd in het netwerk, bestandsoverdrachten tussen specifieke apparaten en meer. Deze activiteit wordt uw netwerkbasislijn.

De leermodus wordt automatisch ingeschakeld na de installatie en blijft ingeschakeld totdat deze is uitgeschakeld. De geschatte leermodusperiode is tussen twee tot zes weken, afhankelijk van de netwerkgrootte en complexiteit. Na deze periode, wanneer de leermodus is uitgeschakeld, activeert elke gedetecteerde nieuwe activiteit waarschuwingen. Waarschuwingen worden geactiveerd wanneer de beleidsengine afwijkingen van uw geleerde basislijn detecteert.

Nadat de leerperiode is voltooid en de leermodus is uitgeschakeld, kan de sensor een ongebruikelijk hoog niveau van basislijnwijzigingen detecteren die het gevolg zijn van normale IT-activiteit, zoals DNS- en HTTP-aanvragen. De activiteit wordt niet-deterministisch IT-gedrag genoemd. Het gedrag kan ook onnodige beleidsschendingswaarschuwingen en systeemmeldingen activeren. Als u de hoeveelheid van deze waarschuwingen en meldingen wilt verminderen, kunt u de functie Slimme IT Learning inschakelen.

Wanneer Smart IT Learning is ingeschakeld, houdt de sensor netwerkverkeer bij dat niet-deterministisch IT-gedrag genereert op basis van specifieke waarschuwingsscenario's.

De sensor bewaakt dit verkeer gedurende zeven dagen. Als binnen de zeven dagen hetzelfde niet-deterministische IT-verkeer wordt gedetecteerd, blijft het verkeer gedurende nog eens zeven dagen controleren. Wanneer het verkeer gedurende een volledige zeven dagen niet wordt gedetecteerd, wordt Smart IT Learning uitgeschakeld voor dat scenario. Nieuw verkeer dat voor dat scenario is gedetecteerd, genereert vervolgens alleen waarschuwingen en meldingen.

Door te werken met Smart IT Learning kunt u het aantal onnodige waarschuwingen en meldingen verminderen dat wordt veroorzaakt door luidruchtige IT-scenario's.

Als uw sensor wordt beheerd door de on-premises beheerconsole, kunt u de leermodi niet uitschakelen. In dergelijke gevallen kan de leermodus alleen worden uitgeschakeld vanuit de beheerconsole.

De leermogelijkheden (Learning en Smart IT Learning) zijn standaard ingeschakeld.

Leerproces in- of uitschakelen:

  1. Selecteer Systeeminstellingen>Detectie-engines voor netwerkbewaking>en netwerkmodellering.
  2. Schakel de leer - en slimme IT-leeropties in of uit.

Subnetten configureren

Subnetconfiguraties zijn van invloed op de wijze waarop u apparaten in de apparaattoewijzing ziet.

Standaard detecteert de sensor de installatie van het subnet en vult het dialoogvenster Subnetconfiguratie met deze informatie.

Als u de focus op de OT-apparaten wilt inschakelen, worden IT-apparaten automatisch geaggregeerd per subnet in de apparaattoewijzing. Elk subnet wordt weergegeven als één entiteit op de kaart, inclusief een interactieve samenvouwen/uitbreidende mogelijkheid om in te zoomen op een IT-subnet en terug.

Wanneer u met subnetten werkt, selecteert u de ICS-subnetten om de OT-subnetten te identificeren. Vervolgens kunt u de kaartweergave op OT- en ICS-netwerken richten en samenvouwen tot een minimum aan de presentatie van IT-netwerkelementen. Deze inspanning vermindert het totale aantal apparaten dat op de kaart wordt weergegeven en biedt een duidelijk beeld van de OT- en ICS-netwerkelementen.

Schermopname van filteren op een netwerk.

U kunt de configuratie wijzigen of de subnetgegevens handmatig wijzigen door de gedetecteerde gegevens te exporteren, handmatig te wijzigen en vervolgens de lijst met subnetten te importeren die u handmatig hebt gedefinieerd. Zie Apparaatgegevens importeren voor meer informatie over exporteren en importeren.

In sommige gevallen, zoals omgevingen die gebruikmaken van openbare bereiken als interne bereiken, kunt u de sensor instrueren om alle subnetten als interne subnetten op te lossen door de optie Internetactiviteit niet detecteren te selecteren. Wanneer u deze optie selecteert:

  • Openbare IP-adressen worden behandeld als lokale adressen.

  • Er worden geen waarschuwingen verzonden over niet-geautoriseerde internetactiviteiten, waardoor meldingen en waarschuwingen die op externe adressen worden ontvangen, worden verminderd.

Subnetten configureren:

  1. Selecteer Systeeminstellingen in het menu aan de zijkant.

  2. Selecteer Basic en selecteer vervolgens Subnetten.

  3. Als u subnetten automatisch wilt toevoegen wanneer er nieuwe apparaten worden gedetecteerd, houdt u het selectievakje Automatisch subnetten leren ingeschakeld.

  4. Als u alle subnetten als interne subnetten wilt oplossen, selecteert u Al het internetverkeer omzetten als intern/privéverkeer. Openbare IP-adressen worden behandeld als privéadressen. Er worden geen waarschuwingen verzonden over onbevoegde internetactiviteiten.

  5. Selecteer Subnet toevoegen en definieer de volgende parameters voor elk subnet:

    • Het IP-adres van het subnet.
    • Het adres van het subnetmasker.
    • De naam van het subnet. U wordt aangeraden elk subnet een naam te geven met een duidelijke naam die u gemakkelijk kunt identificeren, zodat u onderscheid kunt maken tussen IT- en OT-netwerken. De naam mag maximaal 60 tekens bevatten.
  6. Als u dit subnet wilt markeren als een OT-subnet, selecteert u ICS-subnet.

  7. Als u het subnet afzonderlijk wilt presenteren wanneer u de kaart rangschikt op basis van het niveau Purdue, selecteert u Gescheiden.

  8. Als u alle subnetten wilt verwijderen, selecteert u Alles wissen.

  9. Als u geconfigureerde subnetten wilt exporteren, selecteert u Exporteren. De subnettabel wordt gedownload naar uw werkstation.

  10. Selecteer Opslaan.

Gegevens importeren

Als u subnetgegevens wilt importeren, selecteert u Importeren en selecteert u een CSV-bestand dat u wilt importeren. De subnetgegevens worden bijgewerkt met de gegevens die u hebt geïmporteerd. Als u een leeg veld importeert, gaan uw gegevens verloren.

Detectie-engines

Zelf learning-analyse-engines elimineren de noodzaak voor het bijwerken van handtekeningen of het definiëren van regels. De engines gebruiken ICS-specifieke gedragsanalyse en gegevenswetenschap om continu OT-netwerkverkeer te analyseren op afwijkingen, malware, operationele problemen, protocolschendingen en afwijkingen van netwerkactiviteiten volgens de basislijn.

Notitie

U wordt aangeraden alle beveiligingsengines in te schakelen.

Wanneer een engine een afwijking detecteert, wordt er een waarschuwing geactiveerd. U kunt waarschuwingen bekijken en beheren via het waarschuwingsscherm of vanuit een partnersysteem.

De naam van de engine die de waarschuwing heeft geactiveerd, wordt weergegeven onder de titel van de waarschuwing.

Engine voor protocolschending

Er treedt een schending van het protocol op wanneer de pakketstructuur of veldwaarden niet voldoen aan de protocolspecificatie.

Voorbeeldscenario: 'Ongeldige MODBUS-bewerking (functiecode nul)' waarschuwing. Deze waarschuwing geeft aan dat een primair apparaat een aanvraag heeft verzonden met functiecode 0 naar een secundair apparaat. Deze actie is niet toegestaan volgens de protocolspecificatie en het secundaire apparaat verwerkt de invoer mogelijk niet correct.

Engine voor beleidsschending

Een beleidsschending treedt op met een afwijking van het basislijngedrag dat is gedefinieerd in geleerde of geconfigureerde instellingen.

Voorbeeldscenario: waarschuwing 'Niet-geautoriseerde HTTP-gebruikersagent' . Deze waarschuwing geeft aan dat een toepassing die niet is geleerd of goedgekeurd door beleid wordt gebruikt als een HTTP-client op een apparaat. Dit kan een nieuwe webbrowser of toepassing op dat apparaat zijn.

Malware-engine

De malware-engine detecteert schadelijke netwerkactiviteit.

Voorbeeldscenario: Waarschuwing 'Verdachte van schadelijke activiteit (Stuxnet)' . Deze waarschuwing geeft aan dat de sensor verdachte netwerkactiviteit heeft gedetecteerd die bekend is met de Stuxnet-malware. Deze malware is een geavanceerde permanente bedreiging gericht op industriële controle en SCADA-netwerken.

Anomalie-engine

De Anomalie-engine detecteert afwijkingen in het netwerkgedrag.

Voorbeeldscenario: waarschuwing 'Periodiek gedrag in communicatiekanaal' . Het onderdeel inspecteert netwerkverbindingen en vindt periodiek en cyclische werking van gegevensoverdracht. Dit gedrag is gebruikelijk in industriële netwerken.

Operationele engine

De operationele engine detecteert operationele incidenten of defecte entiteiten.

Voorbeeldscenario: Waarschuwing 'Apparaat is vermoedelijk verbroken (reageert niet)' . Deze waarschuwing wordt gegenereerd wanneer een apparaat niet reageert op een soort aanvraag voor een vooraf gedefinieerde periode. Deze waarschuwing kan duiden op het afsluiten, verbreken van de verbinding of storing van het apparaat.

Engines in- en uitschakelen

Wanneer u een beleidsengine uitschakelt, zijn de gegevens die de engine genereert, niet beschikbaar voor de sensor. Als u bijvoorbeeld de Anomalie-engine uitschakelt, ontvangt u geen waarschuwingen over netwerkafwijkingen. Als u een doorstuurregel hebt gemaakt, worden afwijkingen die de engine leert niet verzonden. Als u een beleidsengine wilt in- of uitschakelen, selecteert u Ingeschakeld of Uitgeschakeld voor de specifieke engine.

DHCP-adresbereiken configureren

Uw netwerk kan bestaan uit zowel statische als dynamische IP-adressen. Normaal gesproken worden statische adressen op OT-netwerken gevonden via historici, controllers en netwerkinfrastructuurapparaten zoals switches en routers. Dynamische IP-toewijzing wordt doorgaans geïmplementeerd op gastnetwerken met laptops, pc's, smartphones en andere draagbare apparatuur (met behulp van Wi-Fi of fysieke LAN-verbindingen op verschillende locaties).

Als u met dynamische netwerken werkt, verwerkt u wijzigingen in IP-adressen die optreden wanneer er nieuwe IP-adressen worden toegewezen. U doet dit door DHCP-adresbereiken te definiëren.

Er kunnen bijvoorbeeld wijzigingen optreden wanneer een DHCP-server IP-adressen toewijst.

Het definiëren van dynamische IP-adressen op elke sensor maakt uitgebreide, transparante ondersteuning mogelijk in gevallen van WIJZIGINGEN in IP-adressen. Deze activiteit zorgt voor uitgebreide rapportage voor elk uniek apparaat.

De sensorconsole geeft het meest recente IP-adres weer dat is gekoppeld aan het apparaat en geeft aan welke apparaten dynamisch zijn. Bijvoorbeeld:

  • Het rapport Gegevensanalyse en het rapport Apparaatinventaris consolideren alle activiteiten die van het apparaat zijn geleerd als één entiteit, ongeacht de wijzigingen in het IP-adres. Deze rapporten geven aan welke adressen zijn gedefinieerd als DHCP-adressen.

    Schermopname van de apparaatinventaris.

  • Het venster Apparaateigenschappen geeft aan of het apparaat is gedefinieerd als een DHCP-apparaat.

Een DHCP-adresbereik instellen:

  1. Selecteer in het menu aan de zijkantdhcp-bereiken voornetwerkbewaking>van systeeminstellingen>.

  2. Definieer een nieuw bereik door waarden van en naar in te stellen.

  3. Optioneel: Definieer de bereiknaam, maximaal 256 tekens.

  4. Als u de bereiken wilt exporteren naar een CSV-bestand, selecteert u Exporteren.

  5. Als u handmatig meerdere bereiken uit een CSV-bestand wilt toevoegen, selecteert u Importeren en selecteert u vervolgens het bestand.

    Notitie

    De bereiken die u importeert uit een CSV-bestand overschrijven de bestaande bereikinstellingen.

  6. Selecteer Opslaan.

Volgende stappen

Zie voor meer informatie: