Az OT (Operációs Technológia) eszközök a gyártási folyamatok nélkülözhetetlen eszközei, bármilyen kimaradás, leállás, hatalmas veszteséget okozhat.
A kritikus infrastruktúrák üzemeltetésénél szintén fontos az eszközök védelme: elektromos, víz, olaj, gáz, egészségügyi szolgáltatás. Légi- vasúti közlekedés, szállítmányozás. Gyógyszergyártás. Élelmiszeripar.
A Trend Micro OT-biztonsági termékei a kezdetektől fogva ipari környezetre lettek kifejlesztve. A hálózatvédelmi megoldások hardverét az ipari megoldásairól közismert Moxa gyártja a Trend Micro számára, így garantálva, hogy a Trend Micro TXOne eszközök maximálisan megfeleljenek az ipari szabványoknak. Az eszközök magas MTBF (Mean Time Between Failure) értékkel rendelkeznek, továbbá könnyedén illeszthetők gyártósorokon is, legyen szó akár rögzítésről (DIN-rail, wall mount), vagy akár tápellátásról (dual terminál block).
Az IT (Információs Technológia) és OT (Operációs Technológia) technológiák általában külön működnek, mindegyik saját hálózattal, karbantartó csapattal, célokkal és igényekkel. A tipikus OT hálózat olyan hatalmas számú eszközt kapcsol össze, amelyek nem a modern vállalati hálózatokhoz lettek tervezve, és ennek következtében rendkívül nehéz időben elvégezni az aktualizálásokat és a javításokat, a kritikus eszközök védelmének fenntartása érdekében.
A Trend Micro TXOne EdgeFire és EdgeIPS eszközei akár különálló eszközként is menedzselhetők, amennyiben nincs lehetőség központi menedzsmentbe bekötni őket. Amennyiben viszont ennek nincs akadálya, mindenképpen javasoljuk a TXOne ODC (OT Defense Console) használatát. A megoldás akár virtuális appliance változatban, akár hardveres változatban is elérhető.
A központi menedzsment felületén keresztül az EdgeIPS eszközök szabályhalmaza egy helyről menedzselhető, összevont biztonsági jelentések, és asset reportok készíthetők az eszközökről. Továbbá az eszköz központi disztribúciós pontként szolgálhat IPS frissítések terítéséhez.
A TXOne EdgeIPS eszközök ipari környezetek számára készültek, ahogy az alábbi specifikációban is látható a paraméterei tökéletesen megfelelnek akár gyártósori használatra is (hőmérséklet ingadozás vagy vibráció magasfokú tűrése, magas MTBF). Az eszközök hálózati interfészei alacsony késleltetésűek (<500 micromp.). Amennyiben az eszköznek megszűnik a tápellátása akkor bypass módban át tudja engedni a hálózati forgalmat.
Az IDS/IPS virtuális patchelést is biztosít, elfedve a munkaállomásokon vagy egyéb ipari eszközön levő sebezhetőségeket. Az eszköz aktívan blokkolni vagy monitorozni tudja a különböző sebezhetőségek kihasználási próbálkozásait. Így kiváló agent nélküli védelmet tud nyújtani olyan eszközök előtt, ahova nem lehet végpontvédelmi megoldást telepíteni.
A leggyakoribb Modbus és Siemens S7 protokollok természetesen támogatottak és az EdgeIPS Deep Packet Inspectionnel tudja őket elemezni. Emellett rengeteg egyéb protokollt is támogatnak a TXOne eszközök, ahogyan az alábbi táblázatban látható:
A protokollokban használható parancsok részletesen testre szabhatók Modbus és S7 protokollok esetén is. Például készíthető olyan szabály, hogy egy munkaállomás csak read- only módon kommunikálhat Modbus felett a PLC eszközzel.
A TXOnne EdgeIPS és EdgeFire eszközök a hálózaton levő eszközökről asset információkat is gyűjthetünk. Ezen információk az eszközökön vagy a központi menedzsment felületén is megtekinthetők.
Az EdgeIPS eszközök in-line, illetve out-of-band eszközként tükrözött forgalomra is beköthetők. A különböző illesztési módokat az alábbi ábra mutatja be. Inline módban is lehet választani IPS (detektál és blokkol) és IDS (csak detektál) módok között, illetve köszönhetően a bypass interfészeknek áramkimaradás esetén is folyamatos hálózati forgalmat biztosít az eszköz.
Az EdgeIPS Pro egy kiberbiztonsági eszköz, amelyet nagyméretű gyártósorokhoz terveztek. Az iparág vezetőitől származó visszajelzések alapján készült, és natívan támogatja az operatív technológia (OT) több szegmensét. Az EdgeIPS Pro-t alkalmazó gyárak és munkahelyek élvezhetik a központosított felügyelet, a működési folytonosság, a műhelyvédelem és a rugalmas telepítés előnyeit.
Az EdgeIPS Pro™ szabványos 1U rack-tartóval rendelkezik 48 porttal, vagy 2U-os rack- tartóval 96 port-tal a nagyüzemi gyártáshoz. A modulkártya rugalmas a különböző hálózati stratégiákhoz. Az EdgeIPS Pro a monitor és a megelőzési módok között vált a legjobb belső védelem vagy a zavartalan biztonsági tudatosság érdekében.
A gyártósoron lévő eszközöknek késedelem nélkül kell kommunikálniuk. Az EdgeIPS Pro nagy teljesítményű kialakítása korlátozza a laterális mozgást, tehát egy esetlegesen fertőzött végpontról, másik végpontra való átlépést és megakadályozza a kibertámadást, miközben minimalizálja a késleltetést. Az 1U EdgeIPS Pro 1048 10 Gb/s-on, a 2U EdgeIPS Pro 2096 pedig 20 Gb/s-on teljesít, bekapcsolt fenyegetésmegelőzés mellett.
Az EdgeIPS/IPS Pro eszközöknek fontos szerepe van az OT környezetben lévő forgalom szűrésében, az ott lévő adatforgalom analizálásában, gyanús hálózati forgalmak minta típusú detektálásában, korrelációjában és fenyegetettségi intelligencia vizsgálat meghatározásában, akár protokoll specifikus módon, a lehető legszélesebb körben támogatott OT protokollokon keresztül.
Az itt lévő gyanús események, támadási kisérletek vagy éppen konkrét incidensek monitorozása, naplózása vagy adott esetben blokkolása kritikus a termelésirányítási rendszerek megvédése szempontjából.
Napjainkban az erős IT-OT konvergencia következtében kulcskérdéssé vált az OT rendszereink átláthatósága és kontrollja. Ezért kiemelten fontos, hogy a keletkezett riasztásokat, eseményeket el tudjuk juttatni olyan SIEM/SOAR rendszerek irányába is, melyek elsősorban a vállalat belső infrastruktúrájából gyűjtenek és elemeznek logokat és riasztásokat, közvetlenül az OT környezetből nem, így azok úgynevezett vakfoltok (blind spot) lesznek. Így sem átláthatóság, sem pedig kontroll nem lesz esetleges gyanús vagy valós incidensekről, veszélyeztetve ezzel az üzembiztonságot.
Az Edge ISP megoldás természetesen rendelkezik Syslog alapú integrációval, ahol a különféle konfigurációs, működési, rendszer és biztonsági eseményeket tudja továbbítani.
Inline fenyegetés elleni védelem, gyártósorok, gépészeti rendszerek folyamatos működéshez, kulcsfontosságú eszközök védelmére, valós idejű reagálással az eseményekre.
Az EdgeFire következő generációs tűzfal lehetővé teszi a hálózati szegmentálást és szeparálást, hogy a hálózatot különböző vezérlési zónákra ossza, akár a cellák szintjéig is. A kritikus eszközök számára hálózati hozzáférés-ellenőrzést és hálózati támadás megelőzést kínáló EdgeFire a mélyreható kiberbiztonsági védelmet szolgálja, hogy egyszerűsítse az OT napi működését.
Fenyegetések detektálása és kivédése következő generációs tűzfaltechnológiával, különösen a férgek terjedésének megakadályozására:
Protection mód:
Az EdgeFire inline módban van telepítve (a forrás és a cél eszköz közvetlen
kommunikációjában), ahol aktívan elemzi a forgalom áramlását, naplózza az eseményeket,
és automatizált intézkedéseket hoz a rosszindulatú események megelőzésére.
Monitor mód:
Az EdgeFire inline módban van telepítve (a forrás és a cél eszköz közvetlen
kommunikációjában), ahol aktívan elemzi a forgalom áramlását, és csak naplózza az
eseményeket anélkül, hogy bármilyen intézkedést tenne, amikor rosszindulatú
eseményeket észlel.
Az EdgeIPS eszközökhöz hasonlóan, szintén része a rendszernek a:
