Il panorama della cybersecurity è in continua evoluzione, soprattutto negli ambienti OT (operational technology), dove la posta in gioco è eccezionalmente alta. I proprietari delle risorse devono spesso fornire l'accesso alla rete a computer portatili di fornitori terzi per le operazioni quotidiane.
Affidarsi alla tradizionale scansione antivirus live come misura di sicurezza fondamentale non è più sufficiente per proteggere le infrastrutture critiche OT da sofisticate minacce informatiche. Questa osservazione non suggerisce che la scansione antivirus live debba essere interrotta, ma piuttosto evidenzia le lacune di sicurezza che devono essere affrontate con soluzioni avanzate per proteggere le infrastrutture critiche.
Perché la tradizionale scansione antivirus dal vivo non è sufficiente
- Limitazione del tasso di rilevamento: Un singolo motore antivirus ha un tasso di rilevamento solo del 45,6% circa, secondo una ricerca di OPSWAT . Aumentate la copertura e riducete il rischio adottando la tecnologia multiscanning.
- Limitazione della copertura dell'area di scansione: La scansione antivirus live fornisce capacità di rilevamento limitate, concentrandosi principalmente su aree specifiche del dispositivo di destinazione, come lo spazio utente, mentre lascia senza scansione le aree critiche, come il kernel/OS, l'UEFI/BIOS e l'hardware del dispositivo.
- Impossibilità di scansionare dischi/file crittografati: La scansione antivirus tradizionale non è in grado di analizzare dischi o file system crittografati, poiché si affida al sistema operativo in esecuzione per decifrarli.
- Impatto sulle prestazioni del sistema: La scansione antivirus dal vivo, soprattutto se eseguita in tempo reale, può ostacolare in modo significativo il funzionamento delle infrastrutture critiche. Secondo il NIST SP 1058, il software antivirus può avere un impatto negativo sui processi di controllo critici per il tempo di un ICS.
- Rischio di propagazione della rete: Poiché la scansione antivirus live viene eseguita mentre il dispositivo è ancora in funzione, il malware potrebbe potenzialmente diffondersi all'interno della rete OT air-gapped prima di essere rilevato e mitigato.
- Indifesa contro minacce sconosciute/malware sofisticato: La tecnologia antivirus live esegue la scansione mentre il sistema operativo è in esecuzione, rendendolo vulnerabile alle minacce avanzate come GRUB BootHole, Petya/NotPetya, TDSS/TDL-4 e vari rootkit che possono eludere il rilevamento antivirus tradizionale.
Scansione di dispositivi transitori e fissi nella Cybersecurity OT con OPSWAT. MetaDefender Drive
Per rafforzare la strategia di difesa in profondità, le organizzazioni dovrebbero concentrarsi sulla risoluzione delle vulnerabilità note della scansione antivirus live. Gli ambienti OT hanno caratteristiche uniche e richiedono soluzioni antimalware specializzate per proteggere le reti critiche dalle minacce poste da risorse informatiche transitorie e dispositivi fissi. OPSWAT's MetaDefender Drive si inserisce in modo completo tra queste minacce e l'infrastruttura critica di un'organizzazione.
Secure Avvio della scansione Bare Metal
Esegue la scansione dei dispositivi di destinazione senza installare alcun software, rileva contenuti dannosi non rilevabili dagli antivirus tradizionali ed esegue la scansione di malware in aree nascoste come il Master Boot Record (MBR) e il Partition Boot Sector (PBS) a livello hardware. Protezione contro i virus del settore di avvio come Michelangelo, Petya/NotPetya e TDSS/TDL-4 e i rootkit utilizzando Secure Boot per difendersi da GRUB BootHole, come consigliato dall'NSA nell'advisory del 30 luglio.
Multiscanning Tecnologia
Migliorate i tassi di rilevamento con più motori antimalware leader del settore.
Recupero del sistema operativo non funzionante
Recuperate i sistemi operativi non funzionanti avviando da MetaDefender Drive 's built-in OS
Impatto minimo sulle operazioni OT
Riducete i problemi di prestazioni dei dispositivi OT e assicurate che le operazioni critiche non vengano compromesse.
Riduzione del rischio di propagazione
La scansione offline, eseguita prima che un dispositivo si connetta alla rete, riduce al minimo il rischio che le minacce rilevate si propaghino ad altre parti del sistema OT.
Conformità ai mandati normativi
La scansione offline aiuta a supportare la conformità ai mandati normativi come NIST SP 800-53, NIST SP 800-82, ISO/IEC 27001, U.S. Executive Order 14028, NIST FIPS 140-2, CIP-003-7, CIP-010-4 e ANSSI, garantendo che i dispositivi transitori e fissi siano sicuri da usare prima di connettersi alla rete OT.
Per ulteriori approfondimenti su come proteggere efficacemente il vostro ambiente OT, scaricate il nostro whitepaper, che sfata le idee sbagliate più comuni sulla scansione antivirus live e mette in evidenza i rischi di sicurezza dei protocolli attuali. Scoprite subito i vantaggi dell'adozione di un approccio di sicurezza completo per proteggere i dispositivi transitori e fissi.
