Le paysage de la cybersécurité est en constante évolution, en particulier dans les environnements OT (technologie opérationnelle), où les enjeux sont exceptionnellement élevés. Les propriétaires d'actifs doivent souvent fournir un accès au réseau à des ordinateurs portables de fournisseurs tiers pour les opérations quotidiennes.
S'appuyer sur l'analyse antivirus traditionnelle en direct comme mesure de sécurité fondamentale n'est plus suffisant pour protéger l'infrastructure OT critique contre les cybermenaces sophistiquées. Cette observation ne signifie pas qu'il faille abandonner l'analyse antivirus en direct, mais plutôt qu'il faut combler les lacunes en matière de sécurité à l'aide de solutions avancées pour sécuriser votre infrastructure critique.
Pourquoi l'analyse antivirus traditionnelle en temps réel n'est pas suffisante
- Limitation du taux de détection : Un moteur antivirus unique a un taux de détection d'environ 45,6 % seulement, selon une étude menée sur le site OPSWAT . L'adoption d'une technologie de multiscanning permet d'améliorer la couverture et de réduire les risques.
- Limitation de la couverture de la zone d'analyse : L'analyse antivirus en direct offre des capacités de détection limitées, se concentrant principalement sur des zones spécifiques de l'appareil cible, telles que l'espace utilisateur, tout en laissant les zones critiques non analysées, telles que le noyau/OS, l'UEFI/BIOS et le matériel de l'appareil.
- Impossibilité d'analyser les disques/fichiers cryptés : L'analyse antivirus traditionnelle en temps réel ne peut pas analyser les disques ou les systèmes de fichiers cryptés, car elle dépend du système d'exploitation en cours d'exécution pour les décrypter.
- Impact sur les performances du système : L'analyse antivirus en direct, en particulier lorsqu'elle est effectuée en temps réel, peut entraver de manière significative le fonctionnement des infrastructures critiques. Selon la norme NIST SP 1058, les logiciels antivirus peuvent avoir un impact négatif sur les processus de contrôle critiques d'un SCI.
- Risque de propagation au sein du réseau : Étant donné que l'analyse antivirus en direct est effectuée alors que l'appareil est encore en fonctionnement, les logiciels malveillants peuvent potentiellement se propager au sein du réseau OT air-gapped avant d'être détectés et atténués.
- Sans défense contre les menaces inconnues et les logiciels malveillants sophistiqués : La technologie antivirus en direct analyse le système d'exploitation en cours d'exécution, ce qui la rend vulnérable aux menaces avancées telles que GRUB BootHole, Petya/NotPetya, TDSS/TDL-4 et divers rootkits qui peuvent échapper à la détection antivirus traditionnelle.
Analyse des dispositifs transitoires et stationnaires dans le cadre de la cybersécurité OT avec OPSWAT's MetaDefender Drive
Pour renforcer leur stratégie de défense en profondeur, les organisations devraient se concentrer sur les vulnérabilités connues de l'analyse antivirus en direct. Les environnements OT présentent des caractéristiques uniques et nécessitent des solutions anti-malware spécialisées pour protéger les réseaux critiques contre les menaces posées par les cyber-actifs transitoires et les appareils stationnaires. OPSWAT's MetaDefender Drive La solution 's' permet de faire le lien entre ces menaces et l'infrastructure critique d'une organisation.
Secure Boot Bare Metal Scan
Analyser les appareils cibles sans aucune installation de logiciel, détecter les contenus malveillants indétectables par les antivirus traditionnels et rechercher les logiciels malveillants dans des zones cachées telles que le Master Boot Record (MBR) et le Partition Boot Sector (PBS) au niveau du matériel. Protéger contre les virus du secteur d'amorçage tels que Michelangelo, Petya/NotPetya, TDSS/TDL-4 et les rootkits en utilisant Secure Boot pour se défendre contre GRUB BootHole, comme l'a conseillé la NSA dans son avis du 30 juillet.
Multiscanning Technologie
Améliorer les taux de détection grâce à plusieurs moteurs anti-programmes malveillants de premier plan.
Récupération d'un système d'exploitation inopérant
Récupérez les systèmes d'exploitation inopérants en démarrant à partir du système d'exploitation intégré de MetaDefender Drive .
Impact minimal sur les opérations d'OT
Réduire les problèmes de performance des appareils OT tout en veillant à ce que les opérations critiques ne soient pas affectées.
Réduction du risque de propagation
L'analyse hors ligne, effectuée avant qu'un appareil ne se connecte au réseau, minimise le risque de propagation des menaces détectées à d'autres parties du système OT.
Respect des mandats réglementaires
L'analyse hors ligne contribue à la conformité avec les mandats réglementaires tels que NIST SP 800-53, NIST SP 800-82, ISO/IEC 27001, U.S. Executive Order 14028, NIST FIPS 140-2, CIP-003-7, CIP-010-4 et ANSSI en garantissant que les appareils transitoires et stationnaires peuvent être utilisés en toute sécurité avant d'être connectés au réseau OT.
Pour en savoir plus sur la sécurisation efficace de votre environnement OT, téléchargez notre livre blanc, qui dissipe les idées reçues sur l'analyse antivirus en direct et met en évidence les risques de sécurité liés aux protocoles actuels. Découvrez dès à présent les avantages d'une approche globale de la sécurité pour sécuriser les appareils transitoires et fixes.
Démystifier les risques cachés de l'utilisation de l'analyse antivirus en direct dans les environnements OT
