Al utilizar un escaneo OT activo y seguro, Active Scanner permite el descubrimiento completo de activos industriales en redes que carecen de duplicación de puertos o monitoreo pasivo, tanto en modo independiente como híbrido (con iSID).
En modo híbrido, Active Scanner complementa la funcionalidad de escucha pasiva existente de la plataforma de detección de amenazas industriales iSID con un componente de escaneo activo, que proporciona datos de activos más completos que los que de otro modo se recogerían en un ciclo de operación normal, como módulos, versión de PLC, versión del proyecto y muchos otros.
Desarrollado específicamente para redes OT, Active Scanner utiliza métodos de consulta activos seguros (comunicación con activos OT utilizando sus protocolos nativos) para minimizar la posibilidad de interrupción del servicio (probado exhaustivamente en los laboratorios de Radiflow). El resultado es un informe de seguridad integral, completo con todos los datos de los activos y el historial de comunicaciones, así como un archivo PCAP para cada ejecución para reproducir su comunicación subyacente.
Active Scanner utiliza escaneos específicos (en lugar de consultar toda la red, típico de las soluciones de escaneo de TI) para grupos específicos de activos industriales (por ejemplo, PLC), utilizando datos recopilados por iSID, para identificar dispositivos activos y silenciosos, y para recopilar información adicional. desde dispositivos existentes.
Dependiendo del tipo de activo, Active Scanner puede enviar mensajes de difusión propietarios (normalmente enviados por estaciones de ingeniería) y comandos de protocolo industrial a dispositivos (tanto para protocolos de plano de control propietarios como para protocolos abiertos). Estas comunicaciones son detectadas por iSID, que al escuchar las respuestas de los activos puede correlacionar los datos con la base de datos de Asset Management.
Active Scanner no requiere ninguna reconfiguración de red para permitir una transmisión reflejada para el escaneo pasivo, lo que lo hace adecuado para redes ICS que no permiten la transmisión reflejada para la implementación de IDS. Además, para minimizar el riesgo, Active Scanner nunca utiliza fuerza bruta ni métodos de descubrimiento basados en exploits en activos industriales.
Active Scanner ofrece escaneos específicos para descubrir y recuperar información de activos para:
• Protocolos: Modbus, CIP, Profinet, SNMP, IT ICMP, NMAP, DNP3, WMI
• Proveedores: Schneider Electric Modicon, Allen Bradley, Siemens
• Sistemas operativos: SO Windows
Active Scanner permite realizar análisis ad hoc o programados para descubrir nuevos activos y cambiar las condiciones en la red OT. En ambos casos, el usuario puede realizar escaneos de unidifusión de un rango de IP definido.
Los resultados del escaneo con los parámetros del dispositivo escaneado se guardan en Active Scanner, están disponibles para descargar en un formato particular (PCAP, CSV o JSON) y se transmiten a productos Radiflow integrados como iSID y CIARA para un análisis más profundo. Los archivos PCAP de escaneo para todo tipo de escaneos también están disponibles para descargar y se pueden cargar directamente en iSID.
El panel de Active Scanner proporciona una vista rápida de la actividad de escaneo del operador por tipo, actividad y tiempo de avance.
Active Scanner se implementa de forma independiente o dentro de una configuración híbrida con iSID (como se muestra; aún sería necesario que Active Scanner se ejecute en un servidor separado).