Nozomi Networks - Das ist Neu im Update 19.0

Mit dem großen Update auf 19.0 ändert Nozomi bei Ihren Produkten viele Dinge. Wir möchten Ihnen da einen Überblick über die wichtigsten Änderungen verschaffen.

Der Name

SCADAGuardian und SCADAGuardian Advanced sind vom Namen her Geschichte. Das Produkt heißt jetzt nur noch Guardian. Damit möchte man auch unterstreichen, dass die Monitoring Lösung sich sowohl für die OT, als auch für die IT eignet. Der Funktionsumfang von SCADAGuardian Advanced ist jetzt stattdessen als separate Lizenz erhältlich. Die Hardware war bei den Modellen die gleiche, da hat sich nichts geändert.

Die Produktlinie

Da hat sich bei den bisherigen Modellen, außer dem Namen nichts geändert. Allerdings gibt es jetzt zusätzlich den kleinen und günstigen Remote Collector. Dieser eignet sich besonders für sehr kleine Außenstandorte und ist hauptsächlich als VM verfügbar. Ein Hardware Deployment ist auf Wunsch dennoch möglich.

Die Software / Funktionen

Hier hat sich am meisten getan. Wie schon erwähnt, gibt es keine Unterscheidung mehr zwischen SACAGuardian oder SCADAGuardian Advanced bei einer Bestellung oder einem Deployment. Sämtliche Zusatzfunktionen von SCADAGuardian Advanced können bei Guardian über das Buchen einer Lizenz aktiviert werden. Das gibt dem Kunden mehr Flexibilität und Freiheiten wie die Lösung eingesetzt wird.

Zu dieser Add-On Lizenz gehört auch das „Windows Data Collection für Smart Polling“, damit können von Windows Maschinen detaillierte Informationen abgefragt werden. Dazu gehört unter anderem:

  • Domänenzugehörigkeit
  • Hardwareinformationen (Größe Arbeitsspeicher, Größe Festplattenspeicher, Windows-Patchlevel, benutzte Interfaces etc.)
  • Benutzer Accounts (aktiviert, Domäne, voller Name, Sperrstatus, Passwort Ablaufdatum etc.)
  • Installierte Software (Name, Version, Installationsdatum)
  • Ports & Dienste in Benutzung
  • Angesteckte USB Geräte
  • Antivirus Status (Produktname, Version, Signatureninformation, letztes Update, letzter Scan, laufende Dienste etc.)
  • Und mehr

Gerade bei USB Sticks kann dadurch überwacht werden welcher Benutzeraccount welchen USB Stick am Rechner benutzt hat. Dies würde auch bei einer forensischen Untersuchung helfen, um herauszufinden, wie eine bestimme Malware auf das System gelangen konnte oder wie Daten aus einem Unternehmen entwendet werden konnten. Für diese Funktionialität muss die Smart Polling Lizenz gebucht sein!

Zusätzlich zu der Smart Polling Lizenz gibt es auch die OT Threat Feed. In diesem wird die aktuelle Bedrohungssituation für IT, Operational Technology (OT) und Industrial Internet of Things (IIoT) festgehalten. Damit kann dann einfach Signaturen und Regeln für bekannte OT Malware erstellt werden, damit diese automatisch erkannt und je nach Konfiguration auch abgewehrt werden können.

Auch bei Berichten und Alarmen hat Nozomi weiter verbessert. Es wird mit 19.0 möglich sein, festzulegen, ab welchem Alarmlevel ein Alarm ausgelöst werden und beispielsweise eine E-Mail verschickt werden soll. Das hat keinerlei Einfluss auf die Protokollierung eines Ereignisses. Selbst wenn ein Alarm nicht stattfinden soll, so würde das Ereignis dennoch protokolliert werden.

Bei der Central Management Console (CMC) wurde in erster Linie die Übersichtlichkeit verbessert. Es können zum Beispiel Geräte gruppiert werden, um diese beispielsweise leichter bestimmten Außenstellen oder Betriebsabschnitten zuordnen zu können.

Bei der Erstellung von Graphen, beispielsweise der logischen Darstellung des Netzwerkes wurde nicht nur die Generierungsgeschwindigkeit erhöht, es kamen auch weitere Filter und Darstellungsmöglichkeiten hinzu um die Informationen noch besser hervorheben zu können.

In der Welt der OT ist Nozomi aber auch nicht stehen geblieben und hat die bereits beeindruckende Unterstützung von OT-Protokollen weiter ausgebaut. Dabei können die Protokolle nicht nur erkannt, sondern auch verstanden werden. Dies bedeutet eine Deep Packet Inspection von OT Protokollen. Damit kann dann nicht nur erkannt werden, wenn jemand Fremdes versucht mit einem OT Gerät zu kommunizieren, sondern auch wenn beispielsweise ein unachtsamer Mitarbeiter aus Versehen falsche Werte eingibt, die dem Gerät schaden könnten. Zusätzlich mit Deep Packet Inspection unterstützt Protokolle sind:

  • Wonderware SuiteLinkDA
  • Weatherford Cygnet
  • Mitsubishi Melsoft
  • Mitsubishi SLMP
  • GE Cimplicity Replica
  • GE Cimplicity View
  • GE Mark IV
  • ABB TotalFlow
  • Siemens CAMP
  • ZMTP
  • Foxboro IA
  • OPC-UA

Sollte das Protokoll, welches in Ihrem Unternehmen genutzt wird, nicht auf der Liste unterstützter Protokolle sein, so ist Nozomi gerne bereit in Kooperation mit Ihnen dieses Protokoll hinzuzufügen.

Ähnlich wie Nozomi bereits mit Fortinet kooperiert um aus einer passiven Monitoring Lösung in Zusammenarbeit mit einer FortiGate Firewall eine aktive Schutzlösung zu machen, so geht dies jetzt auch mit Cisco ASA, Cisco ISE und Cisco FTD Lösungen.

Die mit einem * markierten Felder sind Pflichtfelder.