Passiv tillgångsupptäckt: hur fungerar det?

Passiv tillgångsupptäckt analyserar OT-nätverkstrafiken utan att skicka paket till enheterna. Tekniken speglar nätverkstrafiken från switchar (port mirroring eller SPAN-portar) och analyserar kommunikationen för att identifiera enheter, protokoll och kommunikationsrelationer. Enheter identifieras baserat på deras egna kommunikation: en Siemens S7-PLC identifieras av sin S7-kommunikation, en Modbus RTU av sina Modbus-meddelanden.

Fördelen med passiv tillgångsupptäckt är att den inte stör OT-driften: inga paket skickas till OT-enheter, inget processrelaterat nätverksbeteende påverkas. Nackdelen är att enheter som inte kommunicerar under analysperioden inte identifieras. Backup-system och redundanta enheter i stand-by-läge kan missas. En kombination av passiv analys under en period på 2-4 veckor och manuell validering mot driftdokumentationen ger den mest kompletta bilden.

Aktiv tillgångsupptäckt: risker och tillämpning

Aktiv tillgångsupptäckt skickar nätverksförfrågningar till enheter för att identifiera dem, liknande nmap i IT-miljöer. I OT-miljöer är aktiv scanning riskabelt: många äldre OT-enheter kraschar eller beter sig felaktigt när de tar emot oväntad nätverkstrafik. CISA varnar explicit mot att använda aktiva skanningsverktyg i OT-nätverket utan leverantörsgodkännande (CISA, 2024). Aktiv scanning bör bara genomföras i kontrollerade former på specificerade enheter i testfönster, med leverantörsgodkännande och rollback-plan.

Ledande verktyg för OT-tillgångsupptäckt

Tre plattformar dominerar OT-tillgångsupptäcktsmarknaden. Dragos Platform kombinerar passiv nätverksanalys med en bred protokollbibliotek och OT-specifik hotintelligens. Claroty Continuous Threat Detection ger passiv tillgångsupptäckt med djup protokollinspektion och integration med Claroty:s sårbarhetshantering. Nozomi Guardian erbjuder passiv tillgångsupptäckt med AI-driven anomalidetektering. Alla tre stöder de flesta industriella protokoll och kan integrera med SIEM-plattformar.

Kompletterande metoder: Tenable OT Security och Armis erbjuder alternativa OT-tillgångsperspektiv. Leverantörsspecifika verktyg, som Siemens SINEC INS, ger djup inventering av specifika leverantörers produkter. En kombination av en OT-specialistplattform och leverantörsspecifika verktyg ger den mest kompletta tillgångsbilden.

[IMAGE: Skärmbild av OT-tillgångsupptäcktsplattform med nätverkstopologi - sökterm: OT asset discovery platform network topology visualization]

Vilka data ska ett OT-tillgångsregister innehålla?

Ett komplett OT-tillgångsregister ska för varje enhet innehålla: IP-adress och MAC-adress, tillverkarens namn och modell, firmware-version och OS-version, kommunikationsprotokoll och tjänster, nätverkstopologiposition och kopplingar, fysisk placering (anläggning, cell, rack), ansvarig OT-ingenjör och leverantör, känd sårbarhetsstatus (CVE:er) och senaste konfigurationsändring. Dessa data ger underlag för riskbedömning, sårbarhets-prioritering och incidentrespons.

Varför är kontinuerlig tillgångsupptäckt viktigt?

OT-miljöer förändras kontinuerligt: nya enheter installeras, konfigurationer ändras och firmware uppdateras. En engångstillgångsinventering är korrekt i det ögonblick den genomförs men avviker snabbt från verkligheten. Kontinuerlig tillgångsupptäckt via passiv nätverksövervakning detekterar automatiskt nya enheter, konfigurationsändringar och avvikande kommunikationsmönster. Dragos Platform och Claroty CTD erbjuder kontinuerlig tillgångsupptäckt som en del av sina plattformar, med automatisk larmning vid nya eller förändrade OT-tillgångar.

NIS2 kräver att organisationer har kontroll över sina nätverks- och informationssystem. Kontinuerlig tillgångsupptäckt uppfyller detta krav och ger dessutom underlaget för riskanalys och incidentrespons som NIS2 kräver.

OT-säkerhet: 12 bästa praxis Opsio OT-säkerhetstjänster