Atacurile de tip ICS/OT se intensifică pe măsură ce activitatea amenințătoare se accentuează
În ultimii doi ani, atacurile împotriva sistemelor de control industrial și a tehnologiei operaționale au trecut de la stadiul de risc teoretic la cel de realitate operațională. Statele nu se mai limitează doar la a-și stabili prezența în cadrul infrastructurilor critice. Ele trec la acțiune. Programele de ștergere a datelor au depășit ransomware-ul ca armă preferată a actorilor susținuți de state care vizează mediile OT. Un singur tipar leagă aproape toate incidentele majore: un fișier rău intenționat a trecut de o barieră de securitate pe care nimeni nu o verifica.
Acest articol prezintă peisajul amenințărilor la adresa sistemelor ICS/OT din 2024 până la începutul anului 2026, nu sub forma unui catalog de denumiri APT și numere CVE, ci sub forma unei narațiuni. Începem cu o imagine de ansamblu: ce s-a întâmplat și când. Apoi analizăm cine se află în spatele acestor atacuri, cum au fost puse în practică și, în final, analizăm în detaliu un incident pentru a arăta cum arată din interior un atac modern de tip „wiper” asupra sistemelor ICS.
Cifre cheie
- În 2025, 119 de grupuri de ransomware au vizat în mod activ mediile OT, ceea ce reprezintă o creștere de 49% față de cele 80 de grupuri din 2024
- Peste două treimi dintre toate victimele ransomware-ului din sectorul OT erau producători, acesta fiind sectorul cel mai vizat
- Volt Typhoon a funcționat fără a fi detectat în rețeaua OT a unei companii de energie electrică din SUA timp de peste 300 de zile
- Numai în perioada 2024–2025 au avut loc șase campanii de atacuri cibernetice care au vizat sisteme ICS/OT, mai multe decât în orice altă perioadă comparabilă
Prezentare generală a cronologiei incidentelor ICS/OT
Înainte de a analiza cine se află în spatele acestor atacuri sau cum funcționează acestea, este util să le privim într-o perspectivă cronologică. Tabelul de mai jos prezintă toate incidentele semnificative din domeniul ICS/OT din această perioadă — clasificate pe sectoare, actori de amenințare și zone geografice — pentru a vă putea orienta înainte de a aprofunda subiectul.
Data | Incident | Sector | Actor | Geografie |
aprilie 2026 | Un grup APT iranian care exploatează controlerele logice programabile (PLC) Rockwell — perturbând operațiunile în cadrul infrastructurii critice a SUA | Energie Apă Guvern | Grupul IRGC-CEC / CyberAv3ngers | Statele Unite ale Americii |
martie 2026 | Programul de ștergere Handala a pus Stryker în afara funcționării — se estimează că peste 200.000 de dispozitive au fost șterse în 79 de țări | Asistență medicală | Handala / Manticora Vidului (MOIS) | La nivel mondial (79 de țări) |
2025 | DynoWiper vizează rețeaua electrică poloneză și sursele de energie regenerabilă (DER) | Energie | Sandworm / ELECTRUM (GRU) | Polonia (NATO) |
2025 | PathWiper a fost utilizat împotriva infrastructurii critice a Ucrainei | Infrastructură critică | Legătura cu Rusia | Ucraina |
2025 | BAUXITE / Campania de promovare a șervețelelor BlueWipe-SewerGoo | Stocarea energiei | BAUXITĂ (IRGC-CEC) | Israel |
2025 | Sistemul de apărare PYROXENE vizează instituțiile guvernamentale și infrastructura critică | Guvern Infrastructură critică | PYROXENE (IRGC-CEC / APT35) | Israel, Albania |
2025 | SYLVANITE → VOLTZITE: intruziuni în lanțul de aprovizionare | Energie Apă | afiliate statului din RPC | Statele Unite ale Americii |
2025 | KAMACITE analizează obiective industriale din SUA | Fabricarea | Rusia (afiliată la GRU) | Statele Unite ale Americii |
2025 | Z-PENTEST compromite interfața om-mașină (HMI) a unui baraj norvegian | Apă/Baraj | Z-PENTEST (prorus) | Norvegia |
ianuarie 2024 | FrostyGoop perturbă rețeaua de încălzire urbană din Lviv prin Modbus TCP | Energie/Încălzire | cu legături în Rusia | Ucraina |
2024 | Volt Typhoon / VOLTZITE — Peste 300 de zile în cadrul unei companii de utilități din SUA | Energie Apă | RPC (Volt Typhoon) | Statele Unite ale Americii |
2024 | AcidPour vizează infrastructura de telecomunicații din Ucraina | Telecomunicații | Vierme de nisip (GRU) | Ucraina |
2024 | Sandworm Spring — atac asupra lanțului de aprovizionare din sectorul energetic și al apei | Energie Apă | Vierme de nisip (GRU) | Ucraina |
August 2024 | Halliburton, victimă a atacului cibernetic RansomHub — pagube de 35 de milioane de dolari | Petrol și gaze | RansomHub | Statele Unite ale Americii |
2024 | Fuxnet distruge infrastructura de senzori a serviciilor publice din Moscova | Utilități | BlackJack (cu legături în Ucraina) | Rusia |
Septembrie 2024 | Ransomware-ul care vizează stația de tratare a apei din Arkansas City, Kansas | Apă | Ransomware-ul Hazard | Statele Unite ale Americii |
2023–2024 | CyberAv3ngers / IOCONTROL — Peste 75 de dispozitive compromise în cadrul instalațiilor de alimentare cu apă din SUA | Apă | Garda Revoluționară Islamică (Iran) | Statele Unite, Israel |
ianuarie 2024 | Debordarea rezervorului de apă din Muleshoe, Texas, prin intermediul unui HMI expus | Apă | CyberArmyofRussia_Reborn | Statele Unite ale Americii |
Creșterea numărului de campanii de tip „wiper” și extinderea țintelor de atacuri de tip „OT”
Ritmul se accelerează. Numai în anul 2025 s-au înregistrat mai multe campanii de atacuri de tip „wiper” îndreptate împotriva sistemelor ICS/OT decât în orice an anterior. Aria de acoperire geografică s-a extins, depășind teatrul de operațiuni Ucraina–Rusia și ajungând în state membre NATO precum Polonia, în Europa de Vest, inclusiv Norvegia, și în Orientul Mijlociu, inclusiv Israel. Diversitatea sectoarelor vizate s-a extins, de asemenea, dincolo de sectorul energetic și cel al aprovizionării cu apă, ajungând în domeniul sănătății, al telecomunicațiilor și al producției.
Aceste atacuri vizează diferite țări, sectoare și victime — dar toate încep în același mod: cu un fișier care a trecut neobservat. Dacă îl activezi măcar pe unul, îți dai seama imediat că a fost creat pentru a distruge.
Statele naționale și grupurile de hacktiviști Drive atacurilor asupra sistemelor Drive
Cronologia de mai sus este densă, dar nu este întâmplătoare. Incidentele se concentrează în jurul unui număr redus de grupuri de actori, fiecare având motivații, capacități și ținte preferate distincte.
Rusia — în continuare cea mai mare sursă de amenințări la adresa sistemelor ICS
Actorii cu legături în Rusia reprezintă cea mai mare parte a activităților care vizează sistemele ICS în această perioadă, acționând prin intermediul mai multor grupuri cu roluri diferite.
Sandworm (ELECTRUM) rămâne cel mai periculos grup de atacatori specializat în sisteme de control industrial (ICS) din lume. Campania lor din decembrie 2025 împotriva rețelei electrice a Poloniei a vizat aproximativ 30 de instalații de energie distribuită, inclusiv centrale de cogenerare și sisteme de dispecerizare a energiei din surse regenerabile, precum energia eoliană și solară. Acesta a reprezentat primul atac cibernetic coordonat de amploare care a vizat resursele de energie distribuită la scară largă.
Malware-ul DynoWiper utilizat în cadrul acelui atac a fost un program de ștergere a datelor de tip Windows PE, folosit împotriva infrastructurii energetice. Acesta a șters datele de pe computerele cu sistem de operare Windows din cadrul stațiilor DER și a avariat iremediabil unele echipamente OT și ICS. Deși nu s-au înregistrat întreruperi de curent, atacatorii au obținut acces la sisteme de tehnologie operațională esențiale pentru funcționarea rețelei electrice.
Anterior, campania lor „PathWiper” a vizat infrastructura critică ucraineană folosind un dropper VBScript asociat cu un program de ștergere a datelor de tip PE, care distruge MBR-ul și MFT suprascrie fișierele de pe toate unitățile de stocare. În 2024, aceștia au lansat AcidPour, un program de ștergere a datelor de tip ELF pentru Linux, împotriva infrastructurii de telecomunicații ucrainene și au orchestrat un atac asupra lanțului de aprovizionare care a vizat sistemele energetice și de alimentare cu apă.
KAMACITE funcționează ca strat de infrastructură de sprijin. În 2025, acest grup afiliat GRU a fost observat efectuând operațiuni de recunoaștere asupra unor ținte industriale din SUA, activitate de pregătire care, din punct de vedere istoric, precede operațiunile distructive ale ELECTRUM.
China — o țară răbdătoare, profundă și cu o sferă de influență în continuă extindere
Abordarea Chinei este fundamental diferită de cea a Rusiei. În timp ce actorii ruși distrug, actorii chinezi continuă să acționeze.
Prezența VOLTZITE (Volt Typhoon) a fost confirmată în rețeaua OT a unei companii de energie electrică din SUA timp de peste 300 de zile, în timpul cărora au fost sustrase date privind stațiile de închidere cu gaz (GIS) și configurațiile sistemului OT. Nu a fost vorba de spionaj de dragul spionajului. Modelul de prepoziționare indică pregătirea pentru o viitoare perturbare a infrastructurii electrice din SUA.
În 2025, brokerul de acces inițial SYLVANITE a exploatat rapid vulnerabilitățile din echipamentele VPN Ivanti, dispozitivele F5 și alte elemente ale infrastructurii de rețea periferică. Aceste puncte de sprijin au fost apoi introduse în fluxul de lucru VOLTZITE pentru a permite intruziuni mai profunde în rețelele OT. Țintele s-au extins, incluzând atât furnizorii de energie electrică, cât și cei de apă.
AZURITE, un grup recent identificat, semnalat în 2025, reprezintă o intensificare a atacurilor cibernetice îndreptate împotriva rețelelor operaționale (OT) și asociate cu China. AZURITE vizează în mod activ stațiile de lucru ale inginerilor din sectoarele producției, apărării și auto din Statele Unite, Australia și Europa. Grupul se concentrează pe sustragerea schemelor de rețea, a datelor privind alarmele și a configurațiilor proceselor.
Iran — depășirea limitei către un conflict armat
Actorii iranieni susținuți de stat au înregistrat o schimbare decisivă în această perioadă, trecând de la un acces oportunist la o țintire deliberată a proceselor fizice.
Grupul CyberAv3ngers (BAUXITE / IRGC) a compromis peste 75 de dispozitive din mai multe instalații de alimentare cu apă din SUA în perioada 2023–2024, inclusiv preluarea directă a controlului asupra unui PLC la o stație de pompare din Pennsylvania. Malware-ul lor, IOCONTROL, un fișier binar Linux cu funcționalități de comandă și control bazate pe MQTT încorporate în pachetele de actualizare a firmware-ului dispozitivelor, a fost creat special pentru compromiterea dispozitivelor OT. În 2025, grupul BAUXITE a lansat variante ale programului de ștergere a datelor BlueWipe-SewerGoo împotriva infrastructurii energetice și de stocare din Israel.
PYROXENE (IRGC-CEC, cu suprapunere cu APT35) a vizat infrastructura critică și rețelele guvernamentale din Israel și Albania în 2025. Grupul a folosit o combinație de tehnici de inginerie socială și compromiterea lanțului de aprovizionare pentru a distribui sarcini utile de tip „wiper” în format PE.
Handala reprezintă granița tot mai difuză dintre hacktivism și distrugerea coordonată de stat. Considerat de mai multe firme specializate în informații privind amenințările ca fiind o fațadă pentru un actor malicios numit Void Manticore, finanțat de Ministerul Informațiilor și Securității din Iran, grupul a apărut la sfârșitul anului 2023 și, de atunci, a desfășurat operațiuni susținute de distrugere a datelor împotriva unor ținte israeliene.
Setul lor de instrumente este sofisticat din punct de vedere tehnic. E-mailurile de phishing, redactate adesea într-o limbă ebraică fluentă, transmit un program de instalare NSIS care lansează un script AutoIT pentru a injecta programul de ștergere a datelor într-un proces Windows legitim. Sarcina utilă finală suprascrie fișierele cu date aleatorii, își extinde privilegiile folosind un driver vulnerabil și extrage informații despre sistem prin intermediul API Telegram API distruge datele.
Acest program de instalare are multe componente mobile — fișiere împărțite, denumite în mod fals și comenzi asamblate pe parcursul execuției. Însă fiecare etapă nu reprezintă, de fapt, decât adăugarea și lansarea unui nou fișier. Analiza eșantionului dezvăluie întreaga secvență înainte ca programul de ștergere să elimine vreo dată.
În martie 2026, grupul Handala a atacat Stryker, un producător de dispozitive medicale inclus în clasamentul Fortune 500, ștergând datele de pe dispozitivele din 79 de țări prin exploatarea vulnerabilităților din Microsoft Intune, platforma de gestionare a dispozitivelor a companiei. Pentru faza distructivă nu a fost necesar utilizarea unui malware personalizat. Accesul la nivel de administrator în Intune a oferit un „kill switch” centralizat pentru dispozitivele înregistrate.
În aprilie 2026, un comunicat comun al șase agenții americane a avertizat că același grup iranian perturba în mod activ controlerele logice programabile (PLC) Rockwell conectate la internet din cadrul unor ținte din sectorul guvernamental, al aprovizionării cu apă și al energiei, încă din martie 2026. Atacatorii au folosit software de inginerie Rockwell legitim pentru a altera fișierele de proiect ale PLC-urilor și a manipula ecranele operatorilor, exploatând o vulnerabilitate cunoscută de ocolire a autentificării (CVE-2021-22681). Aceasta a constituit o perturbare activă a proceselor industriale pe teritoriul american.
Hacktiviștii — ajungând la nivelul fizic
Grupurile de hacktiviști pro-ruși au depășit o limită în această perioadă. În 2025, grupul Z-PENTEST a compromis un terminal HMI conectat la internet la un baraj din Norvegia, profitând de o parolă slabă, și a reușit astfel să manipuleze sistemele fizice de control al apei. Grupul CyberArmyofRussia_Reborn a accesat un terminal HMI în Muleshoe, Texas, provocând revărsarea unui rezervor de apă înainte ca personalul să treacă la controlul manual.
Nu este vorba de atacuri sofisticate. Sunt simple, oportuniste și au consecințe din ce în ce mai grave. Pragul necesar pentru a provoca perturbări fizice în mediile OT este mai scăzut decât presupun mulți operatori.
Atacurile bazate pe fișiere, programele de ștergere a datelor și pivotarea între IT și OT caracterizează intruziunile în sistemele ICS/OT
În toate aceste incidente, care implică actori, sectoare și zone geografice diferite, se conturează un set de tipare constante.
Ștergătoarele de parbriz au devenit principala unealtă de distrugere
Aceasta este cea mai importantă tendință în ceea ce privește amenințările la adresa sistemelor ICS și OT. Numai în perioada 2024–2025, cel puțin șase campanii distincte de tip „wiper” au vizat medii industriale și de infrastructură critică: DynoWiper, care a vizat sectorul energetic din Polonia; PathWiper, care a vizat infrastructura critică din Ucraina; AcidPour, care a vizat telecomunicațiile din Ucraina; BAUXITE sau BlueWipe-SewerGoo, care au vizat sectorul energetic din Israel; PYROXENE, care a vizat guvernul și infrastructura critică din Israel și Albania; și Handala, care a vizat sectorul global al sănătății.
Programele de ștergere a datelor devin din ce în ce mai specializate. DynoWiper a fost lansat special împotriva infrastructurii energetice din Polonia, ștergând datele de pe computerele cu Windows din cadrul instalațiilor energetice distribuite și dezactivând definitiv anumite echipamente OT. PathWiper distruge MBR-ul și MFT suprascrie fișierele, îngreunând la maximum recuperarea datelor. AcidPour vizează dispozitivele cu Linux încorporat, ștergând volumele UBI și partițiile Device Mapper utilizate în echipamentele OT.
Atacul Stryker al grupului Handala a demonstrat un alt tip de evoluție. În loc să lanseze malware personalizat la scară largă, atacatorii au folosit în mod abuziv un instrument legitim de gestionare a întreprinderii, numit Microsoft Intune, pentru a emite simultan o comandă de ștergere în masă pe toate dispozitivele înregistrate. Astfel, infrastructura proprie a organizației a fost transformată efectiv într-o armă. Nu este vorba despre instrumente de uz general adaptate pentru tehnologia operațională (OT). Acestea sunt concepute sau adaptate special pentru mediile pe care le afectează.
Malware-ul specific sistemelor ICS devine din ce în ce mai sofisticat
FrostyGoop merită o atenție specială, fiind considerat un moment de referință. Lansat împotriva sistemului de încălzire centralizată din Lviv în ianuarie 2024, acesta a fost primul malware care a exploatat direct protocolul Modbus TCP într-un mediu de producție. Scris în limbajul de programare Go și compilat sub formă de fișier binar PE pentru Windows, acesta a fost introdus prin rețeaua de inginerie, trecând din domeniul IT în cel OT printr-un transfer de fișiere. Atacul a lăsat peste 600 de blocuri de locuințe fără încălzire timp de două zile, în condiții de temperaturi sub zero grade.
FrostyGoop este important deoarece Modbus TCP este utilizat pe scară largă în mediile industriale din întreaga lume. Acest malware a demonstrat că atacatorii nu se mai limitează la a viza stațiile de lucru Windows aflate în vecinătatea sistemelor OT. Acum, aceștia scriu cod care comunică direct cu protocoalele industriale.
Scopul FrostyGoop este evident chiar din codul pe care îl încarcă — bibliotecile pe care le importă au un singur scop: comunicarea cu controlerele industriale
Fiecare breșă de securitate OT are un dosar în lanțul de atac
Acesta este numitorul comun. În fiecare incident din cronologie, indiferent de actor, sector sau zonă geografică, un fișier rău intenționat a încălcat o barieră de încredere la un moment dat în lanțul de atac:
- Programele de ștergere au fost distribuite sub formă de fișiere executabile PE, droppere VBScript și fișiere binare ELF pentru Linux.
- Atacurile asupra lanțului de aprovizionare au folosit pachete de instalare infectate cu troieni și actualizări de software.
- Prin intermediul atacurilor de spearphishing au fost distribuite documente malicioase, inclusiv fișiere Excel cu macro-uri VBA și fișiere OneNote cu coduri dăunătoare încorporate.
- Malware-ul specific sistemelor ICS a apărut sub formă de fișiere binare Go compilate, precum FrostyGoop, de încărcături utile Python, precum Triton și COSMICENERGY, și de fișiere binare PE personalizate, precum Industroyer2 și DynoWiper.
- Chiar și campaniile de tip „living-off-the-land”, precum Volt Typhoon, au lăsat în urmă urme digitale, printre care web shell-uri, scripturi de mișcare laterală și instrumente de colectare a datelor de autentificare, plasate pe sistemele compromise.
- Programele ransomware care au afectat medii adiacente tehnologiilor operaționale (OT), precum Halliburton și Arkansas City, au fost introduse prin atașamente de e-mailuri de tip phishing și prin compromiterea serverelor.
Tipurile de fișiere variază. Mecanismele de livrare variază. Actorii variază. Modelul rămâne același: un fișier pătrunde în mediu, trece într-o zonă de încredere și fie se execută direct, fie pregătește următoarea etapă a atacului.
Dispozitivele periferice și interfețele om-mașină expuse constituie noul perimetru
Atât atacul asupra barajului Z-PENTEST din Norvegia, cât și revărsarea de apă de la Muleshoe din Texas au exploatat aceeași vulnerabilitate: interfețe om-mașină (HMI) conectate la internet, cu date de autentificare slabe sau implicite. Campania CyberAv3ngers împotriva instalațiilor de alimentare cu apă din SUA a vizat controlerele logice programabile (PLC) Unitronics care utilizau date de autentificare implicite. Nu este vorba despre exploatări de tip „zero-day”. Este vorba despre erori de configurare la punctul de contact dintre sistemele OT și internet.
Granița dintre IT și OT este punctul de pivotare al atacurilor
În fiecare incident, punctul de intrare al atacului se află la granița dintre IT și OT. Stațiile de lucru de inginerie, care se află în ambele medii și conectează rețelele întreprinderii cu controlerele logice programabile (PLC) din zona de producție, reprezintă cel mai frecvent punct de intrare. AZURITE le vizează direct. Volt Typhoon a pătruns prin intermediul lor. Triton a necesitat acces fizic la una dintre ele. FrostyGoop a fost introdus prin rețeaua de inginerie. Protejarea stației de lucru înseamnă protejarea fișierului care ajunge pe aceasta.
Previziunile înainte de execuție și analiza comportamentală opresc atacurile OT înainte ca acestea să producă efecte
Detectarea comportamentală a vulnerabilităților de tip zero-day cu MetaDefender
Modelele observate în atacurile asupra sistemelor ICS și OT indică o realitate constantă: amenințările necunoscute și greu de detectat pătrund în medii sub formă de fișiere, depășesc limitele de încredere și se execută înainte ca sistemele tradiționale de apărare să poată reacționa. Pentru a opri aceste atacuri este nevoie atât de o analiză comportamentală aprofundată, cât și de capacitatea de a anticipa intențiile rău intenționate înainte de execuție.
MetaDefender este soluția unificată de detectare a amenințărilor de tip zero-day OPSWAT, concepută pentru a identifica amenințările necunoscute și evazive ascunse în fișiere. Aceasta combină tehnologia de izolare adaptivă (sandboxing), informații privind amenințările, evaluarea gradului de risc al amenințărilor și căutarea de similitudini bazată pe învățare automată într-un singur flux de detectare, care oferă un verdict de încredere pentru fiecare fișier.
Prin „detonarea” fișierelor într-un mediu emulat, Aether dezvăluie comportamente ascunse, precum logica programelor de tip ransomware, injectarea de cod, tehnicile anti-analiză și încărcăturile utile în mai multe etape, pe care instrumentele statice nu le pot detecta. Acesta corelează aceste descoperiri cu miliarde de indicatori de amenințare pentru a identifica riscurile, a descoperi variante și a corela activitatea cu tehnicile cunoscute ale atacatorilor.
Această abordare permite organizațiilor să detecteze amenințările de tip „zero-day” din fișierele executabile, scripturi, arhive și fișiere de patch-uri care nu pot fi curățate sau modificate. De asemenea, aceasta respectă cerințele de conformitate din sectoarele reglementate în care analiza dinamică este obligatorie, iar integritatea fișierelor trebuie păstrată.
Predicția amenințărilor înainte de execuție cu ajutorul tehnologiei Predictive Alin AI
În completarea acestui lucru, Predictive Alin AI introduce un strat de detectare pre-execuție care funcționează la nivelul perimetrului. În loc să aștepte ca fișierele să se activeze, acesta analizează indicatorii structurali și comportamentali pentru a prevedea intențiile rău intenționate în câteva milisecunde. Acest lucru permite organizațiilor să blocheze fișierele cu risc ridicat înainte ca acestea să pătrundă în mediu sau să ajungă la sistemele critice.
Sistemul predictiv Alin AI este reantrenat în mod continuu pe baza amenințărilor de tip „zero-day” identificate de MetaDefender . Fiecare amenințare confirmată consolidează capacitatea modelului de a detecta atacuri similare într-o etapă mai timpurie a lanțului. Astfel se creează un ciclu de feedback între analiza aprofundată și detectarea predictivă, în cadrul căruia Aether descoperă amenințări necunoscute, iar Alin utilizează aceste informații pentru a opri următoarea generație de atacuri înainte ca acestea să fie executate.
Implementate împreună, MetaDefender și Predictive Alin AI asigură atât profunzime, cât și viteză. Predictive Alin AI oferă decizii instantanee, înainte de execuție, la nivelul perimetrului, în timp ce MetaDefender efectuează o analiză comportamentală cuprinzătoare a fișierelor care necesită o inspecție mai aprofundată. Această abordare stratificată reduce numărul de alerte false, accelerează timpul de răspuns al SOC și garantează identificarea atât a amenințărilor cunoscute, cât și a celor necunoscute, înainte ca acestea să afecteze mediile OT.
Pentru a opri atacurile OT bazate pe fișiere este necesară o detectare pe mai multe niveluri a vulnerabilităților de tip zero-day
Peisajul amenințărilor la adresa sistemelor ICS și OT nu mai este caracterizat de incidente izolate. Acesta este definit de tipare repetabile. Programele de ștergere a datelor devin din ce în ce mai țintite, atacatorii acționează mai rapid, iar atacurile se concentrează în mod constant asupra limitelor de încredere. În fiecare caz, o constantă rămâne neschimbată: un fișier pătrunde în mediu și facilitează atacul.
Instrumentele de inspecție statică și cele bazate pe semnături nu pot identifica elementul comun al acestor atacuri, și anume un fișier care traversează o barieră de încredere cu o intenție care nu a fost încă catalogată. Pentru a le opri, este necesar să se inspecteze fișierul respectiv înainte de executare și să se prevadă ce acțiuni va întreprinde odată ce va fi executat.
Acesta este rolul pentru care au fost concepute MetaDefender și Predictive Alin AI. Predictive Alin AI emite o decizie la nivelul perimetrului în câteva milisecunde; MetaDefender identifică elementele care necesită o inspecție mai amănunțită și introduce fiecare vulnerabilitate zero-day confirmată înapoi în modelul predictiv. Rezultatul este o apărare stratificată care devine tot mai precisă cu fiecare fișier analizat, exact la limita unde încep atacurile asupra sistemelor ICS și OT.
Aflați cum MetaDefender și Predictive Alin AI blochează calea de atac bazată pe fișiere către mediul dumneavoastră OT.
