Netzwerktransparenz muss auch industrielle Geräte umfassen
Ohne einen genauen Überblick darüber, was im IT/OT-Netzwerk geschieht, kann Ihr Sicherheitsteam keine Angriffe erkennen oder wirksame Richtlinien zur Steuerung des Zugriffs erstellen.
Das Problem ist, dass viele gängige IT-Netzwerk-Überwachungstools nicht die erforderliche Transparenz bieten. Warum? Industrielle Anlagen verwenden IACS-Protokolle, die von den Tools einfach nie unterstützt werden sollten.
Um Kunden eine umfassendere Anlagenübersicht zu ermöglichen, bieten Cisco und Rockwell Automation ein gemeinsames IT/OT-Überwachungstool an, das sowohl die wichtigsten IT-Protokolle als auch das Common Industrial Protocol (CIP) unterstützt.
Segmentieren Sie Ihr Netzwerk, um Infiltrationen zu kontrollieren
Cyberkriminelle dringen in IACS-Netzwerke ein, indem sie nach dem anfälligsten Punkt suchen und diesen ausnutzen.
Um dem entgegenzuwirken, teilt die Netzwerksegmentierung Ihr Netzwerk in kleinere Zonen mit streng kontrolliertem Datenfluss zwischen ihnen auf. Datenverkehr (und Angreifer oder malware) kann ohne Erlaubnis nicht von einer Zone in eine andere wechseln.
Für Industriekunden ist eine gängige Segmentierungsmethode die Netzwerksegmentierung der Industriezone von der Unternehmenszone über eine industrielle Demilitarized Zone. OT/IT-Teams arbeiten dann zusammen, um den Zugriff auf jede Zone über Zugriffssteuerungslisten (ACLs) zu definieren.
Die manuelle Verwaltung von ACLs kann jedoch mühsam sein. Und große Listen können die Leistung von Netzwerkgeräten beeinträchtigen.
Deshalb ermöglichen wir Ihnen, um die Segmentierung einfacher und flexibler zu gestalten, den Zugriff mithilfe von Sicherheitsgruppen zu definieren. Vordefinierte Gruppentags können automatisch auf Assets angewendet werden, basierend auf ihrem Standort, Zweck, der Benutzerabsicht und mehr.
Zugriffskontrolle für Partner und mobile Mitarbeiter
Immer häufiger werden Industrieunternehmen aufgefordert, Partnern und mobilen Mitarbeitern einen sicheren Zugriff zu ermöglichen.
Cisco Identity Services Engine (ISE) ermöglicht es der IT, Rollen für Mitarbeiter und vertrauenswürdige Partner zu definieren. Diese Rollen können so konfiguriert werden, dass sie den Zugriff auf Assets innerhalb des industriellen und Unternehmens-Netzwerks erlauben und einschränken.
Cisco ISE bietet außerdem ein Self-Service-Registrierungsportal für Anlagenpersonal, Anbieter, Partner und Gäste, um neue Geräte automatisch zu registrieren und bereitzustellen.
Defense in Depth ist mehr als nur Transparenz und Segmentierung
Es ist wichtig zu beachten, dass kein einzelnes Produkt, keine Technologie und keine Methodik eine werksweite Architektur vollständig absichern kann. Transparenz und Segmentierung sind entscheidend, aber sie sind nur zwei Teile Ihrer umfassenderen Strategie.
Der Schutz von IACS-Anlagen erfordert einen ganzheitlichen Defense-in-Depth-Sicherheitsansatz, der interne und externe Sicherheitsbedrohungen adressiert.
Bei Cisco und Rockwell Automation setzen wir uns dafür ein, diesen Ansatz möglich zu machen und Ihnen zu helfen, Ihren Betrieb sicher zu halten. Lassen Sie uns bald über Ihre CPwE-Sicherheitsherausforderungen sprechen.
