Protección de la fábrica conectada: por qué la visibilidad y la segmentación son imprescindibles

En Cisco y Rockwell Automation, nuestro objetivo no es solo utilizar Converged Plantwide Ethernet (CPwE) para conectar los equipos de la fábrica, las soluciones de IT, las soluciones en la nube y el personal.

Nuestro objetivo es ayudar a las organizaciones a lograr más a través de esa conexión, a la vez que mantenemos su organización segura.

Las oportunidades de CPwE conllevan riesgos de CPwE

A medida que añade dispositivos industriales a la red Ethernet, proporciona a las ciberamenazas, desde ciberdelincuentes comunes hasta estados nacionales y terroristas, puntos de entrada para acceder a ellos y tomar el control.

A partir de ahí, las posibilidades son aterradoras y numerosas.

Para proteger los dispositivos industriales frente a estos riesgos, necesita dos cosas: una visión clara de la actividad de su red y la capacidad de segmentar su red en partes discretas.

La visibilidad de la red debe extenderse a los dispositivos industriales

Sin una visión precisa de lo que ocurre en la red de IT/OT, su equipo de seguridad no puede identificar los ataques ni crear políticas eficaces para gobernar el control de acceso.

El problema es que muchas herramientas de monitoreo de red de IT comunes no pueden ofrecer la visibilidad necesaria. ¿Por qué? Los activos industriales utilizan protocolos IACS que las herramientas simplemente no estaban destinadas a admitir.

Para ayudar a los clientes a habilitar una visión más completa de la planta, Cisco y Rockwell Automation ofrecen una herramienta conjunta de monitoreo de IT/OT que admite tanto los protocolos principales de IT como el Common Industrial Protocol (CIP).

Segmente su red para controlar las infiltraciones

Los ciberdelincuentes se infiltran en las redes de IACS buscando el punto más vulnerable y explotándolo.

Para combatir esto, la segmentación de red divide su red en zonas más pequeñas con un flujo de datos estrictamente controlado entre ellas. El tráfico (y los atacantes o el malware) no pueden moverse de una zona a otra sin permiso.

Para los clientes industriales, un método común de segmentación es segmentar la zona industrial de la zona empresarial mediante una zona desmilitarizada industrial. Los equipos de OT/IT colaboran para definir el acceso a cada zona mediante listas de control de acceso (ACL).

Sin embargo, gestionar las ACL manualmente puede ser tedioso. Además, las listas extensas pueden afectar el rendimiento de los dispositivos de red.

Por eso, para hacer la segmentación más sencilla y flexible, le permitimos definir políticas de acceso mediante grupos de seguridad. Las etiquetas de grupo predefinidas se pueden aplicar automáticamente a los activos según su ubicación, finalidad, intención del usuario y más.

Control de acceso para socios y empleados móviles

Cada vez más, se solicita a las organizaciones industriales que habiliten el control de acceso seguro para socios y trabajadores móviles.

Cisco Identity Services Engine (ISE) permite a IT definir roles para empleados y socios de confianza. Estos roles se pueden configurar para permitir y limitar el acceso a los activos dentro de la red Ethernet industrial y empresarial.

Cisco ISE también proporciona un portal de registro de autoservicio para que el personal de planta, los proveedores, los socios y los invitados puedan registrar y aprovisionar nuevos dispositivos automáticamente.

La defensa en profundidad es más que visibilidad y segmentación

Es fundamental tener en cuenta que ningún producto, tecnología o metodología puede proteger completamente las arquitecturas de toda la planta. La visibilidad y la segmentación son fundamentales, pero solo son dos partes de su estrategia más amplia.

Proteger los activos de IACS requiere un enfoque holístico de seguridad de defensa en profundidad que aborde las amenazas de seguridad internas y externas.

En Cisco y Rockwell Automation, estamos dedicados a hacer posible ese enfoque y ayudarle a mantener su operación segura. Conversemos pronto sobre sus retos de seguridad de CPwE.