La visibilité du réseau doit s'étendre aux dispositifs industriels
Sans une vision précise de ce qui se passe sur le réseau IT,OT, votre équipe de sécurité ne peut pas identifier les attaques ni créer des politiques efficaces pour régir les accès.
Le problème est que de nombreux outils de surveillance des réseaux informatiques courants ne peuvent pas fournir la visibilité requise. Pourquoi ? Les actifs industriels utilisent des protocoles IACS que les outils n'ont tout simplement jamais été conçus pour prendre en charge.
Pour aider les clients à obtenir une vue plus complète de l'usine, Cisco et Rockwell Automation proposent un outil de surveillance IT,OT commun qui prend en charge les protocoles IT de base et le protocole industriel commun (CIP).
Segmentez votre réseau pour contrôler les infiltrations
Les cybercriminels infiltrent les réseaux IACS en recherchant le point le plus vulnérable et en l'exploitant.
Pour y remédier, la segmentation du réseau divise votre réseau en zones plus petites avec un flux de données strictement contrôlé entre elles. Le trafic (et les attaquants ou les logiciels malveillants) ne peut pas passer d'une zone à l'autre sans autorisation.
Pour les clients industriels, une méthode de segmentation courante consiste à segmenter la zone industrielle de la zone d'entreprise via une zone démilitarisée industrielle. Les équipes OT,IT collaborent ensuite pour définir l'accès à chaque zone via des listes de contrôle d'accès (ACL).
Toutefois, la gestion manuelle des ACL peut être fastidieuse. Et les longues listes peuvent affecter les performances des dispositifs réseau.
C'est pourquoi, pour simplifier et rendre plus flexible la segmentation, nous vous permettons de définir des politiques d'accès à l'aide de groupes de sécurité. Des étiquettes de groupe prédéfinies peuvent être automatiquement appliquées aux actifs en fonction de leur emplacement, de leur objectif, de l'intention de l'utilisateur, etc.
Contrôle des accès pour les partenaires et les employés mobiles
De plus en plus, les entreprises industrielles sont invitées à permettre un accès sécurisé aux partenaires et aux travailleurs mobiles.
Cisco Identity Services Engine (ISE) permet au service informatique de définir des rôles pour les employés et les partenaires de confiance. Ces rôles peuvent être configurés pour autoriser et limiter l'accès aux actifs au sein du réseau industriel et de l'entreprise.
Cisco ISE fournit également un portail d'enregistrement en libre-service pour le personnel de l'usine, les fournisseurs, les partenaires et les invités, afin d'enregistrer et de configurer automatiquement de nouveaux dispositifs.
La défense en profondeur ne se limite pas à la visibilité et à la segmentation
Il est essentiel de garder à l'esprit qu'aucun produit, technologie ou méthodologie ne peut sécuriser entièrement les architectures à l'échelle de l'usine. La visibilité et la segmentation sont essentielles, mais elles ne constituent que deux parties de votre stratégie globale.
La protection des actifs IACS nécessite une approche de sécurité globale de type défense en profondeur qui traite des menaces de sécurité internes et externes.
Chez Cisco et Rockwell Automation, nous nous engageons à rendre cette approche possible et à vous aider à maintenir la sécurité de vos opérations. Parlons bientôt de vos défis de sécurité CPwE.
