La visibilité du réseau doit s'étendre aux dispositifs industriels
Sans une vision précise de ce qui se passe sur le réseau IT,OT, votre équipe de sécurité ne peut pas identifier les attaques ni créer des politiques efficaces pour régir les accès.
Le problème est que de nombreux outils de surveillance de réseau informatique courants ne peuvent pas fournir la visibilité requise. Pourquoi ? Les actifs industriels utilisent des protocoles IACS que les outils n'ont tout simplement jamais été conçus pour prendre en charge.
Pour aider les clients à obtenir une vue plus complète de l'usine, Cisco et Rockwell Automation proposent un outil de surveillance IT,OT conjoint qui prend en charge à la fois les protocoles IT de base et le Common Industrial Protocol (CIP).
Segmentez votre réseau pour contrôler les infiltrations
Les cybercriminels infiltrent les réseaux IACS en recherchant le point le plus vulnérable et en l'exploitant.
Pour lutter contre cela, la segmentation du réseau divise votre réseau en zones plus petites avec un flux de données étroitement contrôlé entre elles. Le trafic (et les attaquants ou les logiciels malveillants) ne peut pas passer d'une zone à l'autre sans autorisation.
Pour les clients industriels, une méthode de segmentation courante consiste à segmenter la zone industrielle de la zone d'entreprise via une zone démilitarisée industrielle. Les équipes IT,OT collaborent ensuite pour définir l'accès à chaque zone via des listes de contrôle d'accès (ACL).
Cependant, la gestion manuelle des ACL peut être fastidieuse. Et de longues listes peuvent affecter les performances des dispositifs réseau.
C'est pourquoi, pour simplifier et rendre la segmentation plus flexible, nous vous permettons de définir des politiques d'accès à l'aide de groupes de sécurité. Des étiquettes de groupe prédéfinies peuvent être automatiquement appliquées aux actifs en fonction de leur emplacement, de leur objectif, de l'intention de l'utilisateur, etc.
Contrôle des accès pour les partenaires et les employés mobiles
De plus en plus, les entreprises industrielles sont invitées à permettre un accès sécurisé aux partenaires et aux travailleurs mobiles.
Cisco Identity Services Engine (ISE) permet à l'IT de définir des rôles pour les employés et les partenaires de confiance. Ces rôles peuvent être configurés pour autoriser et limiter l'accès aux actifs au sein du réseau industriel et du réseau d'entreprise.
Cisco ISE fournit également un portail d'enregistrement en libre-service pour le personnel de l'usine, les fournisseurs, les partenaires et les invités afin d'enregistrer et de provisionner automatiquement de nouveaux dispositifs.
La défense en profondeur ne se limite pas à la visibilité et à la segmentation
Il est essentiel de garder à l'esprit qu'aucun produit, technologie ou méthodologie unique ne peut sécuriser entièrement les architectures à l'échelle de l'usine. La visibilité et la segmentation sont essentielles, mais elles ne constituent que deux parties de votre stratégie globale.
La protection des actifs IACS nécessite une approche de sécurité globale de type défense en profondeur qui traite les menaces de sécurité internes et externes.
Chez Cisco et Rockwell Automation, nous nous engageons à rendre cette approche possible et à vous aider à maintenir la sécurité de vos opérations. Parlons bientôt de vos défis de sécurité CPwE.
