La visibilità della rete deve estendersi ai dispositivi industriali
Senza una visione accurata di ciò che accade sulla rete IT/OT, il vostro team di sicurezza non può identificare attacchi o creare politiche efficaci per governare il controllo degli accessi.
Il problema è che molti comuni strumenti di monitoraggio delle reti IT non sono in grado di fornire la visibilità richiesta. Perché? Gli asset industriali utilizzano protocolli IACS che questi strumenti non sono mai stati progettati per supportare.
Per aiutare i clienti a ottenere una visione più completa dell'impianto, Cisco e Rockwell Automation offrono uno strumento di monitoraggio IT/OT congiunto che supporta sia i protocolli IT principali sia il Common Industrial Protocol (CIP).
Segmentate la rete per controllare le infiltrazioni
I criminali informatici si infiltrano nelle reti IACS cercando il punto più vulnerabile e sfruttandolo.
Per contrastare questo problema, la segmentazione della rete suddivide la rete in zone più piccole con un flusso di dati strettamente controllato tra di esse. Il traffico (e gli aggressori o il malware) non può spostarsi da una zona all'altra senza autorizzazione.
Per i clienti industriali, un metodo comune di segmentazione è quello di separare la zona industriale dalla zona aziendale tramite una zona demilitarizzata industriale. I team OT/IT collaborano quindi per definire il controllo degli accessi a ciascuna zona tramite liste di controllo degli accessi (ACL).
Tuttavia, gestire manualmente le ACL può essere noioso. Inoltre, liste di grandi dimensioni possono influire sulle prestazioni dei dispositivi di rete.
Per semplificare e rendere più flessibile la segmentazione, è possibile definire le policy di controllo degli accessi utilizzando i gruppi di sicurezza. I tag di gruppo predefiniti possono essere applicati automaticamente agli asset in base alla loro posizione, allo scopo, all'intento dell'utente e altro ancora.
Controllo degli accessi per partner e dipendenti mobili
Sempre più spesso, alle aziende industriali viene richiesto di garantire un accesso sicuro per i partner e i lavoratori mobili.
Cisco Identity Services Engine (ISE) consente al reparto IT di definire i ruoli per i dipendenti e i partner di fiducia. Questi ruoli possono essere configurati per consentire e limitare il controllo degli accessi alle risorse all'interno della rete industriale e aziendale.
Cisco ISE offre anche un portale di registrazione self-service per il personale dell'impianto, i fornitori, i partner e gli ospiti, per registrare e configurare automaticamente nuovi dispositivi.
La difesa in profondità è più della visibilità e della segmentazione
È fondamentale tenere presente che nessun singolo prodotto, tecnologia o metodologia può garantire la sicurezza completa delle architetture a livello di impianto. Visibilità e segmentazione sono fondamentali, ma sono solo due parti della vostra strategia più ampia.
La protezione degli asset IACS richiede un approccio olistico di sicurezza defense-in-depth che affronti le minacce alla sicurezza interne ed esterne.
Presso Cisco e Rockwell Automation, ci impegniamo a rendere possibile questo approccio e ad aiutarvi a mantenere le vostre operazioni sicure. Parliamo presto delle vostre sfide di sicurezza CPwE.
