Protegendo a Connected Factory: por que visibilidade e segmentação são essenciais

Na Cisco e na Rockwell Automation, nosso objetivo não é apenas usar a Converged Plantwide Ethernet (CPwE) para conectar equipamento da fábrica, soluções de TI, soluções em nuvem e pessoal.

É ajudar as organizações a realizar mais por meio dessa conexão — mantendo sua organização segura.

Com as oportunidades da CPwE vêm os riscos da CPwE

À medida que você adiciona dispositivos industriais à rede Ethernet, você fornece pontos de entrada para ameaças cibernéticas — desde criminosos cibernéticos comuns até estados-nação e terroristas — para acessar e assumir o controle deles.

A partir daí, as possibilidades são assustadoras. E numerosas.

Para proteger os dispositivos industriais contra esses riscos, você precisa de duas coisas: uma visão clara da atividade da rede e a capacidade de segmentar sua rede em partes discretas.

A visibilidade da rede deve se estender aos dispositivos industriais

Sem uma visão precisa do que está acontecendo na rede TI/TO, sua equipe de segurança não pode identificar ataques ou criar políticas eficazes para governar o acesso.

O desafio é que muitas ferramentas comuns de monitoração de rede de TI não conseguem fornecer a visibilidade necessária. Por quê? Os ativos industriais usam protocolos IACS que as ferramentas simplesmente nunca foram projetadas para suportar.

Para ajudar os clientes a habilitar uma visão mais abrangente da planta, Cisco e Rockwell Automation oferecem uma ferramenta de monitoração conjunta de TI/TO que suporta tanto os protocolos principais de TI quanto o Common Industrial Protocol (CIP).

Segmente sua rede para controlar infiltrações

Criminosos cibernéticos se infiltram em redes IACS procurando o ponto mais vulnerável e explorando-o.

Para combater isso, a segmentação de rede divide sua rede em zonas menores com fluxo de dados rigorosamente controlado entre elas. O tráfego (e invasores ou malware) não pode se mover de uma zona para outra sem permissão.

Para clientes industriais, um método comum de segmentação é separar a zona industrial da zona de empresa por meio de uma zona industrial desmilitarizada. As equipes de TO/TI colaboram para definir o acesso a cada zona por meio de listas de controle de acesso (ACLs).

No entanto, gerenciar ACLs manualmente pode ser tedioso. E listas grandes podem afetar o desempenho dos dispositivos de rede.

Por isso, para tornar a segmentação mais simples e flexível, permitimos que você defina políticas de acesso usando grupos de segurança. As tags de grupo predefinidas podem ser aplicadas automaticamente aos ativos com base em seu local, finalidade, intenção do usuário e mais.

Controle de acesso para parceiros e funcionários móveis

Cada vez mais, as organizações industriais estão sendo solicitadas a permitir acesso seguro para parceiros e trabalhadores móveis.

Cisco Identity Services Engine (ISE) permite que a TI defina funções para funcionários e parceiros confiáveis. Essas funções podem ser configuradas para permitir e limitar o acesso a ativos dentro da rede industrial e de empresa.

O Cisco ISE também oferece um portal de registro de autoatendimento para que o pessoal da planta, fornecedores, parceiros e convidados registrem e provisionem novos dispositivos automaticamente.

A defesa em profundidade é mais do que visibilidade e segmentação

É fundamental ter em mente que nenhum produto, tecnologia ou metodologia isolada pode proteger totalmente arquiteturas em toda a planta. Visibilidade e segmentação são essenciais, mas são apenas duas partes de sua estratégia maior.

Proteger ativos IACS requer uma abordagem holística de segurança de defesa em profundidade que aborde ameaças de segurança internas e externas.

Na Cisco e Rockwell Automation, estamos dedicados a tornar essa abordagem possível e a ajudar você a manter sua operação segura. Vamos conversar em breve sobre seus desafios de segurança do CPwE.