Melhore a cibersegurança da sua empresa com segmentação de rede

Uma rede aberta e sem segmentação é um presente para os invasores. Ao usar a segmentação de rede, você pode restringir o acesso e limitar possíveis danos causados por ataques cibernéticos.

Por Josh Kass, gerente de Produtos de Segurança de Rede e Wireless, Rockwell Automation

Sempre que um invasor encontra um ponto vulnerável de entrada na rede, ele se sente como uma "criança em loja de brinquedos”, pois pode ter acesso facilmente a uma grande parte dessa rede e, potencialmente, a qualquer dispositivo conectado a ela – de projetos ou receitas de produtos, a controles de máquinas, e até às finanças da empresa.

E não são apenas as ameaças externas que representam um risco em uma rede não segmentada. Ameaças internas, decorrentes de um funcionário insatisfeito ou um erro humano que ocasionou, por exemplo, uma alteração incorreta no sistema, também podem causar grandes estragos quando não há limites de rede ou limitações de acesso.

É por isso que a segmentação da rede deve fazer parte da estratégia de segurança industrial de todas as empresas.

A segmentação separa a rede da sua empresa em várias redes menores e permite estabelecer zonas de confiança. Isso pode ajudar a limitar o acesso contra ameaças externas à segurança e a conter qualquer dano causado por elas.

Pode ajudar, também, a fornecer acesso apenas a dados, ativos ou aplicativos que empregados e parceiros de negócios de fato precisem.

LANs ou VLANs virtuais são associadas mais comumente à segmentação da rede. Essas redes são domínios de transmissão que existem dentro de uma rede chaveada. Elas permitem que você segmente sua rede de forma lógica – como por função, aplicação ou organização – em vez de fisicamente.

As VLANs podem proteger dispositivos e dados de duas formas. Primeiro, você pode bloquear dispositivos em determinadas VLANs e impedir que se comuniquem com dispositivos em outras VLANs. Segundo, você pode usar um switch ou roteador de Camada 3 com funcionalidades de segurança e de filtragem, para ajudar a proteger as comunicações dos dispositivos que conversam entre si através das VLANs.

Entretanto, embora as VLANs sejam uma parte importante da segmentação, elas são apenas uma das soluções. Você deve usar, também, outros métodos de segmentação, em diferentes níveis da sua arquitetura de rede.

Um exemplo disso é o uso de uma zona desmilitarizada industrial (IDMZ). Ela cria uma barreira entre as zonas corporativa e de fabricação ou industrial. Todo o tráfego entre as duas zonas termina nessa barreira, permitindo, ainda, que os dados sejam compartilhados de forma segura.

Outros métodos de segmentação a serem considerados incluem listas de controle de acesso (ACLs), firewalls, redes virtuais privadas (VPNs), limitadores de tráfego unidirecionais e serviços de proteção e detecção de invasão (IPS/IDS).

Ao implementar a segmentação de rede, considere como ela será aplicada na organização como um todo.

Algumas empresas criam firewalls desenvolvidos para fins específicos em cada instalação. Entretanto, isso pode gerar “ilhas” de segurança. Locais diferentes terão firewalls diferentes, dificultando sua implantação de forma consistente ou seu gerenciamento centralizado.

Também é importante pensar na segmentação considerando as necessidades da sua empresa a longo prazo.

As soluções de segurança desenvolvidas com um propósito específico são, em geral, rígidas. Elas podem atender as necessidades da sua empresa hoje, porém, não são flexíveis nem podem evoluir com os seus negócios para atender necessidades futuras da operação ou necessidades de segurança. Soluções desenvolvidas para fins específicos também tendem a depender do conhecimento específico de um pequeno número de profissionais e, ao saírem da empresa, esses funcionários podem levar consigo conhecimentos vitais de segurança ou de manutenção.

As soluções utilizadas para implementar a segmentação de rede devem ser flexíveis o suficiente para crescerem juntas com suas operações. E devem ser padronizadas de forma que os profissionais responsáveis pela rede possam utilizá-las e fazer a manutenção em qualquer instalação.

A segmentação de redes é um conceito de TI bem conhecido, mas ainda não se estabeleceu totalmente no mundo industrial. As empresas industriais que já começaram a implementar a segmentação estão descobrindo os desafios que surgem ao aplicá-la em uma empresa totalmente conectada, tal como gerenciar dados segmentados e escalonar seu crescimento para acompanhar o aumento das operações de produção.

Se você estiver inseguro com relação a por onde começar ou qual método de segmentação implantar, há recursos disponíveis gratuitamente que podem ajudar.

Os guias de projeto de CPwE (Converged Plantwide Ethernet) são um bom começo. Guias sobre temas como zonas desmilitarizadas industriais (IDMZs), firewalls industriais e considerações sobre redes podem ajudá-lo a implantar a segmentação usando as tecnologias mais recentes e as melhores práticas do setor.

Os guias são desenvolvidos e testados em conjunto pela Rockwell Automation e Cisco^® e formam uma base para outros produtos e serviços, para ajudá-lo a segmentar e proteger a rede da sua empresa.

Saiba mais sobre as redes industriais e serviços de segurança da Rockwell Automation.