在 Cisco 和 Rockwell Automation,我們的目標不僅僅是利用融合全廠乙太網 (CPwE) 來連接工廠設備、IT 解決方案、雲端解決方案與員工。
我們的目標是協助組織透過這種連接實現更多,同時確保組織安全。
當您將工業設備新增至乙太網時,您就為網路威脅——從一般網路犯罪分子到國家級攻擊者與恐怖分子——提供了進入點,讓他們能夠存取並控制這些設備。
從那裡開始,可能性令人恐懼且多樣。
為了保護工業設備免受這些風險,您需要兩項關鍵能力:清楚掌握您的網路活動,以及將網路劃分為獨立區段的能力。
若無法準確掌握IT/OT網路上的狀況,您的資安團隊就無法識別攻擊或制定有效的存取管控政策。
挑戰在於許多常見的IT網路監控工具無法提供所需的可視性。為什麼?工業資產使用工業自動化與控制系統(IACS)協定,而這些工具從未打算支援這些協定。
為協助客戶實現更全面的廠區視野,Cisco與Rockwell Automation提供聯合IT/OT監控工具,同時支援核心IT協定與通用產業通訊協定(CIP)。
網路犯罪分子透過尋找最脆弱的點並加以利用來滲透工業自動化與控制系統(IACS)網路。
為了對抗這種情況,網路分割會將您的網路劃分為較小的區域,並嚴格控制區域間的資料流動。流量(以及攻擊者或惡意軟體)未經許可無法從一個區域移動到另一個區域。
對於工業客戶,常見的分割方法是透過工業非軍事區將工業區域與企業區域分離。OT/IT團隊接著協作,透過存取控制清單(ACL)定義對各區域的存取權限。
然而,手動管理ACL可能很繁瑣,而且大型清單可能會影響網路設備的效能。
因此,為了讓分割更簡單且更靈活,我們讓您能夠使用安全群組定義存取政策。預定義的群組標籤可根據資產的位置、用途、使用者意圖等自動套用至資產。
工業組織越來越需要為合作夥伴與行動工作者提供安全存取。
Cisco Identity Services Engine(ISE)允許IT為員工與可信賴的合作夥伴定義角色。這些角色可以配置為允許與限制對工業與企業網路內資產的存取。
Cisco ISE也為廠區人員、供應商、合作夥伴與訪客提供自助註冊入口網站,以自動註冊與配置新設備。
必須牢記,沒有任何單一產品、技術或方法能夠完全保護全廠架構。可視性與分割至關重要,但它們只是您更大策略的兩個部分。
保護工業自動化與控制系統(IACS)資產需要全面的深度防禦安全方法,以應對內部與外部安全威脅。
在Cisco與Rockwell Automation,我們致力於讓這種方法成為可能,並協助您保持營運安全。讓我們盡快討論您的CPwE安全挑戰。
已發佈 2019年7月5日
為您推薦