Industriële IoT beveiligen:een gids voor het selecteren van uw architectuur

Naarmate organisaties steeds meer industriële controlenetwerken verbinden met de IT-omgeving, cloudapplicaties en externe werknemers, wordt de door de gedemilitariseerde zone (DMZ) gecreëerde kloof kleiner en moeten nieuwe manieren worden geïmplementeerd om operationele technologie (OT)-netwerken te beveiligen.

Een beveiligingsoplossing moet rekening houden met de behoeften van zowel IT als OT en moet robuuste beveiliging bieden zonder de operationele overhead of netwerkcomplexiteit te vergroten. Om de beste oplossing voor uw organisatie te kiezen, moet u de implicaties begrijpen van de verschillende beveiligingsarchitecturen die voor u beschikbaar zijn. In dit bericht schetsen we een gids voor het selecteren van de juiste architectuur om industriële IoT te beveiligen.

Aan de slag

De eerste stap naar het beveiligen van een industrieel IoT-netwerk is het verkrijgen van zichtbaarheid. U moet begrijpen welke apparaten zich in het netwerk bevinden, wat ze communiceren en waar die communicatie naartoe gaat. Traditionele industriële besturingsnetwerken zijn echter niet gebouwd om deze inzichten te bieden.

Gelukkig is de technologie om netwerkzichtbaarheid te bereiken vandaag beschikbaar. Diepe pakketinspectie (DPI) decodeert alle communicatiestromen en extraheert berichtinhoud en pakketheaders, waardoor u inzicht krijgt in welke apparaten u moet beveiligen en wat ze communiceren. Dit stelt u niet alleen in staat om het juiste beveiligingsbeleid op te stellen, het geeft u ook de mogelijkheid om abnormaal gedrag te detecteren, zoals onwettige opdrachten aan machines die rampzalige gevolgen kunnen hebben.

Uw architectuur selecteren

Bij het verzamelen van netwerkpakketten om DPI uit te voeren, gebruiken leveranciers van beveiligingsoplossingen doorgaans een van de volgende twee architecturen:

1. Configureer netwerkswitches om verkeer naar een centrale server te sturen die DPI uitvoert
2. Plaats speciale beveiligingsapparatuur op elke netwerkswitch

Hoewel beide benaderingen netwerkzichtbaarheid kunnen bieden, creëren ze ook nieuwe uitdagingen. Het configureren van netwerkswitches om verkeer naar een centrale server te sturen vereist dubbele netwerkstromen, wat complex en kostbaar kan zijn. De extra netwerkcongestie kan ook netwerklatentie veroorzaken - vaak een onaanvaardbaar compromis.

Het implementeren van een beveiligingsapparaat lost de problemen op die samenhangen met het dupliceren van netwerkverkeer. Het apparaat verzamelt en analyseert netwerkverkeer op de switch en stuurt alleen metadata naar een server voor aanvullende analyse. Volledige zichtbaarheid vereist echter de installatie, het beheer en het onderhoud van speciale hardware voor elke switch op het netwerk. Dit kan snel leiden tot uitdagingen op het gebied van kosten en schaalbaarheid. En om effectief te zijn, vereist beveiliging volledige zichtbaarheid. Zelfs één schakelaar "in het ongewisse laten" brengt risico met zich mee.

Een alternatieve benadering

Er is een betere manier om volledige netwerkzichtbaarheid te bereiken en een derde architecturale benadering:gebruik industriële switches met native DPI-mogelijkheden. Dit elimineert de noodzaak om netwerkstromen te dupliceren en extra apparaten in te zetten. Het verkrijgen van zichtbaarheid en beveiligingsfunctionaliteit is gewoon een kwestie van het activeren van een functie binnen de switch. Kosten, verkeer en operationele overhead worden allemaal geminimaliseerd.

Het inbedden van DPI in de netwerkswitch biedt unieke voordelen voor zowel IT als OT. IT kan zijn bestaande vaardigheden gebruiken om het OT-netwerk te beveiligen zonder extra hardware of netwerkverkeer te hoeven beheren. OT kan inzicht krijgen in operaties die het nooit eerder had, aangezien het volledige industriële netwerkverkeer nu kan worden geanalyseerd, wat waardevolle analytische inzichten in controlesystemen oplevert.

Houd bij het evalueren van OT-beveiligingsoplossingen rekening met hun architecturale implicaties. Om de implementatie te vereenvoudigen en schaalbaar te maken, is het de beste optie om beveiligingsmogelijkheden in de switch in te bedden. Dit vereist netwerkapparatuur met industriële rekenmogelijkheden - zoek naar DPI-enabled switches die zijn ontworpen voor industriële IoT.

Dit is de aanpak die we hebben gevolgd met Cisco Cyber ​​Vision. Het maakt gebruik van een unieke edge computing-architectuur waarmee componenten voor beveiligingsmonitoring kunnen worden uitgevoerd binnen onze industriële netwerkapparatuur, waardoor zichtbaarheid, operationele inzichten en holistische detectie van bedreigingen voor de OT-omgeving worden geboden.

De voordelen van Cisco Cyber ​​Vision zijn niet beperkt tot organisaties met Cisco-netwerken - de sensor is ook beschikbaar binnen het Cisco IC3000-apparaat dat verkeer aan de edge analyseert door verbinding te maken met uw oudere netwerkapparaten. Dit biedt maximale implementatieflexibiliteit om aan uw behoeften te voldoen met uw bestaande netwerk, terwijl u tijd heeft om oudere switches te vervangen door DPI-compatibele netwerkapparatuur die alles kan zien wat eraan vastzit.

Als je meer wilt weten, bekijk dan het witboek "An Edge Architecture Approach to Securing Industrial IoT Networks", waarin we de drie hier geïntroduceerde beveiligingsarchitecturen verder onderzoeken en hoe het inbedden van DPI in de netwerkswitch voldoet aan de behoeften van zowel IT als OT.