Protegendo a IoT industrial:um guia para selecionar sua arquitetura

À medida que as organizações estão cada vez mais conectando redes de controle industrial ao ambiente de TI, aplicativos em nuvem e funcionários remotos, o intervalo de ar criado pela zona desmilitarizada (DMZ) se esgota e novas maneiras de proteger as redes de tecnologia operacional (OT) devem ser implantadas.

Uma solução de segurança deve levar em consideração as necessidades de TI e OT - fornecendo segurança robusta sem aumentar a sobrecarga operacional ou a complexidade da rede. Para escolher a melhor solução para sua organização, você precisa entender as implicações das várias arquiteturas de segurança disponíveis para você. Nesta postagem, apresentamos um guia para selecionar a arquitetura certa para proteger a IoT industrial.

Primeiros passos

A primeira etapa para proteger uma rede IoT industrial é obter visibilidade. Você precisa entender quais dispositivos estão na rede, o que eles estão se comunicando e para onde essas comunicações estão indo. No entanto, as redes de controle industrial tradicionais não foram construídas para fornecer esses insights.

Felizmente, a tecnologia para obter visibilidade de rede já está disponível. A inspeção profunda de pacotes (DPI) decodifica todos os fluxos de comunicação e extrai o conteúdo da mensagem e os cabeçalhos dos pacotes, fornecendo a visibilidade para entender quais dispositivos você precisa proteger e o que eles estão se comunicando. Isso não apenas permite que você crie as políticas de segurança corretas, mas também oferece a capacidade de detectar comportamentos anormais, como comandos ilegítimos para máquinas que podem ter efeitos desastrosos.

Selecionando sua arquitetura

Ao coletar pacotes de rede para realizar DPI, os provedores de soluções de segurança geralmente empregam uma de duas arquiteturas:

1. Configurar switches de rede para enviar tráfego a um servidor central que executa DPI
2. Implante dispositivos de segurança dedicados em cada switch de rede

Embora ambas as abordagens possam oferecer visibilidade de rede, elas também criam novos desafios. Configurar switches de rede para enviar tráfego a um servidor central requer a duplicação dos fluxos de rede, o que pode ser complexo e caro. O congestionamento de rede adicional também pode criar latência de rede - geralmente um comprometimento inaceitável.

A implantação de um dispositivo de segurança aborda os problemas associados à duplicação do tráfego de rede. O dispositivo coleta e analisa o tráfego de rede no switch e apenas envia metadados a um servidor para análise adicional. No entanto, a visibilidade total requer a instalação, gerenciamento e manutenção de hardware dedicado para cada switch na rede. Isso pode levar rapidamente a desafios de custo e escalabilidade. E para ser eficaz, a segurança requer visibilidade total. Mesmo deixar um botão “no escuro” apresenta risco.

Uma abordagem alternativa

Há uma maneira melhor de obter visibilidade total da rede e uma terceira abordagem arquitetônica:implantar switches de nível industrial com capacidade de DPI nativa. Isso elimina a necessidade de duplicar fluxos de rede e implantar dispositivos adicionais. Obter visibilidade e funcionalidade de segurança é simplesmente uma questão de ativar um recurso dentro do switch. Custo, tráfego e sobrecarga operacional são minimizados.

Incorporar DPI no switch de rede oferece benefícios exclusivos de TI e OT. A TI pode aproveitar seu conjunto de qualificações existente para proteger a rede OT sem ter que gerenciar hardware adicional ou tráfego de rede. OT pode obter visibilidade em operações que nunca teve antes, já que todo o tráfego da rede industrial pode agora ser analisado, fornecendo valiosos insights analíticos sobre os sistemas de controle.

Ao avaliar as soluções de segurança OT, esteja ciente de suas implicações arquitetônicas. Para simplificar a implantação e torná-lo escalável, a melhor opção é incorporar recursos de segurança ao switch. Isso requer equipamento de rede com recursos de computação industrial - procure switches habilitados para DPI projetados para IoT industrial.

Essa é a abordagem que adotamos com o Cisco Cyber ​​Vision. Ele aproveita uma arquitetura de computação de ponta exclusiva que permite que componentes de monitoramento de segurança sejam executados em nosso equipamento de rede industrial, proporcionando visibilidade, insights operacionais e detecção holística de ameaças para o ambiente de OT.

Os benefícios do Cisco Cyber ​​Vision não se limitam a organizações com redes Cisco - o sensor também está disponível no dispositivo Cisco IC3000 que analisa o tráfego na extremidade conectando-se aos seus dispositivos de rede legados. Isso fornece flexibilidade máxima de implantação para atender às suas necessidades com sua rede existente, enquanto dá a você tempo para substituir switches mais antigos por equipamentos de rede habilitados para DPI que são capazes de ver tudo o que está conectado a ele.

Se você quiser saber mais, verifique o white paper, "Uma abordagem de arquitetura de ponta para proteger redes IoT industriais", em que exploramos mais as três arquiteturas de segurança apresentadas aqui e como a incorporação de DPI no switch de rede atende às necessidades de TI e OT.