Рецепт промышленной безопасности:немного ИТ, щепотка ОТ и немного SOC

Я люблю готовить. И если вам это тоже нравится, вы знаете, что совместное использование кухни может вызвать ряд проблем. Чем больше поваров на кухне, тем больше споров может возникнуть. Но если один человек работает над закуской, другой - над основным блюдом, а третий - над десертом, результат часто составляет пять звезд. И если вы похожи на меня, все становится метафорой работы. Итак, этот сценарий заставил меня задуматься о том, что основные заинтересованные стороны в обеспечении промышленного IoT (или IIoT) похожи на поваров на кухне. У каждого свой набор приоритетов, и когда они работают вместе, тем больше шансов на отличную еду, я имею в виду, результат.

Повара

Обычно в усилиях по обеспечению безопасности OT есть три опытных повара или заинтересованных лиц. Начнем с самого ОТ. OT отвечает за непрерывную работу производственных процессов. Эти процессы должны быть статичными и предсказуемыми. Задача OT - сократить время простоя за счет оперативной аналитики, которая помогает отслеживать действия в производственном процессе. OT хочет большей эффективности, большей предсказуемости и большей масштабируемости. Для этого сеть должна быть безопасной, а ОТ требует прозрачности, чтобы лучше понимать, что находится в сети и как работают устройства.

Вторая сторона, заинтересованная в безопасности OT, - это ИТ-отдел. ИТ-отдел отвечает за внедрение и управление инфраструктурой безопасности. Традиционное решение безопасности требует развертывания устройств безопасности во всей среде, постоянно растущей сети сбора данных SPAN или их комбинации. С этими типами решений общая стоимость владения (TCO) увеличивается по мере роста среды. Организации необходимо не только инвестировать в дополнительные устройства и сеть внеполосного сбора данных для поддержки дополнительного трафика SPAN, но и влечет за собой операционные расходы. У ИТ-отдела просто нет ресурсов для поддержки разрастающейся инфраструктуры безопасности в среде ОТ в дополнение к ИТ-среде.

Между тем, приоритетом номер один для центра управления безопасностью (SOC) является защита бизнеса от угроз с помощью самого мощного набора интегрированных решений безопасности с учетом промышленных приложений. SOC хочет видеть среду OT, чтобы видеть активы, угрозы и уязвимости в том виде, в каком они относятся ко всей организации. Этот контекст имеет решающее значение для понимания того, как писать политики безопасности, чтобы наилучшим образом защитить эти активы. В ИТ-среде передовой опыт требует помещения скомпрометированного актива на карантин, чтобы предотвратить распространение атаки по сети. Такой же подход в среде ОТ может привести к полной остановке всего процесса из-за взаимозависимости систем.

Рецепт

Чтобы успешно защитить среду ОТ, все три заинтересованные стороны должны работать вместе, как ингредиенты в рецепте. Каждая сторона обладает институциональными знаниями, которые необходимы другой для достижения своих целей:OT понимает производственную среду - устройства, протоколы и бизнес-процессы, ИТ понимает сеть IP, а SOC понимает угрозы и уязвимости. Вместе эти три объекта могут сформировать мощную защиту от злоумышленников.

Среда OT должна быть защищена для обеспечения высокой доступности и надежности, но SOC должен понимать контекст устройств, чтобы применять правильные политики безопасности. Для выполнения любого из этих действий оба должны иметь видимость среды OT - видимость, обеспечиваемую решением безопасности с архитектурой, снижающей совокупную стоимость владения для ИТ.

Чем Cisco может помочь

Cisco Cyber ​​Vision - интегрированное решение для промышленной безопасности. Cyber ​​Vision использует двухуровневую архитектуру, состоящую из центрального устройства и датчиков, встроенных в сетевое оборудование. Датчики выполняют глубокую проверку пакетов (DPI) на промышленных коммутаторах, чтобы понять, что происходит в сети, и пересылать метаданные в центр обработки данных. Поскольку датчики находятся в каждом сетевом коммутаторе, OT и SOC получают выгоду от полной видимости сети. С помощью Cisco Cyber ​​Vision OT и SOC могут видеть бренд и создавать активы в сети, как они общаются и с чем они общаются. Помимо подробной инвентаризации активов ОТ, Cyber ​​Vision отслеживает производственные процессы. Встроенные датчики могут предоставить аналитическую информацию о каждом компоненте промышленных систем управления, давая ОТ на более высокий уровень понимания, чем когда-либо прежде.

Поскольку программные датчики Cyber ​​Vision работают в контейнере на сетевых устройствах, нет необходимости отправлять людей для внедрения устройств или создания отдельной внеполосной сети для обработки дополнительного трафика. ИТ-специалистам просто необходимо включить функцию датчика, которая не влияет на производительность, что является дополнительным преимуществом для OT. Эта уникальная периферийная архитектура снижает сложность и снижает совокупную стоимость владения при обеспечении безопасности среды ОТ, даже если она обеспечивает масштабируемость.

Для SOC Cisco Cyber ​​Vision обнаруживает попытки изменить активы и обеспечивает обнаружение киберугроз на основе Cisco Talos Intelligence Group, передовой группы по анализу киберугроз. Интеграция Cyber ​​Vision с системами безопасности позволяет SOC отслеживать, исследовать и устранять угрозы в операционных отделах - и все это с помощью единого решения. SOC может сократить время, затрачиваемое на расследования, с помощью общей совокупной аналитики угроз и защитить производственные процессы с помощью макро- и микросегментации, встроенной в промышленную сеть.

Cisco Cyber ​​Vision помогает всем трем сторонам - OT, ИТ и SOC - достичь своей цели:обеспечить безопасность и повысить доступность среды OT с помощью масштабируемого решения с низкой совокупной стоимостью владения. Если вы хотите узнать больше о Cyber ​​Vision, посмотрите веб-семинар по запросу «Посмотрите, обезопасьте:как добиться прозрачности в промышленных сетях управления».