Így látja a Cisco az OT biztonságot

DedicatedEditors' PickICSSecurityVendor
Yanac , ,

A laborban jól működő OT-biztonsági POC-k gyakran elvéreznek éles, vállalati szintű kiterjesztéskor. A hagyományos, SPAN-alapú láthatósági megoldások skálázáskor elszálló CAPEX/OPEX-et és vakfoltokat okoznak: sok üzemi switchhez külön érzékelő kellene; az RSPAN a forgalom megduplázásával jittert és késleltetést visz időérzékeny folyamatokba; az out-of-band SPAN gyűjtőhálózat pedig gyakorlatilag a teljes infrastruktúra megkettőzését igényli. Ezzel párhuzamosan az aktív eszközfelderítés NAT miatt részleges marad: a gyártók újrahasznosított IP-tartományai és a cellaszintű (Purdue 0–2) eszközök elrejtése miatt az állomány jelentős része (autóipari példában ~80%) nem látszik. Következmény: nincs teljes eszközleltár, nem érthetők a forgalmi minták, így a támadási felület csökkentése, a szegmentáció és a megfelelés (pl. NERC CIP-15, NIS2) is sérül, miközben a támadók kelet-nyugati irányban észrevétlenül tudnak oldalirányba mozogni.

A Cisco egy olyan megközelítést javasol, amely “a hálózatot teszi érzékelővé”: a Cyber Vision szoftveresen, ipari switchekben/rounterekben fut, dedikált magokon végez DPI-t, így az eszközök csatlakozási pontján lát minden forgalmat és képes NAT mögötti kérdezésre is. Nem teljes forgalmat tükröz, hanem protokoll- és IP-szintű metaadatokat nyer ki, ami ~2–5% többletforgalmat okoz a hagyományos megoldások 50–80%-ával szemben. Barnamezős környezetben konténer/VM-alapú szenzorokkal egészíthető ki; az árazás a felfedezett végpontokra, nem a szenzorszámra épül. Ezzel teljesebb láthatóság és skálázás érhető el egy vagy akár több száz telephelyen, miközben csökken a működési komplexitás.

Gyakorlati hatásként a teljes láthatóság biztonságosabb Zero Trust szegmentációt tesz lehetővé (a legitim forgalom téves blokkolása nélkül), gyorsítja a hibaelhárítást és egyszerűsíti az auditokat az automatizált eszközleltár révén. A CISCO az alábbi lépéseket ajánlja: a jelenlegi láthatósági hiányok és kritikus eszközök felmérése, a megoldások értékelése valódi, termelési léptékben (nem csak POC), valamint a teljes tulajdonlási költség (hardver, hálózati kapacitás, üzemeltetés) figyelembevétele. A fő megállapítás: a “ráépített” modellek drágán sem skálázhatók és vakfoltokat hagynak, míg a hálózat-natív megközelítés a védelem és a működőképesség egyidejű biztosítását célozza.

(forrás)

You May Also Like

Az OT-ban is használt Windows CE OS sérülékenységei (1.rész)

TrainedR

CISCO Quantum Network Entanglement Chip

Geronimo

Az OT kiberbiztonságának alapelvei

TrainedR