Search

  1. Sweden
  2. Kunskap
  3. Blogg
  4. OT/IoT/ICS
  5. IT/OT Segmentering

IT/OT Segmentering

Blogg OT/IoT/ICS

Share

Spårning av framgångsrika överträdelser när angripare äventyrat en ingångspunkt

Skapa fästen inom fästningen

En av de mest grundläggande säkerhetsfrågorna som hittades vid spårning av framgångsrika överträdelser är att när angripare hade äventyrat en ingångspunkt, kunde de röra sig ganska lätt inom nätverket. Medan den yttre omkretsen visade sig vara ganska motståndskraftig, fanns det praktiskt taget ingen kontroll som kunde begränsa det som kallas ”lateral movement” inom offrens nätverk.

Den goda nyheten är att det finns en lösning gällande detta problem. När en hotaktör har lurat och arbetat sig in i en del av nätverket, säg kontoret för plats A – varför inte konfrontera dem med en annan brandvägg när de försöker komma åt plats B? Och varför inte se till att de möter en mer avancerad brandvägg att knäcka när de försöker komma åt bokföringen? Detta kallas “segmentering” och även om det borde vara bästa praxis, hoppas det ofta över, även om moderna brandväggar lätt kan implementera detta, om de är rätt konfigurerade.

 

Utnyttja alla funktioner i nästa generations brandvägg

Segmentering påverkar alla lager i lagermodellen för OSI. Förutom en rent fysisk separation (Lager 1), bildandet av virtuella LAN (VLAN) på Lager 2 och uppdelningen av ett nätverk i subnät (Lager 3) möjliggör dagens teknik också en strikt isolering av nätverkstrafik i de högre lagren. 4-7, t.ex. genom användning av nästa generations brandvägg (NGFW). Och medan segmentering bör ställas in av experter: när den väl är klar kommer den att öka er säkerhet och det värde som ni får av er brandvägg.

Fokuserar på OT-sammanhang

Industriella nätverk använder mycket liknande tekniker som ni känner till från ert företag och IT-kontor. De flesta är baserade på IP och Ethernet och använder trådlösa eller trådbundna överföringsvägar. Men det är här likheterna slutar. Seriella överföringsvägar används fortfarande i stor utsträckning idag, till exempel RS232 eller RS485.

Krav som realtid, toleransfel, säker bandbredd och latens är extremt viktiga i industriella nätverk. Tillgängligheten primeras över datans integritet och konfidentialitet, med allvarliga konsekvenser. Dessa designprinciper för industriprotokoll överförs idag till Ethernet och IP, och hela industrisystemets landskap migreras till dem.

Detta betyder att allmänt förekommande nätverk med samma teknik som inom företags- och kontors-IT har obehagliga biverkningar: betydande säkerhetsrisker om att inga lämpliga nätverksdesignprinciper används, t.ex. anpassade nätverkssegmenteringar.

Infrastruktursegmentering är det första steget i en helhetssyn på både er klassiska IT och industriella produktionslandskap.

 

IT/OT Segmentering: Service som vi erbjuder

  • Vi kontrollerar er infrastruktur och förbereder arkitekturen för effektiv segmentering
  • Vi tar hand om leverans, installation och konfiguration av NGFW
  • Ni kan lita på ett team av erfarna NGFW-experter när som helst i er fortsatta resa

Våra partners inom teknologi:

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.