Search

IT/OT Segmentering påverkar alla lager i OSI-lagermodellen

  1. Sweden
  2. Lösningar
  3. Industriell cybersäkerhet
  4. IT/OT Segmentering

Skapa starka fästen inom fästningen

En av de mest grundläggande säkerhetsfrågorna när man spårar framgångsrika intrång är att när angriparna väl hade komprometterat en ingångspunkt kunde de röra sig ganska enkelt inom nätverket. Så även om den yttre perimetern visade sig vara ganska motståndskraftig fanns det praktiskt taget ingen kontroll som kunde begränsa det som kallas "lateral förflyttning" inom offrets nätverk.

Den goda nyheten är att det finns en lösning på problemet. När en hotaktör har lurat och arbetat sig in i en enda del av nätverket, till exempel kontoret på plats A - varför inte konfrontera dem med en annan brandvägg när de försöker komma åt plats B? Varför inte konfrontera dem med en mycket mer svårknäckt brandvägg när de försöker få tillgång till ekonomisystemen? Detta kallas "segmentering" och även om det borde vara bästa praxis hoppar man ofta över det. Detta trots att moderna brandväggar lätt kan implementera detta om de konfigureras korrekt.

Utnyttja alla funktioner i nästa generations brandvägg

Segmentering påverkar alla lager i OSI-lagermodellen. Förutom en rent fysisk separation (lager 1), bildandet av virtuella LAN (VLAN) på lager 2 och uppdelningen av ett nätverk i subnät (lager 3), möjliggör dagens teknik också en strikt isolering av nätverkstrafik på de högre lagren 4 -7, t.ex. genom användning av en nästa generations brandvägg (NGFW). Och även om segmentering bör utföras av experter: när det väl är gjort kommer det att öka både säkerheten och det värde ni får ut av er brandvägg.

Fokusering på OT-kontext

Industriella nätverk använder mycket liknande teknik som ni känner igen från er IT för företag och kontor. De flesta är baserade på IP och Ethernet och använder trådlösa eller trådbundna överföringsvägar. Men det är här likheterna slutar. Seriella överföringsvägar används fortfarande i stor utsträckning idag, t.ex. Modbus över RS-232 eller RS-485.

Krav som realtid, feltolerans, garanterad bandbredd och latens är extremt viktiga i industriella nätverk. Tillgänglighet och integritet är viktigare än konfidentialitet för data, och detta medför att andra designprinciper, jämfört med IT, blir gällande. Dessa designprinciper för industriella protokoll överförs idag till Ethernet och IP, och hela industriella systemlandskap migreras till dem.

Det som å ena sidan innebär allestädes närvarande nätverk med samma teknik som i IT för företag och kontor har å andra sidan obehagliga bieffekter: betydande säkerhetsrisker om inga lämpliga principer för nätverksdesign används, t.ex. anpassade nätverkssegmenteringar.

Segmentering av infrastrukturen är det första steget i en helhetssyn på både er klassiska IT och ert industriella produktionslandskap.

Tjänster som vi erbjuder:

  • Vi kontrollerar er infrastruktur och förbereder arkitekturen för effektiv segmentering
  • Vi tar hand om leverans, installation och konfiguration av NGFW
  • Du kan också förlita er på ett team av erfarna NGFW-experter när som helst under den fortsatta kursen

Våra partners inom teknik:

Incident Response Hotline

Facing cyber incidents right now?

Contact our 24/7/365 world wide service incident response hotline.