СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Блоги
Cloud Networks
Вчера в 15:09
#Статьи #ИБ#Инфра

Сегментация сети на производстве, разделение IT и OT, контроль межсетевых потоков и обработка обоснованных исключений

Сегментация сети на производстве, разделение IT и OT, контроль межсетевых потоков и обработка обоснованных исключений

Защита сетей передачи данных на промышленном предприятии — это комплексная задача, выходящая за рамки стандартной корпоративной безопасности. Её главная специфика заключается в конвергенции IT-сетей (офисных систем, ERP, почта и т.д.) и OT-сетей (АСУ ТП, станков ЧПУ). В то время как для IT на первый план выходит конфиденциальность, нарушение которой (например, утечка клиентской информации) приводит к репутационным и финансовым потерям, для OT абсолютными приоритетами являются обеспечение доступности промышленных систем и безопасности производственного персонала. Остановка технологической установки или авария из-за кибератаки могут привести к катастрофическим последствиям.

Для эффективного решения поставленной задачи необходимо разделить IT- и OT-сети, что позволит построить сбалансированную стратегию защиты, учитывающую особенности и приоритеты каждого контура.

Поскольку современные угрозы, такие как целенаправленные атаки, использование легитимных протоколов и атаки программ-вымогателей, способны выводить из строя оборудование, защита сетей на промышленном предприятии должна строиться по принципу «эшелонированной обороны», включающей несколько рубежей защиты.

Первый рубеж защиты должен разделять внутреннюю сеть предприятия и внешние сети, формируя базу для отражения основных сетевых атак и DDoS-атак.

Второй рубеж предназначен для изоляции промышленных сетей от внутренней сети предприятия, а также для парирования угроз, возникающих в случае преодоления злоумышленником первого рубежа.

С учетом особенностей функционирования промышленного предприятия необходимо выделить следующие аспекты сегментирования сети:

В офисной сети необходимо выделить пользовательскую сеть и инфраструктурный сегмент. Доступ к инфраструктурному сегменту должен осуществляться через DMZ, а сам сегмент — включать в себя следующие подсегменты:

  • инфраструктурные серверы (службы каталогов, почта, серверы приложений, баз данных и т.д.)
  • серверы, содержащие конфиденциальную информацию
  • серверы управления системой защиты информации
  • прочие серверы с учетом особенностей предприятия

Для снижения последствий компьютерных атак рекомендуется разделить технологическую сеть предприятия по цехам (производствам) путём их физического или логического разбиения — при этом серверы сбора и агрегации данных, а также серверы управления системой защиты информации, должны располагаться в технологической зоне DMZ.

Взаимодействие различных сегментов сетей должно осуществляться по принципу минимально необходимого доступа и политики «всё, что не разрешено, — запрещено». Для контроля межсетевых взаимодействий в OT-сети могут использоваться специализированные промышленные межсетевые экраны, поддерживающие фильтрацию промышленных протоколов (Modbus, Profinet и т.д.).

Управление и контроль сетевого трафика между сегментами сети должны осуществляться посредством внедрения списков контроля доступа (ACL), учитывающих категории обрабатываемой в этих сегментах информации.

Используемое оборудование для сегментации сетей должно обеспечивать масштабируемость и отказоустойчивость, в том числе за счёт использования резервных каналов связи, отказоустойчивых межсетевых экранов или балансировщиков нагрузки.

Для контроля межсетевых потоков и контроля функционирования оборудования IT- и OT-сети необходимо использовать системы мониторинга сети (SIEM-системы) и системы централизованного управления межсетевыми экранами, которые в режиме реального времени позволяют осуществлять контроль состояния информационной безопасности.

Для выявления аномалий в сетях передачи данных необходимо использовать NTA/NDR-решения, которые позволяют выявить известные и неизвестные угрозы.

Таким образом, грамотное разделение сети позволяет:

  • оптимизировать трафик, функционирующий в сетях передачи данных
  • снизить риски распространения атак
  • своевременно локализовать инциденты и ограничить ущерб
  • улучшить безопасность сети
  • снизить риски несанкционированного доступа к конфиденциальной информации

Автор: Иван Алексеев, Руководитель группы организационно-правового обеспечения Cloud Networks

Cloud Networks
Автор: Cloud Networks
Cloud Networks — бизнес-партнёр по безопасной цифровой трансформации и экономике данных. С 2015 года проектируем, внедряем и сопровождаем ИТ-инфраструктуру ведущих компаний и крупных промышленных предприятий России с упором на информационную безопасность. Консалтинг, управление безопасностью (MSS) и другие сервисы позволяют не только создавать, но и поддерживать надёжную и защищённую цифровую среду, где бизнес работает без рисков и угроз.
Комментарии: