Protección de IoT industrial:una guía para seleccionar su arquitectura

A medida que las organizaciones conectan cada vez más las redes de control industrial al entorno de TI, las aplicaciones en la nube y los trabajadores remotos, el espacio de aire creado por la zona desmilitarizada (DMZ) se erosiona y se deben implementar nuevas formas de proteger las redes de tecnología operativa (OT).

Una solución de seguridad debe tener en cuenta las necesidades tanto de TI como de TO, proporcionando una seguridad sólida sin aumentar la sobrecarga operativa o la complejidad de la red. Para elegir la mejor solución para su organización, debe comprender las implicaciones de las diversas arquitecturas de seguridad disponibles. En esta publicación, describimos una guía para seleccionar la arquitectura adecuada para asegurar el IoT industrial.

Introducción

El primer paso para asegurar una red de IoT industrial es obtener visibilidad. Debe comprender qué dispositivos hay en la red, qué se comunican y hacia dónde se dirigen esas comunicaciones. Sin embargo, las redes tradicionales de control industrial no se construyeron para proporcionar estos conocimientos.

Afortunadamente, la tecnología para lograr la visibilidad de la red está disponible hoy. La inspección profunda de paquetes (DPI) decodifica todos los flujos de comunicación y extrae el contenido de los mensajes y los encabezados de los paquetes, lo que brinda la visibilidad para comprender qué dispositivos necesita proteger y qué se comunican. Esto no solo le permite crear las políticas de seguridad adecuadas, sino que también le brinda la capacidad de detectar comportamientos anormales, como comandos ilegítimos a las máquinas, que podrían tener efectos desastrosos.

Selección de su arquitectura

Al recopilar paquetes de red para realizar DPI, los proveedores de soluciones de seguridad suelen emplear una de dos arquitecturas:

1. Configure conmutadores de red para enviar tráfico a un servidor central que realiza DPI
2. Implemente dispositivos de seguridad dedicados en cada conmutador de red

Si bien ambos enfoques pueden brindar visibilidad de la red, también crean nuevos desafíos. La configuración de conmutadores de red para enviar tráfico a un servidor central requiere la duplicación de flujos de red, lo que puede ser complejo y costoso. La congestión adicional de la red también puede crear latencia en la red, a menudo un compromiso inaceptable.

La implementación de un dispositivo de seguridad resuelve los problemas asociados con la duplicación del tráfico de red. El dispositivo recopila y analiza el tráfico de red en el conmutador y solo envía metadatos a un servidor para un análisis adicional. Sin embargo, la visibilidad completa requiere la instalación, administración y mantenimiento de hardware dedicado para todos y cada uno de los conmutadores de la red. Esto puede generar rápidamente desafíos de costos y escalabilidad. Y para ser eficaz, la seguridad requiere una visibilidad total. Incluso dejar un interruptor "en la oscuridad" presenta un riesgo.

Un enfoque alternativo

Existe una mejor manera de lograr una visibilidad total de la red y un tercer enfoque arquitectónico:implementar conmutadores de grado industrial con capacidad nativa de DPI. Esto elimina la necesidad de duplicar los flujos de red e implementar dispositivos adicionales. Obtener la funcionalidad de visibilidad y seguridad es simplemente una cuestión de activar una función dentro del conmutador. El costo, el tráfico y la sobrecarga operativa se minimizan.

La integración de DPI en el conmutador de red brinda beneficios únicos tanto de TI como de TO. TI puede aprovechar su conjunto de habilidades existente para proteger la red OT sin tener que administrar hardware adicional o tráfico de red. OT puede obtener una visibilidad de las operaciones que nunca antes había tenido, ya que ahora se puede analizar todo el tráfico de la red industrial, lo que proporciona información analítica valiosa sobre los sistemas de control.

Al evaluar las soluciones de seguridad OT, tenga en cuenta sus implicaciones arquitectónicas. Para simplificar la implementación y hacerla escalable, la mejor opción es incorporar capacidades de seguridad en el conmutador. Esto requiere equipo de red que tenga capacidades de cómputo industrial; busque conmutadores habilitados para DPI que estén diseñados para IoT industrial.

Este es el enfoque que adoptamos con Cisco Cyber ​​Vision. Aprovecha una arquitectura de computación de borde única que permite que los componentes de monitoreo de seguridad se ejecuten dentro de nuestro equipo de red industrial, lo que brinda visibilidad, información operativa y detección integral de amenazas para el entorno de OT.

Los beneficios de Cisco Cyber ​​Vision no se limitan a las organizaciones con redes Cisco; el sensor también está disponible dentro del dispositivo Cisco IC3000 que analiza el tráfico en el borde conectándose a sus dispositivos de red heredados. Esto proporciona la máxima flexibilidad de implementación para satisfacer sus necesidades con su red existente, al tiempo que le da tiempo para reemplazar los conmutadores más antiguos con equipos de red habilitados para DPI que son capaces de ver todo lo que se adjunta a ellos.

Si desea obtener más información, consulte el documento técnico, "Un enfoque de arquitectura de borde para proteger las redes de IoT industriales", en el que exploramos más a fondo las tres arquitecturas de seguridad presentadas aquí y cómo la integración de DPI en el conmutador de red satisface las necesidades de tanto TI como OT.