Voir la traduction automatique
Ceci est une traduction automatique. Pour voir le texte original en anglais cliquez ici
#Livres blancs
{{{sourceTextContent.title}}}
Les commutateurs industriels d'Ethernet augmentent la sécurité de Cyber à aucun coût
{{{sourceTextContent.subTitle}}}
La défense détaillée est identifiée en tant qu'une des pratiques principales pour fixer les réseaux industriels
{{{sourceTextContent.description}}}
Rédacteur ? note de s : Cet article a été créé avec l'expertise de la marque Cooksley, d'un chef de produit avec l'automation et la commande de Hirschmann et d'un expert en sécurité industrielle de cyber.
Il implique d'employer les types multiples de défenses à différentes couches dans le réseau afin de fournir une résistance plus élevée aux attaques qu'est possible avec une défense simple, telle qu'un mur à l'épreuve du feu de périmètre.
Bien, grand, nous savons ceci ? mais, quelles sont les manières pratiques de mettre ce concept en pratique ? Votre première étape devrait être de faire une évaluation des risques et de donner la priorité à vos risques et à leurs contre-mesures.
En parallèle, pensez à vos défenses courantes, qui incluent probablement le mur à l'épreuve du feu de périmètre. Incluent-elles également tirer profit des fonctions de sécurité incorporées à d'autres dispositifs de réseau ?
Pendant que le matériel de réseau est devenu plus puissant, il a augmenté pour inclure des possibilités de sécurité. La plupart des commutateurs contrôlés d'Ethernet incluent des dispositifs de sécurité de cyber pour se protéger et ils sont une manière d'augmenter la sécurité de votre réseau sans frais supplémentaires.
Pour s'assurer vous ne manquent pas facile de mettre en application des perfectionnements de sécurité, laissez ? s jettent un coup d'oeil à certains des dispositifs de sécurité établis dans des commutateurs, de ce type de nos marques de Hirschmann et de GarrettCom.
Protocoles de transmission de limite
Un type de protection franche est de limiter des protocoles de transmission seulement à ceux qui sont nécessaires pour contrôler un dispositif d'infrastructure en réseau. La table au-dessous des expositions a recommandé des restrictions pour des protocoles de gestion commune employés par les systèmes de contrôle industriels (ICS).
Limitez les IP address qui peuvent accéder à des dispositifs
Une autre couche de la défense est de limiter les IP address qui peuvent accéder à des dispositifs. Pour faire ceci, spécifiez quels IP address sont permis d'accéder aux interfaces de gestion de dispositif. Spécifiez, que les protocoles chaque IP address peuvent employer.
Un attaquant devrait alors charrier l'IP address de la station de gestion pour atteindre les dispositifs, qui exigeraient la plus grande connaissance et ELLE des qualifications.
Tandis que ces deux techniques peuvent sembler de base, utilisé ensemble elles sont une technique très efficace pour empêcher l'accès non désiré aux dispositifs d'infrastructure en réseau.
Commandez l'accès d'utilisateur
En termes d'accès d'utilisateur, prenez le temps de fournir différentes ouvertures à différents utilisateurs. Assignez un rôle d'apropriate à chaque utilisateur et donnez à des invités l'accès inaltérable. Les opérateurs ont besoin d'accès lecture/écriture, mais ne devraient pas avoir accès aux paramètres de sécurité. Naturellement, l'administrateur a besoin de plein accès lecture/écriture.
Les utilisateurs devraient avoir des mots de passe uniques qui sont robustes. Mettez en application une politique de mot de passe qui exige des mots de passe d'avoir :
Une longueur minimum
Au moins un caractère majuscule, minuscule, nombre et caractère spécial
Placez également un nombre maximum des tentatives d'ouverture.
Authentification
Il est difficile de ne pas exagérer l'importance de ceci. Au cours de ces dernières années, un certain nombre de vulnérabilités d'ICS sont concernées des dispositifs par les mots de passe de défaut qui ne pourraient pas être changés. Les raisons de ceci ont pu avoir été facilité de l'entretien, soucis concernant le rétablissement rapide ou intégration facile avec d'autres systèmes. Du point de vue fonctionnement il rend des choses plus simples, mais c'est une pratique peu sûre.
Vous devriez établir une liste d'authentification d'ouverture et puis stocker la liste localement ou à distance sur un serveur de RAYON.
Un autre aspect de la protection de dispositif est de chiffrer son fichier de configuration en le stockant sur la mémoire externe. Tandis que ceci le rend plus complexe pour remplacer un dispositif, il rend l'accès non autorisé au fichier de configuration plus difficile.
Détectez les conflits d'IP address
Les IP address doubles pourraient indiquer qu'un attaquant essaye de venir à bout la restriction d'IP address. Alternativement, ils pourraient exécuter un déni de service délibéré l'attaque, qui empêcherait une station de gestion du réseau de voir le dispositif.
Ou, les conflits d'IP address peuvent être un indicateur de l'erreur humaine, qui est elle-même un risque pour la sécurité.
Il y a deux manières de détecter si l'IP address d'un dispositif d'infrastructure en réseau également est employé par un dispositif d'extrémité. On est de faire vérifier le dispositif activement si un IP address est déjà en service. L'autre manière est de faire analyser le dispositif passivement le trafic et la montre de réseau pour ses propres adresse.
Si un autre IP address est détecté, le commutateur essaye de défendre son IP address en forçant l'autre dispositif pour changer l'IP address qu'il emploie. Si ceci ne fonctionne pas, le dispositif de réseau cesse d'employer l'IP address problématique.
Statut de sécurité
Dans un monde parfait, un ingénieur qui configure le réseau ne fait jamais une erreur. En réalité, quand la fonctionnalité de configuration de sécurité sur des dispositifs d'infrastructure en réseau, il est toute trop facile de donner sur accidentellement quelque chose. Qu'une petite inadvertance pourrait fournir la porte les besoins d'un attaquant.
Les derniers commutateurs et logiciel de gestion du réseau (tel que HiVision industriel) fournissent une vue d'ensemble du statut de sécurité de dispositifs d'infrastructure en réseau d'un coup d'oeil. Même si vous n'êtes pas un expert en matière de sécurité, ceci portera des faiblesses de sécurité dans l'infrastructure à votre connaissance, avant qu'une personne avec l'intention malveillante puisse tirer profit de l'erreur.
Les défenses de dispositif augmentent la sécurité industrielle de Cyber
Tandis que la sécurité peut être une matière complexe, elle descend vraiment à utiliser uns les principes directeurs principaux, dont la défense détaillée est une. En pensant à la défense détaillée dans votre propre contexte, rappelez-vous d'inclure passer en revue et mettre en application les mesures de sécurité possibles avec des dispositifs de réseau, tels que les commutateurs contrôlés.
Ce blog a regardé juste quelques unes des mesures de sécurité disponibles dans des commutateurs, y compris ceux des produits de notre de Hirschmann et de GarrettCom. En futurs articles, nous regarderons la façon dont la fonctionnalité de sécurité établie dans des dispositifs d'infrastructure en réseau peut être employée pour imposer une politique d'accès de réseau pour des dispositifs d'extrémité, et empêcherons le trafic malveillant écartant à travers un réseau.
{{medias[5364].description}}
{{medias[5365].description}}