Dlaczego tyle... Modeli/sposobów/twarzy/momentów

Podobne dokumenty
zania z zakresu cyberbezpieczeństwa systemów w SCADA

Palo Alto firewall nowej generacji

Digital WorkPlace według Aruba Networks. Robert Miros Network Solution Architect

VPN dla CEPIK 2.0. Józef Gawron. (wirtualna sieć prywatna dla CEPIK 2.0) Radom, 2 lipiec 2016 r.

Marek Pyka,PhD. Paulina Januszkiewicz

Wirtualizacja sieci - VMware NSX

Przegląd protokołów komunikacyjnych automatyki przemysłowej w aspekcie bezpieczeństwa sieci OT. Suchy Las, maj 2017

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Uwierzytelnianie użytkowników sieci bezprzewodowej z wykorzystaniem serwera Radius (Windows 2008)

Projektowanie zabezpieczeń Centrów Danych oraz innych systemów informatycznych o podwyższonych wymaganiach bezpieczeństwa

Zabezpieczanie systemu Windows Server 2016

Architektura Cisco TrustSec

DESIGNED FOR ALL-WIRELESS WORLD

Opis przedmiotu zamówienia

Teoria i praktyka wdrożeniowa zabezpieczeń NAC w oparciu o technologię Juniper UAC. Radosław Wal radosław.wal@clico.pl

Mikrosegmentacja w sieciach kampusowych Temat slajdu. Aruba 360 Security Fabric

Jak podejść do wdrożenia NSX a na istniejącej infrastrukturze. Michał Iwańczuk SafeKom

Zdalne logowanie do serwerów

Securing the Cloud Infrastructure

Integracja systemu antymalwarowego HP ATA z urządzeniami bezpieczeństwa sieciowego HP NGIPS. Sebastian Mazurczyk Warszawa / 19, 06, 2015

AUL33 Zbuduj i sprawdź działanie różnych topologii sieci Ethernet/IP. Poznaj nowe funkcje przemysłowego przełącznika Stratix 5700.

PARAMETRY TECHNICZNE I FUNKCJONALNE

Systemy Firewall. Grzegorz Blinowski. "CC" - Open Computer Systems. Grzegorz.Blinowski@cc.com.pl

SZCZEGÓŁOWE OKREŚLENIE Urządzenie typu FIREWALL

Kontrola dostępu do sieci lokalnych (LAN)

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

BEFSR11 / 41. Routing statyczny Routing dynamiczny (RIP-1 / RIP-2)

Konfiguracja bezpiecznego tunelu IPSec VPN w oparciu o bramę ZyWall35 i klienta ZyXEL RSC (Remote Security Client).

WYMAGANE PARAMETRY TECHNICZNE OFEROWANYCH URZĄDZEŃ ZABEZPIECZAJĄCYCH

CZĘŚĆ IV ZAMÓWIENIA OBLIGATORYJNE WYMAGANIA TECHNICZNE

Wymagania techniczne przedmiotu zamówienia. Część nr III

Skuteczna kontrola aplikacji i działao użytkowników w sieci Rozwiązanie Palo Alto Networks. Agenda

! Retina. Wyłączny dystrybutor w Polsce

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Budowa bezpiecznej sieci w małych jednostkach Artur Cieślik

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Sieci bezprzewodowe WiFi

Załącznik nr 2 do I wyjaśnień treści SIWZ

AGENDA. Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej - studium przypadku

OT integracja i rozwój czy bezpieczeństwo?

WYMAGANIA TECHNICZNE. Oferowany model *.. Producent *..

OPIS PRZEDMIOTU ZAMÓWIENIA

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Przedmiotem zamówienia są dwa firewalle wraz z funkcjonalnością IPS. Lp. Urządzenie Part number producenta Ilość

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

9:45 Powitanie. 12:30 13:00 Lunch

ARCHIWUM PAŃSTWOWE W ZIELONEJ GÓRZE. Parametry graniczne i wymagalne dla sprzętu dostarczonego przez oferenta.

Specyfikacja techniczna

Producent. Rok produkcji..

Aktywna ochrona sieci z wykorzystaniem urządzeń Fortinet

FORMULARZ OFERTOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Zadanie OUTSIDE /24. dmz. outside /24. security- level /16

Minimalne wymagania techniczne dla systemu:

Inwazja security na świat wirtualny VPN-1 VE Radosław Wal CLICO

Przełą. łączniki Ethernetowe

ZADANIE II. DOSTAWA, INSTALACJA I WDROŻENIE URZĄDZENIA FIREWALL UTM NOWEJ GENERACJI. 1. Minimalne parametry urządzenia

Bezpieczeństwo Systemów Sieciowych

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

Dostawa urządzenia sieciowego UTM.

SPECYFIKACJA TECHNICZNA ZAŁĄCZNIK NR 1 DO SIWZ

ZiMSK. Konsola, TELNET, SSH 1

ZADANIE.07. Procesy Bezpieczeństwa Sieciowego v.2011alfa ZADANIE.07. VPN RA Virtual Private Network Remote Access (Router) - 1 -

Bezpieczeństwo jako fundament budowy Społeczeństwa Informacyjnego w JST Beata Haber IS Account Manager wbeata@cisco.

Porty przełącznika: 8 lub więcej portów typu 10/100/1000Base-T 2 lub więcej porty SFP Gigabit Ethernet (obsługujące również moduły SFP Fast Ethernet)

NIEUPOWAśNIONYM WSTĘP WZBRONIONY

OPIS PRZEDMIOTU ZAMÓWIENIA. Dotyczy postępowania : Zakup licencji na system zabezpieczeń dla Urzędu Miejskiego w Gliwicach.

Część 2: Dostawa i konfiguracja sprzętowej zapory sieciowej (UTM - Unified Threat Management)

MODEL WARSTWOWY PROTOKOŁY TCP/IP

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Wprowadzenie do Active Directory. Udostępnianie katalogów

1.2. Urządzenie ma obsługiwać translacje adresów NAT, PAT, 1-PAT.

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Systemy Sieciowe. Katedra Informatyki Stosowanej, PŁ

Check Point Endpoint Security

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

ER5120 router xdsl 1WAN 1DMZ 3WAN/LAN

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

Projekt centralnie zarządzanej sieci WLAN dla dużej organizacji wieloodziałowej. Mateusz Grajewski Systems Engineer, CCIE R&S

Sieci VPN SSL czy IPSec?

Załącznik nr 02 do OPZ - Zapora ogniowa typu A

Zapytanie ofertowe na aktualizację urządzenia UTM

MBUM #2 MikroTik Beer User Meeting

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

Szczegółowy opis przedmiotu zamówienia Specyfikacja:

Eduroam - swobodny dostęp do Internetu

U TM U liczba sesji równoległych. liczba sesji równoległych. liczba sesji równoległych. liczba sesji równoległych

Konfiguracja aplikacji ZyXEL Remote Security Client:

CYBEROAM Unified Treatment Management, Next Generation Firewall

Wysoka dostępność w układach automatyki

Projektowanie sieci metodą Top-Down

Opis przedmiotu zamówienia.

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

Opis przedmiotu zamówienia

Plan wykładu. 1. Sieć komputerowa 2. Rodzaje sieci 3. Topologie sieci 4. Karta sieciowa 5. Protokoły używane w sieciach LAN 6.

Praktyczne wykorzystanie mechanizmów zabezpieczeń w aplikacjach chmurowych na przykładzie MS Azure

Transkrypt:

Cisco IOT Security

Dlaczego tyle... Modeli/sposobów/twarzy/momentów Podejście zadaniowe Mam konkretny kejs Mam opisane możliwe rozwiązanie Wybieram najlepsze Podejście technologiczne Znam konkretną technologię Podejmuję wyzwanie wykorzystania jej w sieciach OT/IOT Podejście architektoniczne Korzystam z rekomendowanych architektur

Cisco IOT Security Podejście Zadaniowe

Podejście zadaniowe czyli typowe scenariusze Oddzielenie sieci OT od IT Separacja segmentów OT Separacja OT od innych sieci wspomagających Inspekcja komunikacji OT Zdalny dostęp Segmentacja i szyfrowanie danych Dostęp osób trzecich w zdalnych obiektach Etc....

Cisco IOT Security Zdalny dostęp do sieci ICS kontra Dostęp lokalny do zdalnej sieci ICS

Bezpieczeństwo połączenia Zastosowanie Lokalny dostęp do sieci w zdalnych obiektach Komunikacja wychodząca Fabryki Stacje energetyczne Zdalny dostęp do sieci w obiektach Komunikacja przychodząca Fabryki Stacje energetyczne Dodatkowe funkcjonalności Threat Detection and Mitigation

Dostęp do sieci komunikacja wychodząca Zapewnienie bezpiecznego i kontrolowanego dostępu w zdalnych obiektach Zastosowanie w IoT Zarządzanie dostępem dla zdalnych pracowników na stacji energetycznej Dostęp pracownika/podwykonawcy/gościa do sieci w zdalnej fabryce Dostęp dla sieci dla pracowników utrzymania Wymagania 1. Sprawdzenie tożsamości 2. Kontrola/ograniczenie dostępu do zasobów 3. Kontrola pasma

Dostęp do sieci komunikacja wychodząca Kroki Narzędzia Produkty Uwagi Sprawdzenie tożsamości 802.1x Mac Authentication Bypass (MAB) Port Security ze statycznym MAC IE2000 (&IE4000) IE2000U IE3000 IE3010 (&IE5000) CGS2520 MAB stosowany względem klientów bez suplikanta 802.1x np. PLC i innych urządzeń końcowych IoT Kontrola / ograniczenie dostępu do zasobów VLAN ACL IP based, rozszerzone dla filtracji per port per protokół, stosowane per VLAN Time based ACL czasowa filtracja IE2000 (&IE4000) IE2000U IE3000 IE3010 (&IE5000) CGS2520 CGR2010 ASR90x 819H (829) ACL na routerach brzegowych ograniczające dostęp do zasobów zewnętrznych np. Interenetu (IP based & Time based) Kontrola pasma Rate limiting QoS Traffic shaping & policing IE2000 (&IE4000) IE2000U IE3000 IE3010 (&IE5000) CGS2520 Rate limiting i polityki QoS na przełącznikach dostępowych ograniczające pasmo i dopuszczające konkretny typ ruchu

Sprawdzenie tożsamości Internet Funkcja celu AD MDM DNS FTP Firewall (Active) Gbps Link for Failover Detection Cisco ASA 5500 Patch Management, Terminal Services, Application Mirrors, AV Servers Enterprise Network Dopuszczenie tylko znanych urządzeń Levels 4 5 Ograniczenie liczby urządzeń, które mogą być dopięte per port DMZ Zapobieganie by Level urządzenia 3.5 nieznane/rogue nie mogły dołączyć się do sieci 802.1x WLC Cisco Catalyst 6500/4500 Narzędzia Level 3 802.1x MAB Port Security (static mac) AP Cisco Cat. 3750X Contractor Contractor Uwierzytelnienie 802.1x na portach dostępowych przełączników MAB dla endpointów które nie posiadają suplikantów Levels 0-2802.1x Port security ze statycznymi MAC address dla statycznych urządzeń końcowych

Kontrola i ograniczenie dostępu do zasobów access-list 101 permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq telnet timerange EVERYOTHERDAY time-range EVERYOTHERDAY periodic Monday Wednesday Friday 8:00 to 17:00 VLAN 10 Si Internet Time & IP based ACLna routerze brzegowym VLAN 20 Funkcja celu: Blokowanie dostępu do zasobów, które nie są przewidziane do prac serwisowych sieć biurowa, urządzenia innych dostawców Blokowanie podwykonawcy możliwości wykorzystania sieci przemysłowej do dostępu do internetu access-list ctrl-zone permit <contractor> <sis-controller> <protocol-modbus> Podwykonawca VLAN 10 VLAN 10 I/O VLAN 20 Controller VLAN 20 I/O VLAN 10 HMI PTP VLAN 10 Drive Narzędzia 1. VLANy konfiguracja portu dostępowego ograniczająca dostęp tylko do jednego vlan 2. IP & VLAN ACL na przełączniku dostępowym pozwalające na dostęp do wskazanego VLAN lub konkretnego IP 3. Time & IP ACL na routerze brzegowym dla zablokowania dostępu do internetu

Dostęp do sieci Komunikacja przychodząca Zapewnienie bezpiecznego i kontrolowanego dostępu do sieci przemysłowych z internetu Zastosowanie w IOT Zdalny dostęp inżynierski do stacji energetycznej (prace serwisowe / utrzymaniowe) Zdalny dostęp do systemów automatyki w fabrykach dla dostawców systemów, producentów linii produkcyjnych, partnerów Dostęp do sieci przemysłowej z sieci biurowej Bezpieczena komunikacja Site-to-Site pomiędzy stacjami energetycznymi a centrum kontroli Wymagania 1. Sprawdzenie tożsamości i roli 2. Poufność (prywatność) i integralność danych 3. Kontrola/ograniczenie dostępu do zasobów

Dostęp do sieci Komunikacja przychodząca Kroki Narzędzia Produkty Uwagi Sprawdzenie tożsamości i roli Remote access VPN (IPSec, SSL VPN) Site-to-Site IPSec VPN Uwierzytelnienie VPN lokalne Przez serwer (RADIUS, Microsoft AD) CGR2010 819H, 829 Stratix 5900 ASA Firewall AnyConnect Site-2-site vpn pomiędzy Stacjami energetycznymi Sieć produkcyjna/przemysłowa do control center/sieć administracyjna Remote Access VPN dla pracowników / partnerów / dostawców AnyConnect Thin Client Client less Poufność i integralność danych SSH VPN Encryption AES, DES/3DES CGR2010, 819H, 829 Stratix 5900, ASA Firewall, AnyConnect Kontrola i ograniczenie dostępu do zasobów ACL VLAN QoS Traffic shaping & policing IE2000 (&IE4000) IE2000U,IE3000 IE3010 (&IE5000) CGS2520, CGR2010, 819H, 829, Stratix 5900, ASA Firewall

Dostęp do sieci Komunikacja przychodząca Secure Business Partner Network Enterprise OT network Internet -> Enterprise -> OT network Clientless, thin client, thick client VPNs Dostęp inżynierski Przez VPN OMS OMS Prywatny WAN Service Provider WAN Enterprise Internet Enterprise Extranet Enterprise WAN S S L V P N Link Failover IPSEC Enterprise Edge Firewall Dostęp inzynierski z sieci biurowej Internet Office Domain Enterprise Zone Levels 4 and 5 DMZ Gateway PROTECTION & CONTROL RTU Relay PMU OMS Teleprotection Substation Automation Network OMS DISTRIBUTED SERVICES AMI/DA Switch Stack EtherNet/IP Remote Access Server Production Zone Plant Production Ops Operations and Control Level 3 Cell/Area Zones / Levels 0 2

Sprawdzenie tożsamości i kontrola dostępu Dostawca Serwer uwierzytelnienia OMS OMS Utility Private WAN PROTECTION & CONTROL RTU Relay PMU OMS Teleprotection Service Provider WAN Gateway Sieć na stacji energetycznej Secure Business Partner Network Pracownik OMS DISTRIBUTED SERVICES Enterprise Router brzegowy -ACL kontrolujący przepływy ruchu AMI/DA Cisco ASA Uwierzytelnienie użytkownika - lokalna baza użytkowników / RADIUS/LDAP/ AD Dostęp do VLAN x Funkcja celu: Uwierzytelnienie zdalnego użytkownika Klasyfikacja zdalny pracownik, partner, dostawca, producent linii Autoryzacja i kontrola dostępu Narzędzia: Zestawienie VPN do ASA/routera brzegowego w organizacji. Bezpieczne narzędzia dostępu AnyConnect (pracownicy) Clientless VPN (dostawcy/podwykonawcy) Uwierzytelnenie oparte o Lokalną bazę użytkowników Opcjonalnie z RADIUS, LDAP, MS AD Przypisanie VLANu dostępu Dostawcy ->PROTECTION &CONTROL Pracownicy -> cała sieć (???) Kontrola dostępu ACL na routerach dostępowych i/lub przełącznikach rdzenia/dystrybucji

Poufność i integralność danych SIEM DB SCADA OMS EMS Directory Services Certificate Authority Identity Services Engine NMS Eng Control Center, SCADA Access Control Security Services MEDIA SERVER VIDEO ANALYTICS Management, NOC Data Center, Enterprise Apps Przepływ danych poufnych przez media publiczne, 1. Szyfrowanie dla zapewnienia poufności danych, 2. Integralność danych - SHA 1 & 2 3. Uwierzytelnienie pochodzenia danych DH dla wymiany kluczy Utility Private WAN (MPLS,SDH/PDH) Service Provider WAN (MPLS/GPRS/3G/4G) Bezpieczne storage kluczy szyfrujących Szyfracja danych AES, 3DES, SSL, TLS Połaczenia szyfrowane (Site-to-site) AES, 3DES Szyfrowany zdalnyc dostęp (TLS lub SSL lub IPSec ) RTU Relay PMU Teleprotection Relay PROTECTION & CONTROL HMI OMS ENG/SYS MULTI SERVICE Sieć na stacji energetycznej DISTRIBUTED SERVICES OMS

Cisco IOT Security Podejście technologiczne Inaczej Mapowanie technologii

Mapowanie technologii Continuum Ataku BEFORE Kontrola Wymuszenie Wzmocnienie DURING Wykrycie Blokowanie Ochrona AFTER Określ zakres Wyizolowanie Remediacja Firewall VPN NGIPS Advanced Malware Protection NAC + Identity Services Posture Assessment Anomaly Detection Network Behavior Analysis Widoczność i kontekst

Kontrola dostępu do sieci NAC + Posture Assessment

Kontrola dostępu do sieci = Centralna polityka dla LAN, WLAN i VPN R/A Endpoint ISE PSN ISE ADMIN/ MnT ISP WLC AP Internet AD MDM DNS FTP Firewall (Active) Gbps Link for Failover Detection Cisco Catalyst 6500/4500 Cisco Cat. 3750X Cisco ASA 5500 Patch Management, Terminal Services, Application Mirrors, AV Servers Model zastosowania = centralizacja Enterprise kontroli Network ze względu Levels na miejsce 4 5 przyłączenia urządzenia. 1) Wprowadzenie ISE do sieci na level 3 DMZ 2) Wykorzystanie RADIUS Level 3.5 3) Centralizacja polityki dostępu / uprawnień 4) Pełne raportowanie widoczność wszystkich Level 3 endpointów w sieci. -- Rodzaj urządzenia -- nazwa użytkownika/mac/ip -- miejsce uwierzytelnienia Levels 0-2 Contractor Contractor

R/A Endpoint Zdalny dostęp użycie ISE dla centralnego uwierzytelnienia i autoryzacji ISE ADMIN/ MnT ISP Internet AD MDM DNS FTP Gbps Link for Failover Detection Patch Management, Terminal Services, Application Mirrors, AV Servers ISE + ASA -- wykorzystanie CoA -- centralny punkt definiowania polityk ASA 55XX ASA 55XX WLC Cisco Catalyst 6500/4500 Cisco Cat. 3750X ISE PSN AP Contractor Contractor

R/A Endpoint ISE PSN 3 Posture assessment dla urządzeń końcowych ISE ADMIN/ MnT ISP WLC Internet AD MDM DNS FTP Firewall (Active) Gbps Link for Failover Detection Cisco Catalyst 6500/4500 Cisco Cat. 3750X Cisco ASA 5500 Patch Management, Terminal Services, Application Mirrors, AV Servers POSTURE 1) Tradycyjne urządzenia końcowe (nie iot) 2) Weryfikacja że maszyna jest czysta + zgodna z polityką 3) Endpoint próbuje uzyskać dostęp do sieci 4) NAD - ISE 5) Sprawdzenie urządzenia końcowego 6) Sprawdzenie posture urządzenia końcowego. 2 AP 1 Contractor Contractor

Wykrywanie anomalii + lepsza widoczność per zone Anomaly Detection Intrusion Detection

Faza During: Pasywne skanowanie sieci Industrial Control Networks (ICS) Wyzwanie Odpowiedź Sieci ICS powinny być statyczne, ale zwykle trudno to zweryfikować Urządzenia ICS są dedykowanymi rozwiązaniami i nie mają nadmiaru zasobów systemowych Typowe metody dla IT discovery mogą przeciążyć urządzenia a nawet doprowadzić do jego wyłączenia (w tym zainstalowanego systemu operacyjnego) Pasywne profilowanie sieci Nie wprowadza latencji pomiędzy urządzeniami i systemem zarządzania Wpisanie na Whitelist elementów znanych i alarmowanie o anomaliach

ISE PSN Intrusion Detection - Anomaly Detection na pozimie L2 (SP99) ISE ADMIN/ MnT ISP WLC Internet AD MDM DNS FTP Firewall Cisco Catalyst 6500/4500 Cisco Cat. 3750X Defense Center Patch Management, Terminal Services, Application Mirrors, AV Servers ANOMALY DETECTION 1) Sprawdzenie 5 urządzeń poprzez L2, IDS, bez wprowadzenia dodatkowego opóźnienia 2) Wprowadzenie widoczności dla zone 3) Wiedza o zone możliwość wykrywania anomalii 4) Kontrolowane przez Defence Center AP HMI Contractor Contractor

Wzmocnienie ochrony DMZ Intrusion Prevention + Malware Defense

Dodanie IPS do firewalla chroniącego DMZ ISE PSN ISP WLC ISE ADMIN/ MnT Internet AD MDM DNS FTP Firewall Cisco Catalyst 6500/4500 Cisco Cat. 3750X Defense Center Patch Management, Terminal Services, Application Mirrors, AV Servers Ochrona DMZ 1) Segmentacja względem sieci biurowej oraz punktu terminowania połączeń Remote Access. 2) Firepower dodanie funkcjonalności do ASA 3) Wprowadzenie IPS i narzędzi antimalware 4) ASA kontroluje połączenia 5) Unikalne polityki IPS policies per grupa AD /użytkownik 6) Whitelisty per aplikacja z wykorzystaniem identity AP HMI Contractor Contractor

Ochrona przed Malware TALOS CSI ISE PSN WLC ISE ADMIN/ MnT ISP AP AD MDM 1 Internet DNS FTP Firewall Cisco Catalyst 6500/4500 Cisco Cat. 3750X Defense Center Patch Management, Terminal Services, Application Mirrors, AV Servers MALWARE 1) FireAMP zwiększa widoczność i wprowadza dodatkową linię obrony 2) W pierwszej kolejności wprowadzenia AMP na sensorach IPS 3) Okreslenie drogi wejścia (pacjent zero) 4) Określenie które systamy są zarażone (file trajectory) 5) Określenie typu zagrożenia (file analysis) 6) Określenie przyczyn infekcji 7) Zapezpieczenie systemu przed ponowną infekcją (blokowanie plików, custom sigs, custom white lists, blokowanie komunikacji call home). HMI Contractor Contractor

Ochrona HMI/Historian Advanced Malware Protection = FireAMP

ISE PSN Zabezpieczenie HMI + Historian + serwerów ISP WLC ISE ADMIN/ MnT Internet AD MDM DNS FTP Firewall Cisco Catalyst 6500/4500 Defense Center Patch Management, Terminal Services, Application Mirrors, AV Servers FireAMP 1) Kolejny krok wprowadzenia AMP dfor Endpoint 2) AMP dla HMI/Historian 3) Blokowanie podejrzanych programów / procesów Historian Cisco Cat. 3750X AP HMI Contractor Contractor

Pracownicy kontra dostawcy jak ich rozdzielić TrustSec

R/A Endpoint ISE PSN TrustSec SGT ISE ADMIN/ MnT ISP WLC Internet AD MDM DNS FTP Firewall (Active) Gbps Link for Failover Detection Cisco Catalyst 6500/4500 Cisco Cat. 3750X Cisco ASA 5500 3 SGT/IP Binding Table IP Address SGT SRC 10.1.10.1 3 Local 10.1.10.4 4 Local 4 Przypisanie znacznika TRUSTSEC wykorzystanie infrastruktury Cisco 1) Dostawca chce uzyskać połaczenie 2) ISE sprawdza urządzenie końcowe 3) IE3K nie może dodać SGT 4) Zapięcie sesji SXP do 3750 5) Szybki i prosty sposób zróżnicowania pracownika od dostawcy bez konieczności wcześniejszej konfiguracji VLAN/ACL dla firm zewnętrznych AP 2 IE3K Contractor 1 Contractor

R/A Endpoint Zdalny dostęp Clientless dla dostawców ISE ADMIN ISP Internet AD MDM DNS FTP Gbps Link for Failover Detection ASA 55XX ASA 55XX Patch Management, Terminal Services, Application Mirrors, AV Servers CLIENTLESS PORTAL -- dla dostawców/podwykonawców -- oparty o przeglądarkę -- wystawienie odnośników (Bookmark) w oparciu o uwierzytelnienie ISE PSN WLC Cisco Catalyst 6500/4500 Cisco Cat. 3750X AP Contractor Contractor

Łącząc to w całość...

Identity Services IT/OT - Elementy konwergencji Security Enterprise Network Levels 4 5 Internet Web Apps DNS FTP Cloud-based Threat Protection Całościowe wymuszenie polityki w sieci Access Control (na poziomie aplikacji) Demilitarized Zone Level 3.5 Firewall (Active) Gbps Link for Failover Detection Firewall (Standby) Patch Mgmt. Terminal Services Application Mirror AV Server VPN & Remote Access Next-Generation Firewall Intrusion Prevention (IPS) Manufacturing Zone Level 3 Factory Application Servers Cell/Area Zone Levels 0 2 Core Switches Aggregation Switch Access Switch ISE Network Services Stateful Firewall Intrusion Protection/Detection (IPS/IDS) Systemy bezpieczeństwa fizycznego Drive Controller HMI Distributed I/O Cell/Area #1 (Redundant Star Topology) Layer 2 Access Switch Controller Cell/Area #2 (Ring Topology) HMI Drive HMI Distributed I/O Cell/Area #3 (Linear Topology) Controller Drive Przemysłowy Firewall Przemysłowy Intrusion Protection (IPS) Zdalny monitoring / wideomonitoring Zarządzenie SW, zasobami i konfiguracją

Podejście architektoniczne...czyli sa gotowe architektury

Cisco Connected Factory

Cisco Connected Substation

Cisco Connected Transportation

Podsumowanie

Podsumowanie i wnioski Bez wątpienia, sieci przemysłowe są naturalnym celemi ataków APT i nie tylko Łączenie i konwergencja sieci IT oraz OT ma swoje ryzyka i korzyści. Obecnie są dostępne rozwiązania szeroko adresujące kwestie bezpieczeństwa sieci przemysłowych (defence-in-depth) Poza technologią należy położyć nacisk na Zarządzanie Reagowanie na incydenty Czynnik ludzki Bezpieczeństwo ICS jest uwzględnione w Narodowej Strategii Ochrony Cyberprzestrzeni i regulacjach dotyczących ochrony infrastruktury krytycznej.

Podsumowanie i wnioski Obszary technologiczne do dyskusji Ochrona styków FW, IPS, Antimalware Sieci VPN FW, IPS, Antimalware Kontrola dostępu uwierzytelnienie do sieci Ochrona HMI i serwerów w Layer 3 Monitoring segmentów IPS (pasywny) + monitoring Netflow... I co najmniej kilka kolejnych.... 41

Wyzwania bezpieczeństwa są wszechobecne Atakujący Nielojalni pracownicy Dynamika zagrożeń Brak zaangażowania zarządów Obrońcy Złożona sytuacja geopolityczna Niedopasowanie polityki bezpieczeństwa

Dziękujemy

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres