Netwerksegmentatie is een belangrijke aanpak voor cyberhygiëne - en soms zelfs van levensbelang. Het verbinden van de OT-omgeving met je IT-netwerk kan kwetsbaarheden veroorzaken, omdat de connectiviteit OT-systemen blootstelt aan cyberbedreigingen die kritieke activiteiten kunnen manipuleren of verstoren. Tegelijkertijd is er behoefte aan realtime informatiedeling om te weten wat er gebeurt in de OT-omgeving.
Onze DataDiode lost dit probleem op door te zorgen voor een unidirectionele gegevensstroom op het hoogste beveiligingsniveau. Door te voorkomen dat gegevens je OT-omgeving binnenkomen via omgekeerde gegevenspaden, kun je voorkomen dat externe bedreigingen het OT-netwerk binnendringen. In combinatie met een tool voor privileged access management (PAM) kan je organisatie de OT-omgeving beveiligen en tegelijkertijd veilige gegevensoverdracht naar je IT-omgeving toestaan.
De uitdaging
Stel je een bedrijf voor met een netwerk dat bestaat uit verschillende segmenten, waaronder een zeer veilige OT-omgeving en een minder veilig IT-netwerk. De interne OT-omgeving bevat kritieke systemen die niet mogen worden blootgesteld aan externe bedreigingen.
Tegelijkertijd is er behoefte aan realtime informatiedeling om te weten wat er gebeurt in de OT-omgeving. Hoe garandeer je de veiligheid, integriteit en beschikbaarheid van het OT-systeem?
De oplossing
Organisaties kunnen het risico van een inbreuk op de beveiliging in de OT-omgeving minimaliseren door strikt te controleren en te beperken wie toegang heeft, in welk tijdsbestek en onder alleen specifieke omstandigheden. Dit moet worden gedaan om het risico te voorkomen dat gegevens of bedreigingen van buitenaf het streng beveiligde netwerk binnenkomen.
Door een PAM-oplossing te combineren met onze DataDiode wordt de uitgaande informatiestroom van OT naar IT op hardwareniveau beschermd, terwijl de inkomende verbinding van IT naar OT sterk wordt gereguleerd en bewaakt.
Hoe het werkt
Privileged Access Management is een aanpak die is ontworpen om het gebruik van beheerdersaccounts en andere privileges binnen een organisatie te beheren en te beveiligen. In de context van het gebruik van een DataDiode kunnen we een PAM-aanpak gebruiken om ervoor te zorgen dat alleen geautoriseerde en geverifieerde gebruikers toegang hebben tot de OT-omgeving om controles, onderhoud en specifieke rapporten uit te voeren.
Stap 1: DataDiode implementeren: Configureer de DataDiode om eenrichtingsverkeer van gegevens af te dwingen, zodat gegevens alleen van de OT-omgeving naar de IT-omgeving kunnen gaan zonder de mogelijkheid van omgekeerde communicatie.
Stap 2. Identificatie van bevoorrechte accounts: Identificeer welke gebruikers of rollen binnen de organisatie toegang nodig hebben tot de DataDiode om gegevens over te dragen. Dit kunnen systeembeheerders, beveiligingsspecialisten of specifieke applicatiebeheerders zijn.
Stap 3. Granulaire toegangscontrole: Configureer toegangscontroles zodat alleen bevoegde gebruikers specifieke acties kunnen uitvoeren gedurende een bepaalde tijd. Bijvoorbeeld om toegang te krijgen tot een turbine om problemen op te lossen.
Stap 4. Sessiebewaking en logging: Bewaak alle sessies en activiteiten die plaatsvinden binnen het operationele netwerk.
Stap 5. Just-In-Time toegang: Beperk de tijd dat privileges actief zijn tot alleen wanneer het absoluut noodzakelijk is. Geef gebruikers tijdelijke toegang die na een bepaalde periode automatisch verloopt.
6. Audit en rapportage: Regelmatige audits uitvoeren om ervoor te zorgen dat het beveiligingsbeleid wordt nageleefd. Logboeken analyseren en rapporten genereren om verdachte activiteiten snel op te sporen en erop te reageren.
De voordelen
- Veilige, realtime bewaking: de DataDiode zorgt voor een continue, veilige gegevensstroom naar IT-systemen voor effectieve bewaking.
- Operationele continuïteit: de DataDiode beschermt de integriteit van het OT-netwerk en zorgt ervoor dat kritieke systemen onaangetast, beschikbaar en operationeel blijven.
- Voldoet aan regelgeving: De DataDiode voldoet aan strenge beveiligingseisen voor de bescherming van kritieke infrastructuur.