Bayshore è l’ultima linea di difesa: proprio come la porta blindata separa la cabina di pilotaggio dal resto dell’aereo, Bayshore mette sotto protezione i tuoi sistemi di supervisione e controllo, le macchine e gli impianti produttivi
I processi di digitalizzazione delle realtà produttive rendono necessaria una pervasiva integrazione dei vari sistemi informativi presenti a tutti i livelli dell’azienda per permettere al management una piena consapevolezza e quindi una pronta reattività che altrimenti risulterebbe impossibile.
La rete di fabbrica, a cui afferiscono tutti i sistemi di controllo e di automazione della produzione, è il cuore del processo produttivo e racchiude tutti quegli strumenti che permettono di gestire in tempo reale le linee o le macchine presenti sull’impianto ma allo stesso tempo di verificarne lo stato, di controllare il livello effettivo delle scorte, la qualità del prodotto, ecc.
È evidente che la rete OT sia fondamentale per la digitalizzazione ma racchiuda anche criticità perché ogni incidente informatico, proveniente dall’esterno o dagli altri livelli della rete, può provocare costose e potenzialmente pericolose interruzioni di servizio.
Secondo quanto contenuto nello standard IEC62443, la linea guida principale in questo settore, e come consigliato dai maggiori esperti per evitare eventuali propagazioni di problemi e contaminazioni da una zona della rete all’altra è necessario segmentare massimamente le reti e in particolare la rete di fabbrica.
Ma la rete di fabbrica presenta caratteristiche specifiche talvolta molto distanti dagli abituali standard IT, eccone alcuni esempi:
- Gli impianti e gli apparati elettro strumentali dei macchinari industriali si trovano spesso dentro cabinet elettrici in posizioni fisse, talvolta distanti tra di loro, probabilmente difficilmente raggiungibili, certamente non possono essere spostati.
- La vera segmentazione della rete, quella fisica, risulta quindi ancora più complessa di quanto si pensi, e spesso risulta difficile organizzare in zone tutti quegli endpoint fisicamente distanti e separati.
- I cabinet elettrici sono nella maggior parte dei casi non climatizzati è necessario installare quindi dispositivi industriali con caratteristiche fisiche estese.
- Le tecniche di configurazione della rete aziendali tradizionali, come VLAN e regole di routing, sono a volte difficili da implementare e gestire con il personale limitato che si occupa di sistemi e reti ICS/OT.
- I protocolli di rete OT, nella stragrande maggioranza dei casi, utilizzano messaggi non-standard che vengono trasmessi incapsulati in messaggi standard TCP/IP. Il contenuto significativo (e critico) per il funzionamento dei sistemi OT rimane però nella parte interna non-standard, sono necessari quindi dispositivi specifici di rete per analizzare in profondità (attraverso il DPI) questi messaggi.
- Gran parte dei dispositivi o end point OT non utilizzano sistemi operativi standard di mercato rendendo complessa o impossibile ogni strategia di protezione tradizionale.
- La configurazione e la manutenzione dei sistemi OT (SCADA, PLC, DCS, RTU, ecc.) normalmente non viene realizzata da personale interno ma da SI esterni all’azienda. Sono molto comuni situazioni di interazioni esterno-interno del perimetro di rete aziendale con ovvie problematiche di sicurezza.
Cosa Propone Bayshore Networks? Bayshore è l’ultima linea di difesa!
Una suite di dispositivi per la Cyber Security progettati specificatamente per le reti OT che vengono incontro ai problemi indicati precedentemente: in primo luogo un vero regalo da parte di bayshore…SCRUTINY!
Scrutiny è lo strumento di rilevamento e visualizzazione degli asset OT di Bayshore: in pratica permette di fare un’Asset Inventory in maniera passiva, senza influire sulle normali attività.
Consente agli operatori di creare lo schema di tutti i dispositivi sulla propria rete industriale, con informazioni riguardanti porte e protocolli in uso per raggiungere o essere raggiungi dai diversi dispositivi di fabbrica.
Utilizzato periodicamente permette di trovare:
- Risorse nuove e/o impreviste
- Attività di rete sospette
- Connettività di rete pericolose
E’ COMPLETAMENTE GRATUITO, CHIEDI A SERVITECNO COME OTTENERLO!
Dispositivo di interfaccia che trasferisce i dati dalla rete sensibile – trusted – (impianto) senza esporre le macchine a una rete non affidabile – untrusted – (IT aziendale, destinazioni aziendali) Ha la funzionalità di un diodo dati unidirezionale che fornisce un ponte di isolamento industriale per limitare e abilitare le comunicazioni da risorse sensibili e riservate
Consegna dei dati garantita dall’origine alla destinazione con verifica dimostrabile, a differenza della maggior parte dei gateway unidirezionali che utilizzano metodi di ritrasmissione
Alleggerisce i costi e la complessità tipiche dell’accesso tradizionale, limitato mediante firewall, o dei diodi dati con una soluzione di connettività più efficace ed efficiente
OTfuse è un firewall con caratteristiche industriali che si installa di fronte agli endpoint critici, proteggendo PLC e dispositivi SCADA / DCS da uso non autorizzato, istruzioni e attività pericolose e acquisizione remota da fonti ostili. OTfuse è dotato di una coppia di porte di bypass per i dati in / out, non richiede il reindirizzamento della rete o delle risorse ed è completamente autonomo. Non è necessaria alcuna console di gestione remota per l’installazione o la manutenzione.
Le migliori pratiche di sicurezza in evoluzione richiedono protezioni sia a livello di applicazione che a livello di rete. Lo SCADA iFIX ha robuste caratteristiche a livello di applicazione, ma è un software applicativo che gira su workstation Windows e reti IP generiche. Quindi iFIX non è di per sé un prodotto di rete e non può mitigare le comunicazioni di rete non autorizzate. Per ovviare a questo problema è necessario potenziare l’architettura di iFIX con strumenti di sicurezza a livello di rete aggiuntivi. OTfuse iFIX è progettato specificamente per fornire sicurezza di rete per installazioni iFIX 6.x. È l’unico prodotto sul mercato che fornisce un’ispezione profonda nativa dei pacchetti di sei protocolli proprietari GE iFIX e consente una protezione automatizzata in tempo reale.
Una soluzione per l’accesso remoto privato sicuro, flessibile, specifica per OT. Permette l’accesso controllato alle risorse, ai servizi OT designati e una facile gestione degli utenti. OTaccess è un prodotto di accesso remoto alla rete di tipo software defined che può essere ospitato nel cloud con supporto per microtunnel crittografati, autenticazione a due fattori, utenti e gruppi Microsoft Active Directory e funzionalità di accesso agli endpoint specifiche orientate ai requisiti di sicurezza e le funzionalità tipiche della rete OT.
Bayshore è l’ultima linea di difesa!