Graças aos grandes casos como Stuxnet, Flame, Disttrack (ou Shamoon) e Batchwiper, a segurança tornou-se um tema cada vez mais quente dentro de todas as indústrias. Além dos ataques diretos no sistema, várias organizações estão tentando ataques a computadores através de hacks em cartões de memória e ataques distribuídos de negação de serviço (DDoS) causando perdas de comunicação.
Ao criar um sistema completamente seguro, teoricamente é possível bloqueá-lo completamente, mas para isso você sacrificaria a utilidade e a usabilidade do seu sistema. A execução de um sistema completamente isolado também deixa o sistema vulnerável a vírus novos e “melhorados” ou hacks que o sistema existente não pode nem mesmo reconhecer como um processo em execução. Apresentam-se a seguir alguns passos essenciais para criar um ambiente mais seguro.
Separe as suas redes
Você nunca deve ter seu controle, redes de negócios ou qualquer conexão externa na mesma rede. Uma implicação óbvia na segurança seria que um anexo de e-mail malicioso poderia derrubar ambas as redes. Existem também vários hacks para switches e roteadores que podem deixar o sistema de controle aberto para o submundo da computação.
DMZs
Historicamente, as plantas têm contado com DMZs (zonas desmilitarizadas) para isolar o sistema de controle das redes de negócios externas. À luz dos recentes ataques, isso está se tornando cada vez menos confiável. Uma seção de uma rede que pode ser acessada tanto pela rede de controle quanto pela rede de negócios tem se mostrado ser uma fraqueza em vários dos ataques listados acima. Permitir que a rede de controle armazene dados em um sistema que pode ser salvo em DVD, CD ou cartão de memória é uma maneira para que a informação flua entre o controle e as redes de negócios, sem se comunicarem diretamente.
Negar o Acesso por Padrão
Configurar firewalls entre redes é algo que muitas empresas não conseguem fazer de forma adequada. Muitas configurações são realizadas apressadamente, deixando-as incompletas. A melhor política é negar todo o tráfego por padrão e só permitir conexões em regime de exceção, um conceito chamado de ‘lista branca’.
Negar a Execução por Padrão
Além da negação de acesso, os novos sistemas de monitoramento de software, tais como a Bit9, tem na lista branca todos os arquivos executáveis no sistema com a instalação original. Esses sistemas de monitoramento também pode ser configurado para restringir a execução de qualquer coisa que não está na lista branca ou alarmar quando algo que está fora da lista branca for executado no sistema.
Restringir o Acesso Físico
Soluções simples, como o bloqueio de painéis de controle com alarmes de acesso e permitindo que apenas nós de engenharia programem DCS ou PLC na rede de controle, podem aumentar a segurança e impedir a infestação de vírus prejudiciais.
Proteger os sistemas de controle e de rede de negócios deve ser prioridade em qualquer organização. A equipe da Avid pode ajudá-lo a maximizar a segurança para o seu sistema. Ficaremos felizes com a oportunidade de nos reunirmos com você e sua equipe para discutir suas necessidades de segurança do sistema.
The post Segurança Maximizada appeared first on Avid Solutions Blog.