Bezpečnosť a optimalizácia výrobnej siete v spoločnosti Dormer Pramet Šumperk
Pre spol. Dormer Pramet sme vytvorili bezpečnú výrobnú sieť s využitím integrovaných technológií Cisco. Vďaka mikrosegmentácii a prísnej kontrole prístupu sme zvýšili úroveň zabezpečenia a zabránili sme budúcemu šíreniu hrozieb.
Realizácia 2024
Profil zákazníka
Spoločnosť Dormer Pramet s.r.o. sa zaoberá vývojom, výrobou a predajom rezných nástrojov. Ponúka kombinovaný sortiment rezných doštičiek a monolitných nástrojov pre všetky operácie vo všeobecnom strojárstve a obrábaní kovov - od sústruženia, frézovania, vŕtania/vyvrtávania, závitovania až po upínanie nástrojov. Výrobnú linku v Šumperku tvorí približne 250 samostatne pracujúcich strojov, pričom v budúcnosti sa plánuje rozšírenie na 1 000 kusov. Firma nepôsobí len v Českej republike, ale má ďalšie tri výrobné závody po celom svete - v Brazílii a Indii. Prevádzkuje celkovo 20 obchodných pobočiek a distribučnú sieť pokrývajúcu viac ako 100 krajín. Našou ambíciou je rozšíriť riešenie aj do týchto krajín.
Vďaka inovatívnym riešeniam a profesionálnemu prístupu našich partnerov sme presvedčení, že naše výrobné siete sú maximálne bezpečné a pripravené na ďalšie rozširovanie. Zabezpečenie nepretržitej a bezpečnej prevádzky je pre nás kľúčové.
Východisková situácia, ciele projektu
Pôvodná výrobná sieť, podobne ako mnohé iné v tom čase, bola navrhnutá na podporu výroby - prepojenie výrobnej technológie s riadiacimi prvkami. Jediným parametrom bolo, aby výrobná technológia mala potrebnú konektivitu bez akýchkoľvek obmedzení. Požiadavkou bola funkčnosť, nie bezpečnosť. Dnes sa však na výrobné siete pozeráme v úplne inom svetle, pretože neobmedzený prístup otvára široké pole rizík. Spoločnosť Dormer Pramet videla najväčšie riziko kybernetickej bezpečnosti pre svoj výrobný proces v pripojení cudzích zariadení. Konkrétne išlo o servisné zariadenia kontraktorov, ktorí používali svoje notebooky na pripojenie k jednotlivým výrobným strojom, a často nielen notebooky, ale aj rôzne zariadenia so vzdialeným prístupom, čím sa potenciálne otvárala cesta pre zavedenie a šírenie malwaru. Otvorený prístup k výrobnej sieti a jej zdrojom spolu s nedostatočným prehľadom o prevádzke potenciálne umožňoval nezistiteľné kybernetické útoky na celú výrobnú infraštruktúru. Kontraktor, dokonca aj ten, ktorý prišiel v dobrej viere servisovať konkrétny výrobný stroj, mal prostredníctvom tohto stroja principiálny prístup ku všetkým ostatným strojom. Výroba, a teda aj sieť, sú chrbticou podniku, ktorý sa dlhodobo spoliehal na kvalitné sieťové riešenia spoločnosti spol. Cisco Systems. Cisco ponúka ucelenú škálu riešení zabezpečenia priemyselných sietí, ktoré sa opierajú o identitu každého prostriedku pripojeného k výrobnej sieti, mapovanie a trendovú komunikáciu. Zároveň sa nezabúda na pôvodnú požiadavku robustnosti a odolnosti dodávok dát.
Kľúčovým cieľom projektu bolo kontrolovať prístup jednotlivých prostriedkov do výrobnej siete vrátane jednotlivých strojov a zároveň zabezpečiť robustnosť a bezpečnosť priemyselnej siete ako celku. Prvým krokom bolo zavedenie mikrosegmentácie na základe identity každého prostriedku (jedno zariadenie na segment). Druhým krokom bolo zmapovanie uskutočňovanej komunikácie s cieľom vytvoriť pravidlá komunikácie. Tým sa zároveň vytvoril základ pre následnú automatickú detekciu a elimináciu potenciálnych kybernetických hrozieb. Zákazník získal jednotné a integrované riešenie založené na jasne definovaných pravidlách pre prístup aj komunikáciu. Okrem toho sa výrobná sieť ako celok oddelila od IT/administratívnej siete nasadením firewallu s priemyselnou sadou detekčných signatúr IDS/IPS, ktoré sú priamo určené na ochranu priemyselných protokolov špecifických pre výrobu.
Dodané riešenie Cisco je plne automatizované pri reakcii na bezpečnostné incidenty. To však nie je jediný dôvod, prečo zostáva ľahko spravovateľné a uchopiteľné. Vďaka svojej integrácii je tiež ľahko prenositeľné a univerzálne použiteľné, a to nielen v ďalších závodoch spoločnosti Dormer Pramet.
Kľúčovým cieľom projektu bolo kontrolovať prístup jednotlivých prostriedkov do výrobnej siete vrátane jednotlivých strojov a zároveň zabezpečiť robustnosť a bezpečnosť priemyselnej siete ako celku. Prvým krokom bolo zavedenie mikrosegmentácie na základe identity každého prostriedku (jedno zariadenie na segment). Druhým krokom bolo zmapovanie uskutočňovanej komunikácie s cieľom vytvoriť pravidlá komunikácie. Tým sa zároveň vytvoril základ pre následnú automatickú detekciu a elimináciu potenciálnych kybernetických hrozieb. Zákazník získal jednotné a integrované riešenie založené na jasne definovaných pravidlách pre prístup aj komunikáciu. Okrem toho sa výrobná sieť ako celok oddelila od IT/administratívnej siete nasadením firewallu s priemyselnou sadou detekčných signatúr IDS/IPS, ktoré sú priamo určené na ochranu priemyselných protokolov špecifických pre výrobu.
Dodané riešenie Cisco je plne automatizované pri reakcii na bezpečnostné incidenty. To však nie je jediný dôvod, prečo zostáva ľahko spravovateľné a uchopiteľné. Vďaka svojej integrácii je tiež ľahko prenositeľné a univerzálne použiteľné, a to nielen v ďalších závodoch spoločnosti Dormer Pramet.
Benefity
- Zvýšená bezpečnosť a ochrana výrobných strojov pred kybernetickými hrozbami
- Lepšia kontrola a riadenie prístupu k výrobným zariadeniam
- Jednoduchá správa siete prostredníctvom automatizovaných reakcií na bezpečnostné incidenty
- Možnosť škálovania a rozšírenia riešenia na ďalšie lokality
Popis riešenia
V rámci projektu bolo pre zákazníka vytvorené bezpečné a segmentované produkčné prostredie s využitím najmodernejších technológií spoločnosti Cisco. Priemyselné siete potrebujú nielen robustnosť, ale aj bezpečnosť. V tomto prípade zabezpečenie výroby znamená, že k stroju, ktorý obrába, práškuje alebo lisuje diely vo výrobe, sa nemôže prihlásiť nikto, kto na to nemá oprávnenie alebo kto tam nemá čo robiť, napríklad servisní kontraktori, iní externí pracovníci a ich prinesené zariadenia. Sieť bola segmentovaná na najmenšie možné jednotky, mikrosegmenty. To umožnilo lepšiu kontrolu prístupu a izoláciu jednotlivých častí výroby. Každé výrobné zariadenie je segmentované podľa svojej identity, ktorá vychádza z jeho úlohy a spôsobu komunikácie, a preto je úplne individuálna a nespochybniteľná. Segmentácia zabránila šíreniu potenciálnych hrozieb medzi zariadeniami vo výrobnej sieti.
Na sieťovom rozhraní bol nasadený firewall s funkciami detekcie aj prevencie (IDS/IPS). Hrozby vstupujúce do produkčnej siete budú automaticky eliminované a v určených prípadoch môžu viesť k preventívnemu odpojeniu koncových zariadení od produkčnej siete. Na odhaľovanie incidentov vo výrobnej sieti boli nainštalované senzory CyberVision, ktoré podrobne monitorujú a analyzujú komunikáciu medzi výrobnými strojmi a ich riadiacimi prvkami. Hovorí sa, že diabol sa skrýva v detailoch, a v prípade riadenia výroby to platí dvojnásobne. Tu záleží na každom pokyne, či sa neodchyľuje od očakávaného intervalu, či pochádza z očakávaného zdroja a či príde v stanovenom čase. Všetko, čo sa výrazne líši od očakávanej postupnosti a obsahu, možno považovať za potenciálne narušenie plynulosti výroby. Samozrejme, tieto hodnoty je potrebné sledovať dlhodobo a až spätne určiť východzie hranice.
Systém bol navrhnutý tak, aby poskytoval automatizované reakcie na bezpečnostné incidenty a zjednodušenú správu prístupu. Boli implementované prísne kontroly prístupu s cieľom obmedziť prístup len na oprávnených používateľov alebo zariadenia, pričom oboje je možné. Vďaka mikrosegmentácii sa dosiahla vysoká úroveň izolácie - hrozby sa nemôžu ľahko šíriť nielen medzi výrobnými zariadeniami, ale rovnako aj medzi rôznymi časťami podnikovej siete. Ak sa objaví hrozba napríklad v podobe infikovaného notebooku zmluvnej firmy, nedostane sa mimo svojho uzavretého segmentu, a tak už nepredstavuje riziko pre ostatné výrobné stroje alebo dokonca pre administratívnu časť siete.
Kľúčové body zabezpečenia zahŕňajú:
Na zabezpečenie úplnej transparentnosti a kontroly nad celou výrobnou sieťou bol nasadený komplexný balík softwarových nástrojov Cisco pre priemyselné siete vrátane správcu firewallov Firepower Management Center (FMC) a riešenia Identity and Access Management Solution (ISE). Senzory CyberVision spolupracujú na monitorovaní a zdieľaní informácií v rámci sieťovej prevádzky a potenciálnych hrozieb v nej ukrytých. Implementáciu zavŕšilo nasadenie Cisco Catalyst Center, ktoré slúži na orchestráciu konfigurácie a monitorovanie životného cyklu nielen priemyselných prepínačov.
Sieť bola navrhnutá tak, aby ju bolo možné ľahko rozšíriť na ďalšie pracoviská, čím sa v budúcnosti zabezpečí bezpečnosť a efektívnosť procesov vo všetkých výrobných linkách a súvisiacich prevádzkach spoločnosti Dormer Pramet. Tento univerzálny návrh zabezpečuje zachovanie bezpečnostných štandardov bez ohľadu na geografickú polohu alebo špecifické požiadavky jednotlivých výrobných závodov.
Na sieťovom rozhraní bol nasadený firewall s funkciami detekcie aj prevencie (IDS/IPS). Hrozby vstupujúce do produkčnej siete budú automaticky eliminované a v určených prípadoch môžu viesť k preventívnemu odpojeniu koncových zariadení od produkčnej siete. Na odhaľovanie incidentov vo výrobnej sieti boli nainštalované senzory CyberVision, ktoré podrobne monitorujú a analyzujú komunikáciu medzi výrobnými strojmi a ich riadiacimi prvkami. Hovorí sa, že diabol sa skrýva v detailoch, a v prípade riadenia výroby to platí dvojnásobne. Tu záleží na každom pokyne, či sa neodchyľuje od očakávaného intervalu, či pochádza z očakávaného zdroja a či príde v stanovenom čase. Všetko, čo sa výrazne líši od očakávanej postupnosti a obsahu, možno považovať za potenciálne narušenie plynulosti výroby. Samozrejme, tieto hodnoty je potrebné sledovať dlhodobo a až spätne určiť východzie hranice.
Systém bol navrhnutý tak, aby poskytoval automatizované reakcie na bezpečnostné incidenty a zjednodušenú správu prístupu. Boli implementované prísne kontroly prístupu s cieľom obmedziť prístup len na oprávnených používateľov alebo zariadenia, pričom oboje je možné. Vďaka mikrosegmentácii sa dosiahla vysoká úroveň izolácie - hrozby sa nemôžu ľahko šíriť nielen medzi výrobnými zariadeniami, ale rovnako aj medzi rôznymi časťami podnikovej siete. Ak sa objaví hrozba napríklad v podobe infikovaného notebooku zmluvnej firmy, nedostane sa mimo svojho uzavretého segmentu, a tak už nepredstavuje riziko pre ostatné výrobné stroje alebo dokonca pre administratívnu časť siete.
Kľúčové body zabezpečenia zahŕňajú:
- Identifikácia všetkých priemyselných zariadení s cieľom nastaviť zodpovedajúcu bezpečnosť
- Izolácia medzisieťových zón vedúca k ochrane pred šírením hrozieb alebo pohybom útočníkov
- Detekcia abnormálnych IT/OT pokynov a správania na ochranu výrobných procesov
- Získanie lepšieho pohľadu do komunikácie o udalostiach na účely ďalšieho vyšetrovania
Na zabezpečenie úplnej transparentnosti a kontroly nad celou výrobnou sieťou bol nasadený komplexný balík softwarových nástrojov Cisco pre priemyselné siete vrátane správcu firewallov Firepower Management Center (FMC) a riešenia Identity and Access Management Solution (ISE). Senzory CyberVision spolupracujú na monitorovaní a zdieľaní informácií v rámci sieťovej prevádzky a potenciálnych hrozieb v nej ukrytých. Implementáciu zavŕšilo nasadenie Cisco Catalyst Center, ktoré slúži na orchestráciu konfigurácie a monitorovanie životného cyklu nielen priemyselných prepínačov.
Sieť bola navrhnutá tak, aby ju bolo možné ľahko rozšíriť na ďalšie pracoviská, čím sa v budúcnosti zabezpečí bezpečnosť a efektívnosť procesov vo všetkých výrobných linkách a súvisiacich prevádzkach spoločnosti Dormer Pramet. Tento univerzálny návrh zabezpečuje zachovanie bezpečnostných štandardov bez ohľadu na geografickú polohu alebo špecifické požiadavky jednotlivých výrobných závodov.
Použité technológie
- Cisco firewally s priemyselnými funkciami
- CyberVision senzory pre real-time monitorovanie IT/OT komunikácie
- CyberVision centrum na vizualizáciu komunikačných tokov a bezpečnostných udalostí IT/OT komunikácie
- Segmentačné a mikrosegmentačné nástroje Cisco
- Firewall Management Center (FMC) na správu bezpečnostných politík
- Policy server na správu identít a zabezpečenia (ISE)
- Cisco Catalyst switche na agregáciu a správu sieťovej prevádzky
- Cisco Catalyst Center, na orchestráciu konfigurácie a monitorovanie životného cyklu nielen priemyselných prepínačov.
Tlač do PDF
-
Ako zvýšiť ochranu podnikových používateľov v dnešnom digitálnom svete
-
Čínske produkty a bezpečnostné technológie
-
Prehľadne o Dell storage: Od základného úložiska až po pokročilé deduplikačné systémy
-
Krehkosť IT systémov a nebezpečenstvo jedinej chyby
-
Ako nestratiť to najcennejšie? Mať čo najviac záloh, a teda riešiť deduplikáciu ich obsahu
-
.png?width=576)
Ako budovať datacentrum so silnými bezpečnostnými výhodami?
-
Kybernetické útoky v číslach. Štatistiky varujú, kto by sa mal báť.
-
Zvýšenie úrovne kybernetickej bezpečnosti v spoločnosti HBM Pharma s.r.o.
-
Rozprávkové systémy IBM pre podnikové dáta s vysokou dostupnosťou a odolnosťou
-
Sú vaše dáta chránený alebo nechránený diamant? Zistite, ako vám môže pomôcť Safetica.
-
Bezpečný prístup pre akéhokoľvek používateľa odkiaľkoľvek. Jednoducho a bez kompromisov
-
Nezabúdajme na riziká spojené s umelou inteligenciou
-
Ako oživiť školenia o bezpečnosti a urobiť čítanie dokumentov zábavnejším?
-
Umelá inteligencia ako zbraň v rukách útočníkov. Naučme sa, ako ich odhaliť.
-
Zlepšite kybernetickú bezpečnosť a zjednodušte správu IT s inovatívnym prístupom spoločnosti Cisco
-
Aricoma CSIRT tím získal akreditáciu Trusted Introducer
-
Ďalšie štíty pre viacúrovňovú kyberbezpečnosť vašej organizácie
-
Neviditeľná ochrana a ďalšie štíty na ochranu vašich firemných dát
-
Školením používateľov eliminujme nové taktiky kybernetických útokov. Podobne ako vo futbale.
-
Moderná a bezpečná IT infraštruktúra s prevádzkovými službami pre Arkance Systems CZ
-
Ucelený ekosystém spoločnosti Microsoft na prevádzku, správu a zabezpečenie koncových zariadení
-
Čo urobil Jack Stanfield vo filmovom thrilleri Firewall zle?
NEVÁHAJTE NÁS
KONTAKTOVAŤ
Máte záujem o ďalšie informácie alebo ponuku pre vašu konkrétnu situáciu?