בעיית ה-Lateral Movement ברשתות OT
מתקפות Ransomware על ארגונים תעשייתיים זינקו ב-87% משנה לשנה ב-2024. OT הפך ליעד התקיפה המוביל – ארבע שנים ברצף. Dragos עקבו אחרי 119 קבוצות Ransomware שתקפו ארגוני תעשייה ב-2025. זו עלייה של 64% לעומת 2024.
דפוס התקיפה? כמעט תמיד אותו דבר. גישה ראשונית דרך וקטור IT – פרצי VPN, Phishing, אפליקציית ווב פגיעה. ומשם? תנועה לרוחב הרשת עד שמגיעים למערכות OT ששולטות בתהליכים פיזיים.
Claroty מצאו ש-82% מהפריצות המאומתות לסביבות OT השתמשו בכלי גישה מרחוק החשופים לאינטרנט כנקודת כניסה. אבל הנה העניין – גישה ראשונית לבדה לא גורמת לשיבוש תפעולי. Lateral Movement הוא שגורם. כלומר, היכולת של התוקף לנוע מנקודת הכניסה לשרתי SCADA, תחנות הנדסה, בסיסי נתונים של Historian ומערכות בטיחות – היא שקובעת אם האירוע נשאר "אירוע IT" או הופך לכיבוי מפעל.
סקר SANS 2025 ל-ICS/OT אישר: 40% מאירועי האבטחה ב-OT גרמו לשיבוש תפעולי.
השאלה שארכיטקטי אבטחה צריכים לענות עליה היא לא האם סגמנטציה נדרשת. השאלה היא איזו ארכיטקטורת סגמנטציה באמת מונעת Lateral Movement בסביבות תעשייתיות.
במאמר הזה אנחנו משווים בין Microsegmentation ל-VLAN ברשתות OT לאורך 12 ממדי הערכה. מסבירים איפה כל גישה מצליחה, איפה היא נכשלת, ונותנים מסגרת החלטה לפי רמת הבשלות של הארגון שלכם.
איך עובד VLAN ברשתות OT?
VLAN – Virtual Local Area Network – פועל בשכבה 2 של מודל OSI. בפועל, הוא מחלק רשת פיזית אחת למספר Broadcast Domains לוגיים באמצעות מתגים מנוהלים. מכשירים בתוך אותו VLAN? מתקשרים ישירות. תעבורה בין VLANs? חייבת לעבור דרך Router או מתג שכבה 3 עם ACLs.
ברשתות OT, סגמנטציית VLAN עוקבת בדרך כלל אחרי מודל Purdue. כל רמה – Level 0 (תהליך פיזי), Level 1 (בקרה בסיסית), Level 2 (פיקוח אזורי), Level 3 (תפעול אתר), Level 3.5 (IDMZ), Level 4 (ארגוני) – מקבלת VLAN ייעודי. תעבורה בין VLANs מסוננת דרך חוקי Firewall או ACLs בכל גבול.
מה VLAN עושה טוב ב-OT
בואו נהיה הוגנים – VLAN מספק ערך ממשי. הוא מקטין Broadcast Domains, משפר ביצועי רשת, ומגביל Broadcast Storms. הוא נותן בידוד בסיסי בין רמות Purdue, מתיישב עם דרישות Zone של IEC 62443 ברמה מאקרו. מהנדסי OT מכירים אותו, הוא עובד עם מתגים קיימים, ולא דורש Agents על Endpoints.
לארגונים שעוברים מרשת שטוחה לחלוטין לכל רמת סגמנטציה – VLANs הם צעד ראשון מעשי. אף אחד לא חולק על זה.
איפה VLAN נכשל ב-OT
הבעיה? מה שקורה בתוך VLAN. בתוך VLAN יחיד – כל המכשירים מתקשרים בחופשיות. אין בקרת גישה. אין בדיקת תעבורה. אין אכיפת מדיניות. תוקף שפורץ למכשיר אחד ב-VLAN עם 30 PLCs ו-5 תחנות הנדסה – מגיע לכל 35 המכשירים. בלי לחצות שום גבול אבטחתי.
הנחיות CISA מ-2025 אמרו את זה בצורה ישירה: אזורים סטטיים ו-VLANs כבר לא מספיקים. סגמנטציה חייבת להיות דינמית ומודעת הקשר.
בואו נפרק את הכשלים הספציפיים:
אין בקרה על East-West. VLANs מסננים תעבורה בין VLANs – North-South. אבל בתוך VLAN? אפס נראות. אפס בקרה. בסביבות OT, עשרות מכשירים – PLCs, HMIs, RTUs, תחנות הנדסה, שרתי Historian – יושבים באותו VLAN. תנועה לרוחב? חופשית לחלוטין.
מדיניות סטטית. חברות ב-VLAN מבוססת על פורט במתג או כתובת MAC. לא על זהות. לא על מצב מכשיר. לא על הקשר תפעולי. ספק שמחבר לפטופ לפורט OT – מקבל את אותה גישה כמו PLC בפורט הסמוך.
ריבוי חוקי ACL. ככל שמוסיפים חריגים וחוקי Allow, מערכי החוקים נהיים בלתי ניתנים לניהול. ארכיטקט אבטחה אחד תיאר את זה מצוין: VLANs ש"נראים כמו גבינה שוויצרית ככל שחוקי Allow מצטברים."
אין מודעות לזהות. VLANs לא יודעים מי משתמש במכשיר. HMI פרוץ שמריץ Ransomware? התעבורה שלו נראית בדיוק כמו תעבורת HMI לגיטימית ברמת ה-VLAN.
שינוי = סיכון תפעולי. העברת מכשיר ל-VLAN אחר דורשת הגדרה מחדש של פורט. צוותי OT נמנעים מזה בסביבות ייצור. בצדק.
איך עובד Microsegmentation ברשתות OT?
כאן מדובר בגישה שונה מהותית. במקום לחלק את הרשת ל-Broadcast Domains, Microsegmentation יוצר גבול אבטחתי סביב כל מכשיר בנפרד. כל Endpoint – אזור אבטחה משלו. תקשורת בין מכשירים? רק אם יש אישור מדיניות מפורש. לא משנה אם הם באותו VLAN, Subnet, או רשת פיזית.
במילים אחרות: VLAN שואל "באיזה סגמנט המכשיר?" Microsegmentation שואל "מי המכשיר, מי המשתמש, מה האפליקציה, ומה הוא מנסה לעשות?"
בסביבות OT, המדיניות מבוססת על מאפייני זהות – סוג מכשיר, זהות משתמש, תפקיד, מצב מכשיר, אפליקציה, והקשר תפעולי. דוגמה למדיניות: "תחנת הנדסה EW-03 מותרת לתקשר עם PLC-07 על Modbus/TCP פורט 502, רק כשהגישה מבוצעת על ידי משתמש בקבוצת OT Engineering ב-Active Directory, במהלך חלונות תחזוקה מתוכננים."
המספרים מדברים בעד עצמם. מחקר שפורסם ב-European Journal of Computer Science and Information Technology (2025) כימת את ההשפעה: Microsegmentation לבדו – 87.3% מניעת Lateral Movement. בשילוב עם עקרונות Zero Trust – 95.8%.
ארגונים שרוצים להבין לעומק את ההבדלים הטכניים בין הגישות יכולים לקרוא השוואה מפורטת של Identity-Based Segmentation מול Network Segmentation שמכסה מודלי פריסה, מכניקת מדיניות, ומיפוי ציות.
ההשוואה המלאה: Microsegmentation מול VLAN ב-OT
זו הטבלה שארכיטקטי אבטחה צריכים. 12 ממדים. כל אחד מהם משנה כשמתכננים הגנה על רשת תעשייתית.
ממד | VLAN Segmentation | Microsegmentation | למה זה חשוב ב-OT |
רזולוציית סגמנטציה | סגמנט = קבוצת מכשירים (בד"כ 10–100 לכל VLAN) | סגמנט = מכשיר בודד או Workload | מכשיר פרוץ אחד חושף VLAN שלם, או רק את עצמו? |
בקרת תעבורת East-West | אין בתוך VLAN – מכשירים מתקשרים בחופשיות | בקרה מלאה – כל תקשורת דורשת אישור מדיניות | רוב ה-Lateral Movement ב-OT קורה East-West, לא North-South |
בסיס מדיניות | פורט מתג, כתובת MAC, VLAN Tag (שכבה 2) | זהות, תפקיד, סוג מכשיר, מצב, אפליקציה, זמן (שכבה 7) | מדיניות מבוססת זהות שורדת שינויי IP ועוקבת אחרי מכשירים |
מניעת Lateral Movement | מונע תנועה בין VLANs בלבד – חופשי בתוך | מונע תנועה בין כל המכשירים – גם בתוך אותו אזור | CISA 2025: VLANs לא מספיקים. נדרשות בקרות דינמיות |
מודעות לפרוטוקולי OT | אין בדיקת פרוטוקול – מסנן לפי IP/Port בלבד | אוכף מדיניות ספציפית לפרוטוקול (Modbus, EtherNet/IP, DNP3) | לפרוטוקולי OT אין Authentication מובנה – הסגמנטציה חייבת לפצות |
דרישת Agent | לא נדרשים Agents – אכיפה ברמת מתג | תלוי מימוש – יש אפשרויות Agentless ל-OT ישן | PLCs ו-RTUs ישנים לא מריצים Agents. אכיפה Agentless – חובה |
ניהול מדיניות בקנה מידה | כמות חוקי ACL גדלה אקספוננציאלית עם כמות מכשירים | מדיניות מוגדרת לפי מאפייני זהות – גדלה לינארית | 500 מכשירים = אלפי ACLs, או עשרות מדיניויות זהות |
השפעת הגדרה שגויה | ACL שגוי חושף VLAN שלם | מדיניות שגויה משפיעה רק על מכשיר או נתיב ספציפי | ב-OT, הגדרה שגויה = שיבוש תהליכים פיזיים. רדיוס פגיעה קובע |
התאמה לציות | עומד בדרישות Zone של IEC 62443 ברמה מאקרו בלבד | ממופה ישירות ל-Zones, Conduits, ורמות אבטחה לכל מכשיר | מבקרים דורשים ראיות לכל מכשיר, לא רק דיאגרמות רשת |
שיבוש בפריסה | דורש הגדרה מחדש של מתגים, שינויי Trunk, Downtime אפשרי | מבוסס תוכנה – פריסה במצב ניטור לפני אכיפה | OT לא סובל Downtime לא מתוכנן. נקודה |
נראות | אין נראות לתעבורה בתוך VLAN | נראות מלאה לכל תקשורת מכשיר-למכשיר | נראות = תנאי מקדים לאבטחה ולפתרון תקלות |
אינטגרציה עם מערכות זהות | אין אינטגרציה מובנית – שיוך VLAN סטטי | Active Directory, SAML, RADIUS – מדיניות דינמית | בקרת גישה לכל משתמש ולכל מכשיר, מבוססת זהות ארגונית |
למה VLANs לבדם לא יכולים למנוע Lateral Movement ב-OT
הטבלה חושפת מגבלה מבנית. לא מגבלת הגדרה – מגבלה ארכיטקטונית. שום הגדרת VLAN לא יכולה להתגבר עליה.
VLANs יוצרים גבולות בין קבוצות מכשירים. לא בין מכשירים בודדים. בתוך VLAN – כל מכשיר סומך על כל מכשיר אחר.
דמיינו VLAN טיפוסי ברמה 2 של OT: 8 פאנלי HMI, 4 תחנות הנדסה, 2 שרתי Historian, שרת ניהול עדכונים. סה"כ 15 מכשירים. תוקף שפורץ תחנת הנדסה אחת – דרך מייל Phishing או סשן ספק פרוץ – מגיע עכשיו לכל 14 המכשירים האחרים. כולל ה-HMIs ששולטים בתהליכים פיזיים.
הוא לא חוצה שום גבול VLAN. הוא לא מנצל שום חוק Firewall. הוא פשוט משתמש ב-RDP, SMB, WMI – פרוטוקולים סטנדרטיים – ונע לרוחב בתוך ה-VLAN.
זה בדיוק מה ש-Dragos תיעדו לאורך 2025: Ransomware Affiliates נכנסים דרך VPN עם פרצי גישה גנובים, ואז RDP ו-SMB עד שהם מגיעים ל-SCADA.
הנחיות CISA שואלות את מפעילי OT שאלה ישירה: אם בחרתם בסגמנטציית VLAN בלבד, האם אתם מוכנים לוותר על כל הנכסים בסגמנט הזה למתקפת Ransomware כשמכשיר אחד נפרץ?
גישה שמעדיפה מניעה על פני זיהוי דורשת בקרות שפועלות בין כל מכשיר. לא רק בין קבוצות.
מתי להשתמש ב-VLANs, מתי ב-Microsegmentation, ומתי בשניהם
זו לא בחירה בינארית. ברוב סביבות ה-OT, התשובה המעשית כוללת את שניהם: VLANs להפרדה ברמת מאקרו, Microsegmentation לבידוד ברמת מיקרו לכל מכשיר.
מסגרת החלטה לפי בשלות אבטחת OT
רמת בשלות | איפה אתם היום | מה לעשות | למה |
רמה 1 – רשת שטוחה | אין סגמנטציה, הכל על רשת אחת | פרסו VLANs תחילה – גבולות Zone לפי Purdue | הפחתת סיכון מיידית מבסיס שטוח |
רמה 2 – אזורים בסיסיים | VLANs מפרידים רמות Purdue, אין בקרות בתוך האזור | הוסיפו Microsegmentation באזורים קריטיים (Level 2, IDMZ) | מכשירי OT קריטיים צריכים בידוד שVLANs לא נותנים |
רמה 3 – Zone + Conduit | VLANs + חוקי Firewall בין אזורים + מיפוי IEC 62443 | פרסו Microsegmentation בכל אזורי OT. שמרו VLANs למבנה מאקרו | בקרה מלאה על East-West, מדיניות זהות, ראיות ציות לכל מכשיר |
רמה 4 – Zero Trust OT | Microsegmentation + מדיניות זהות + אימות רציף | הרחיבו לנקודות מפגש IT/OT ונתיבי גישת ספקים | מניעת Lateral Movement מלאה לאורך כל גבול IT/OT |
מה לסגמנט ראשון
מוסיפים Microsegmentation לארכיטקטורת VLAN קיימת? הנה סדר העדיפויות:
- IDMZ (Purdue Level 3.5) – שרת Historian Relay, שרת Patch, Access Gateway – כל אחד ב-Microsegment נפרד. למה? כי כאן חוצים 75% מהתקיפות מ-IT ל-OT. זו נקודת הצומת. בודדו אותה ראשונה.
- תחנות הנדסה (Level 3) – היעדים בעלי הערך הגבוה ביותר ב-OT. למה? כי יש להם גם גישת רשת לבקרים וגם יכולות IT – אימייל, גלישה, שיתוף קבצים. שילוב מסוכן.
- פאנלי HMI (Level 2) – שולטים בתהליכים פיזיים. HMI פרוץ שמגיע ל-HMIs אחרים באותו VLAN = שליטה על קו ייצור שלם.
- מערכות Safety Instrumented (Level 1) – חייבים להיות מופרדים מ-DCS כדי שפריצת DCS לא תאפשר הגעה למערכת הבטיחות. כאן מדובר בבטיחות פיזית. לא רק אבטחת מידע.
ארגונים שמאמצים גישה תלת-שכבתית לקישוריות IT-to-OT מטפלים לא רק ב-East-West אלא גם בבקרת גישה North-South והעברת קבצים מאובטחת בין אזורים – שלושת הממדים שיחד מספקים הגנה מלאה על גבול ה-OT.
איך לפרוס Microsegmentation ב-OT בלי לשבש ייצור
זה החשש הגדול. מוצדק. מדיניות שמוגדרת לא נכון שחוסמת תקשורת לגיטימית בין PLC ל-HMI שלו – עוצרת תהליך פיזי. לכן פלטפורמות Microsegmentation שתוכננו ל-OT מספקות מודל פריסה בשלבים: צפו קודם, אכפו אחר כך.
שלב 1: גילוי ומיפוי תקשורת (2–4 שבועות)
פרסו את הפלטפורמה במצב תצפית. היא מגלה באופן פאסיבי את כל תקשורת מכשיר-למכשיר ברשת – אילו מכשירים מתקשרים, על אילו פורטים ופרוטוקולים, באיזו תדירות, ובאיזה נפח.
מה מקבלים? מפת תקשורת שלרוב הארגונים לא הייתה מעולם. היא חושפת תקשורות שלא צריכות להתקיים (תחנת הנדסה שמתקשרת ישירות עם האינטרנט), תקשורות קריטיות שלא תועדו (שרת Historian ששואב נתונים מ-40 PLCs), ונתיבים כפולים שאפשר לחסל.
שלב 2: תכנון מדיניות Least-Privilege (1–2 שבועות)
בהתבסס על מה שנתגלה – הגדירו מדיניויות שמאפשרות רק את התקשורות הלגיטימיות שנצפו. כל השאר? חסום. מדיניויות מוגדרות לפי מאפייני זהות – סוג מכשיר, תפקוד, רמת Purdue, תפקיד משתמש. לא כתובת IP.
שלב 3: אימות במצב סימולציה (2–4 שבועות)
החילו מדיניויות במצב Alert-Only. הפלטפורמה מעריכה כל תקשורת ומתעדת מה היה מותר ומה נחסם – בלי לחסום בפועל. בדקו את הלוגים. חפשו False Positives. התאימו מדיניויות לפני שמפעילים אכיפה.
שלב 4: אכיפה בגלים (2–4 שבועות)
לא מפעילים הכל בבת אחת. אכיפה בהדרגה – תחילה IDMZ, אחר כך תחנות הנדסה, אחר כך HMIs, ואז PLCs. כל גל מנוטר להשפעה תפעולית. מדיניות חוסמת תקשורת לגיטימית? מתאימים בזמן אמת. בלי הגדרה מחדש של הרשת.
שלב 5: אינטגרציה ותפעול שוטף (מתמשך)
חברו לוגי Microsegmentation ל-SIEM. הגדירו תהליכים לעדכוני מדיניות – מכשירי OT חדשים, שינויי נתיבי גישת ספקים, חריגים זמניים לתחזוקה.
איך פלטפורמת ה-Microsegmentation של TerraZone עונה על דרישות OT
פלטפורמת truePass של TerraZone מספקת Microsegmentation לסביבות OT דרך ארכיטקטורה שתוכננה ספציפית לרשתות תעשייתיות.
הפלטפורמה אוכפת Identity-Based Segmentation – מדיניויות גישה שקשורות לזהות מכשיר, זהות משתמש, והקשר תפעולי. לא לכתובות IP. לא לחברות ב-VLAN. כל Endpoint – אזור אבטחה משלו. תקשורת בין אזורים – רק עם אישור מדיניות מפורש.
היכולות שמשנות את המשחק ב-OT:
Identity-Based Firewall (IDFW). אכיפת Firewall ישירות ברמת ה-Endpoint. רק משתמשים מאומתים ומורשים ניגשים למערכות OT ספציפיות. פרצי גישה נגנבו? לא רלוונטי – הזהות הפרוצה חסומה מלהגיע למערכות מחוץ לנתיבים המורשים שלה.
בידוד לכל Endpoint. כל מכשיר = אזור אבטחה. HMI פרוץ? מבודד. התוקף לא מגיע ל-HMIs אחרים, תחנות הנדסה, או PLCs באותו אזור.
בדיקת מצב מכשיר. לפני מתן גישה – בדיקה של גרסת מערכת הפעלה, סטטוס עדכונים, סטטוס Firewall, תהליכים רצים, מיקום גאוגרפי. מכשיר לא עומד בדרישות? לא מתחבר. פשוט.
אכיפה Agentless. PLCs, RTUs, HMIs ישנים שלא מריצים Agents? אכיפת מדיניות ברמת הרשת. בלי תוכנה על המכשיר.
אינטגרציית Syslog ו-SIEM. כל אירועי הסגמנטציה מיוצאים ל-SIEM הארגוני. נראות מאוחדת על IT ו-OT – מה שמבקרי ציות דורשים.
לארגונים שמוכנים לצעד הבא, Microsegmentation מהדור הבא של TerraZone מספק אכיפת מדיניות דינמית שמתאימה את עצמה לשינויי Workload, עוקבת אחרי מכשירים לאורך מיקומי רשת, ואוכפת Zero Trust בכל נתיב תקשורת.
מיפוי ציות: VLAN מול Microsegmentation מול תקני OT
תקן | VLAN – רמת ציות | Microsegmentation – רמת ציות |
IEC 62443 – Zones and Conduits | עומד חלקית ב-FR5 ברמת Zone | עומד במלואו ב-FR1-FR7 עם אכיפה לכל מכשיר לכל Zone ו-Conduit |
NIST SP 800-82 Rev 3 | עומד בהמלצת סגמנטציה בסיסית | עומד בהמלצה מתקדמת לבקרת גישה מבוססת זהות לכל נכס OT |
NIST SP 800-207 (Zero Trust) | לא מתיישב – VLANs מבוססי מיקום, לא זהות | מתיישב ישירות – מדיניות על בסיס זהות, מכשיר, והקשר |
NERC CIP-005-7 | עומד בהגדרת Electronic Security Perimeter בגבול Zone | חורג מדרישות – Perimeters לכל מכשיר + אימות גישה רציף |
TSA Security Directive | עומד בדרישת סגמנטציה בסיסית | עומד בדרישה מתקדמת לסגמנטציה דינמית ומודעת הקשר |
CISA ZTMM | ציון ברמות Traditional/Initial | ציון ברמות Advanced/Optimal |
שאלות נפוצות
מה ההבדל העיקרי בין Microsegmentation ל-VLAN ב-OT?
VLAN יוצר גבולות בין קבוצות מכשירים. Microsegmentation יוצר גבולות סביב כל מכשיר בנפרד. בפועל: מכשיר פרוץ אחד חושף VLAN שלם של 10–100 מכשירים, או שהוא מבודד כאירוע נפרד. VLANs מונעים תנועה בין אזורים. Microsegmentation מונע תנועה בכל מקום.
האם Microsegmentation מחליף VLANs?
לא. ולא צריך. רוב סביבות OT נהנות מגישה שכבתית: VLANs למאקרו (Purdue), Microsegmentation למיקרו (כל מכשיר). ה-VLANs נשארים כתשתית. Microsegmentation מוסיף את מה שהם לא יכולים לספק.
האם Microsegmentation דורש Agents על מכשירי OT?
לא בהכרח. פלטפורמות מודרניות מציעות Agentless למכשירים ישנים (PLCs, RTUs) ו-Agent-Based למכשירים שתומכים (תחנות הנדסה, Historians, HMIs מודרניים). הפריסה האופטימלית: Agents היכן שאפשר, Agentless היכן שחייבים.
כמה זמן לוקחת פריסה?
8 עד 14 שבועות לסביבת OT עם 200–500 מכשירים. גילוי וסימולציה – פאסיבי, אפס השפעה על ייצור. אכיפה – בהדרגה, מהאזורים הקריטיים כלפי חוץ.
מה עם עלויות?
VLAN – עלות התחלתית נמוכה. מתגים מנוהלים + הגדרת Router. אבל ניהול ACLs הופך לסיוט ככל שהרשת גדלה. יצרן תעשייתי אחד דיווח על חיסכון של 18.5 מיליון דולר ב-53 מתקנים – בזכות Microsegmentation מבוסס תוכנה במקום הרחבת ארכיטקטורת VLAN. מעל 100 מכשירי OT? ה-TCO נוטה לטובת Microsegmentation.
אילו תקנים דורשים Microsegmentation?
אף תקן לא אומר "Microsegmentation" במפורש. אבל CISA 2025 אמרו שVLANs לא מספיקים. IEC 62443 דורש בקרת גישה ברמת Zone ו-Conduit – Microsegmentation ממלא את זה טוב יותר. NIST 800-207 דורש בקרה מבוססת זהות – VLANs לא מסוגלים. רמות Advanced/Optimal ב-CISA ZTMM? חייבים Microsegmentation.
סיכום
ההשוואה בין Microsegmentation ל-VLAN ברשתות OT מסתכמת בשאלה ארכיטקטונית אחת: האם הסגמנטציה שלכם מונעת Lateral Movement בין כל מכשיר, או רק בין קבוצות מכשירים?
VLANs מספקים הפרדה ברמת מאקרו. ערך ממשי. Broadcast Domains קטנים יותר, התאמה ל-Purdue, בלי Agents. לארגונים שעוברים מרשת שטוחה – VLANs הם הצעד הראשון הנכון.
אבל VLANs לא שולטים ב-East-West. לא אוכפים מדיניות זהות. לא מבודדים HMI פרוץ מ-30 המכשירים האחרים ב-VLAN. כש-Dragos מדווחים ש-Ransomware Affiliates משתמשים ב-RDP ו-SMB כדי לנוע לרוחב בתוך אזורי OT – ל-VLANs אין מה לענות.
Microsegmentation סוגר את הפער. אזור אבטחה לכל מכשיר. מדיניות מבוססת זהות. מחקר מאשר 95.8% הפחתה ב-Lateral Movement עם שילוב Zero Trust. בסביבות OT – שם Lateral Movement מתורגם לכיבוי ייצור, נזק פיזי, סיכון בטיחותי – ההבדל הזה הוא ההבדל בין אירוע מבודד לקטסטרופה.
הנתיב קדימה? שכבתי. VLANs למאקרו. Microsegmentation למיקרו. התחילו עם ה-IDMZ ותחנות ההנדסה. אמתו בסימולציה. אכפו בגלים. הרחיבו לכל ה-OT.
הטכנולוגיה קיימת. המתודולוגיה מוכחת. ה-Playbook של התוקף לא השתנה – Lateral Movement נשאר הכלי המרכזי. הארכיטקטורה שעוצרת אותו בכל מקום, לא רק בגבולות – היא הארכיטקטורה שמגינה על OT.
