第三方，如原始設(shè)備制造商 (OEM) 技術(shù)員和維護(hù)承包商，是確保 OT 環(huán)境可用性、完整性和安全性的關(guān)鍵。負(fù)責(zé)服務(wù) OT 資產(chǎn)的第三方經(jīng)常遠(yuǎn)程工作。這意味著，他們會(huì)通過無數(shù)廣泛使用的解決方案遠(yuǎn)程連接到客戶的 OT 環(huán)境。從基于 VPN 的選項(xiàng)到 OEM 特定的工具，此類解決方案幾乎不適用于 OT 環(huán)境，而是適用于 IT 環(huán)境。OT 和 IT 環(huán)境有其獨(dú)特的組成，服務(wù)于不同的目的，并具有各自的一套安全和操作需求、挑戰(zhàn)和風(fēng)險(xiǎn)。因此，需要一種專門為 OT 設(shè)計(jì)的解決方案。接下來的內(nèi)容，探討了使用標(biāo)準(zhǔn) IT 解決方案進(jìn)行第三方 OT 遠(yuǎn)程訪問所存在的安全挑戰(zhàn)和風(fēng)險(xiǎn)、以及 Claroty SRA 如何解決這些問題。

使用標(biāo)準(zhǔn) IT 解決方案進(jìn)行第三方 OT 遠(yuǎn)程訪問所存在的安全挑戰(zhàn)和風(fēng)險(xiǎn)

一家汽車制造公司的第三方遠(yuǎn)程用戶使用以 IT 為中心的 OT 遠(yuǎn)程訪問解決方案，違反普渡模型，該汽車制造公司成為了網(wǎng)絡(luò)釣魚攻擊的目標(biāo)。攻擊者利用薄弱的安全協(xié)議，滲透到自動(dòng)化生產(chǎn)線控制和破壞操作，并引入惡意軟件。因?yàn)槠囍圃旃救狈?shí)時(shí)可視化，所以導(dǎo)致了檢測(cè)延遲。當(dāng)發(fā)現(xiàn)被入侵時(shí)，生產(chǎn)已停止，關(guān)鍵設(shè)備已受損。這一 OT 網(wǎng)絡(luò)安全事件導(dǎo)致了重大的財(cái)務(wù)損失、聲譽(yù)損害以及被監(jiān)管審查。

（可點(diǎn)擊放大查看）

除了安全問題，工廠管理員和經(jīng)理們還面臨使用孤立工具管理第三方遠(yuǎn)程用戶的挑戰(zhàn)，他們需要獲得對(duì)第三方遠(yuǎn)程用戶的可視化。一家消費(fèi)品公司遭遇了一次遠(yuǎn)程操作事故，生產(chǎn)線出現(xiàn)了嚴(yán)重故障。由于按需工作流程的限制，該工廠的第三方原始設(shè)備制造商無法立即進(jìn)行現(xiàn)場(chǎng)維修。消費(fèi)品公司的 OT 團(tuán)隊(duì)需要緊急遠(yuǎn)程引導(dǎo)原始設(shè)備制造商。負(fù)責(zé)管理此任務(wù)的 IT 團(tuán)隊(duì)必須創(chuàng)建用戶帳戶和自定義防火墻策略，這導(dǎo)致了延遲。集成不受管理的設(shè)備和導(dǎo)航不熟悉的 OT 環(huán)境，其復(fù)雜性延長(zhǎng)了授予訪問權(quán)限的時(shí)間。結(jié)果，平均修復(fù)時(shí)間 (MTTR) 大幅增加，延長(zhǎng)了生產(chǎn)停機(jī)時(shí)間，影響了消費(fèi)品公司的運(yùn)營效率和產(chǎn)出。應(yīng)對(duì)這些挑戰(zhàn)，需要 OT 遠(yuǎn)程訪問解決方案 Claroty SRA。它可滿足 OT 環(huán)境中遠(yuǎn)程訪問相關(guān)的操作、管理和安全需求。通過集中管理第三方遠(yuǎn)程用戶，Claroty SRA 簡(jiǎn)化了遠(yuǎn)程訪問流程，降低了與不受管理和不受控制的訪問的相關(guān)風(fēng)險(xiǎn)。

Claroty SRA 如何解決問題？

問題一

企業(yè)對(duì)第三方遠(yuǎn)程訪問和文件傳輸?shù)讲话踩?OT 設(shè)備的控制有限。第三方遠(yuǎn)程用戶可以在關(guān)鍵系統(tǒng)上進(jìn)行未經(jīng)授權(quán)的操作，這會(huì)導(dǎo)致運(yùn)營數(shù)據(jù)被盜、或者系統(tǒng)被篡改。

Claroty SRA 如何解決該問題？

Claroty SRA 可幫助管理員監(jiān)督和控制第三方文件傳輸。與基于 ICAP 的防病毒解決方案集成，以阻止惡意文件進(jìn)入 OT 網(wǎng)絡(luò)。這種主動(dòng)方法可確保 OT 環(huán)境安全，最大限度地減少第三方訪問關(guān)鍵系統(tǒng)和數(shù)據(jù)的風(fēng)險(xiǎn)。

Claroty SRA 安全文件傳輸

問題二

企業(yè)通過管理孤立工具，查看 OT 網(wǎng)絡(luò)內(nèi)的第三方遠(yuǎn)程用戶活動(dòng)，但缺乏對(duì)第三方用戶監(jiān)察和審計(jì)的能力。這會(huì)導(dǎo)致配置錯(cuò)誤、難以追蹤第三方遠(yuǎn)程用戶活動(dòng)、難以檢測(cè)操作異常、延遲響應(yīng)、以及第三方責(zé)任缺失等問題。

Claroty SRA 如何解決該問題？

Claroty SRA 的監(jiān)察和日志記錄功能可實(shí)時(shí)查看與控制第三方遠(yuǎn)程用戶活動(dòng)，使管理員能夠輕松監(jiān)督實(shí)時(shí)會(huì)話、解決問題并及時(shí)終止有風(fēng)險(xiǎn)的會(huì)話。全面的日志和視頻記錄支持事件調(diào)查、審計(jì)與合規(guī)工作。

Claroty SRA 實(shí)時(shí)監(jiān)察第三方遠(yuǎn)程用戶活動(dòng)

Claroty SRA 用戶會(huì)話記錄

問題三

工廠管理員、經(jīng)理們和第三方遠(yuǎn)程用戶在訪問 OT 網(wǎng)絡(luò)、以及管理第三方遠(yuǎn)程用戶訪問終止時(shí)，需確保通信順暢。如果存在通信障礙，就會(huì)導(dǎo)致溝通不暢、協(xié)作效率低下、延遲解決問題和潛在沖突。

Claroty SRA 如何解決該問題？

Claroty SRA 增強(qiáng)的協(xié)作功能可實(shí)現(xiàn)工廠管理員、經(jīng)理們和第三方遠(yuǎn)程用戶之間的實(shí)時(shí)通信與協(xié)作。通過現(xiàn)有身份提供商、身份和訪問管理解決方案進(jìn)行集中訪問、終止管理以及自動(dòng)用戶配置，簡(jiǎn)化了訪問權(quán)限授予和撤銷，確保了高效且安全的 OT 環(huán)境。

問題四

第三方遠(yuǎn)程用戶在 OT 環(huán)境中使用傳統(tǒng) IT 遠(yuǎn)程訪問工具。這會(huì)存在兼容性問題，可能需要更長(zhǎng)的平均修復(fù)時(shí)間（MTTR），增加總擁有成本（TCO），損害系統(tǒng)完整性，為未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露提供潛在途徑。

Claroty SRA 如何解決該問題？

提供專門構(gòu)建的 OT 遠(yuǎn)程訪問解決方案，以實(shí)現(xiàn)直接兼容。

支持靈活的無代理部署和配置，最大程度地減少系統(tǒng)中斷。

在單一平臺(tái)中統(tǒng)一遠(yuǎn)程訪問，簡(jiǎn)化管理。

使用行業(yè)標(biāo)準(zhǔn)加密協(xié)議（SSL 加密、TLS v1.2+ 和帶有 RSA 4096 位身份驗(yàn)證密鑰的 SSH2）保護(hù)數(shù)據(jù)傳輸。

問題五

標(biāo)準(zhǔn) IT 解決方案的默認(rèn)部署方法和用例將互聯(lián)網(wǎng)連接直接擴(kuò)展到 OT 網(wǎng)絡(luò)的較低層，從而打破了普渡模型。打破普渡模型會(huì)將關(guān)鍵 OT 資產(chǎn)和流程暴露給互聯(lián)網(wǎng)，擴(kuò)大了攻擊面，并因此帶來網(wǎng)絡(luò)風(fēng)險(xiǎn)：權(quán)限提升、橫向移動(dòng)和無意錯(cuò)誤。這些可能會(huì)擾亂運(yùn)營、損害聲譽(yù)、不遵守法規(guī)和知識(shí)產(chǎn)權(quán)被盜。

Claroty SRA 如何解決該問題？

通過實(shí)施精細(xì)的訪問控制來保護(hù)普渡模型的完整性，并確保第三方遠(yuǎn)程用戶只能訪問必要的資源，以防止未經(jīng)授權(quán)的操作、在 OT 環(huán)境中避免橫向移動(dòng)。符合 IEC62443，遵守行業(yè)標(biāo)準(zhǔn)安全實(shí)踐。

（可點(diǎn)擊放大查看）

問題六

企業(yè)對(duì)第三方遠(yuǎn)程用戶強(qiáng)制執(zhí)行密碼衛(wèi)生要求的選項(xiàng)有限，導(dǎo)致憑證管理不善，并將漏洞引入關(guān)鍵環(huán)境。

Claroty SRA 如何解決該問題？

Claroty SRA 將第三方遠(yuǎn)程用戶憑證安全地存儲(chǔ)在 Claroty DB 中。第三方遠(yuǎn)程用戶無法直接訪問其憑證，從而防止未經(jīng)授權(quán)的訪問，并啟用不同級(jí)別的權(quán)限，以實(shí)現(xiàn)安全的 OT 網(wǎng)絡(luò)訪問。

問題七

標(biāo)準(zhǔn) IT 解決方案無法完全實(shí)施基于角色的訪問控制和執(zhí)行訪問策略，最小特權(quán)原則 (PoLP) 無法限制對(duì)關(guān)鍵資產(chǎn)的訪問，無法在必要時(shí)終止訪問。這些限制允許未經(jīng)授權(quán)訪問關(guān)鍵環(huán)境和操縱控制系統(tǒng)，為破壞關(guān)鍵流程和跨網(wǎng)絡(luò)橫向移動(dòng)創(chuàng)造了途徑。

Claroty SRA 如何解決該問題？

強(qiáng)制實(shí)施基于時(shí)間的訪問控制和限制訪問時(shí)長(zhǎng)，以確保僅在需要時(shí)才提供有限的訪問權(quán)限，并有效地管理第三方遠(yuǎn)程用戶。Claroty SRA 與身份提供商和自動(dòng)用戶配置的集成，可及時(shí)授予和撤銷訪問權(quán)限，從而防止未經(jīng)授權(quán)的訪問。

問題八

由于按需遠(yuǎn)程訪問的流程，第三方遠(yuǎn)程用戶要接受培訓(xùn)和引導(dǎo)，才能訪問 OT 網(wǎng)絡(luò)。這些繁瑣的流程可能會(huì)導(dǎo)致訪問延遲、人為錯(cuò)誤、溝通不暢、平均修復(fù)時(shí)間 (MTTR) 增長(zhǎng)、以及由第三方參與而導(dǎo)致的潛在運(yùn)營中斷。

Claroty SRA 如何解決該問題？

通過直觀的平臺(tái)簡(jiǎn)化引導(dǎo)流程，方便隨時(shí)隨地快速訪問 OT 網(wǎng)絡(luò)。使用身份驗(yàn)證功能縮短維護(hù)窗口，以便快速訪問外部用戶，簡(jiǎn)化引導(dǎo)流程以減少錯(cuò)誤和溝通不暢。同時(shí)，基于角色的訪問控制 (RBAC) 允許管理員輕松定義與管理用戶的訪問權(quán)限和角色，以滿足每個(gè)第三方遠(yuǎn)程用戶的需求。通過支持 SAML、OIDC 和單點(diǎn)登錄 (SSO) 等協(xié)議，簡(jiǎn)化第三方身份驗(yàn)證和配置。

Claroty SRA 旨在克服與第三方遠(yuǎn)程訪問相關(guān)的挑戰(zhàn)，為高效的第三方管理和安全訪問提供集中式平臺(tái)。Claroty SRA 解決方案的廣泛安全措施可最大限度地減少潛在威脅，提供工具來識(shí)別和應(yīng)對(duì)涉及第三方遠(yuǎn)程用戶的安全或運(yùn)營事件。實(shí)施 Claroty SRA 使企業(yè)能夠減少其平均修復(fù)時(shí)間 (MTTR)，最大限度地降低為第三方遠(yuǎn)程用戶配置和管理訪問的成本和復(fù)雜性。Claroty SRA 還通過全面的審計(jì)跟蹤來維護(hù)責(zé)任制和遵守監(jiān)管要求。

文字與圖片參考來源：claroty.com


審核編輯 黃宇