第三方，如原始設(shè)備制造商 (OEM) 技術(shù)員和維護承包商，是確保 OT 環(huán)境可用性、完整性和安全性的關(guān)鍵。負(fù)責(zé)服務(wù) OT 資產(chǎn)的第三方經(jīng)常遠(yuǎn)程工作。這意味著，他們會通過無數(shù)廣泛使用的解決方案遠(yuǎn)程連接到客戶的 OT 環(huán)境。從基于 VPN 的選項到 OEM 特定的工具，此類解決方案幾乎不適用于 OT 環(huán)境，而是適用于 IT 環(huán)境。OT 和 IT 環(huán)境有其獨特的組成，服務(wù)于不同的目的，并具有各自的一套安全和操作需求、挑戰(zhàn)和風(fēng)險。因此，需要一種專門為 OT 設(shè)計的解決方案。接下來的內(nèi)容，探討了使用標(biāo)準(zhǔn) IT 解決方案進(jìn)行第三方 OT 遠(yuǎn)程訪問所存在的安全挑戰(zhàn)和風(fēng)險、以及 Claroty SRA 如何解決這些問題。

使用標(biāo)準(zhǔn) IT 解決方案進(jìn)行第三方 OT 遠(yuǎn)程訪問所存在的安全挑戰(zhàn)和風(fēng)險

一家汽車制造公司的第三方遠(yuǎn)程用戶使用以 IT 為中心的 OT 遠(yuǎn)程訪問解決方案，違反普渡模型，該汽車制造公司成為了網(wǎng)絡(luò)釣魚攻擊的目標(biāo)。攻擊者利用薄弱的安全協(xié)議，滲透到自動化生產(chǎn)線控制和破壞操作，并引入惡意軟件。因為汽車制造公司缺乏實時可視化，所以導(dǎo)致了檢測延遲。當(dāng)發(fā)現(xiàn)被入侵時，生產(chǎn)已停止，關(guān)鍵設(shè)備已受損。這一 OT 網(wǎng)絡(luò)安全事件導(dǎo)致了重大的財務(wù)損失、聲譽損害以及被監(jiān)管審查。

（可點擊放大查看）

除了安全問題，工廠管理員和經(jīng)理們還面臨使用孤立工具管理第三方遠(yuǎn)程用戶的挑戰(zhàn)，他們需要獲得對第三方遠(yuǎn)程用戶的可視化。一家消費品公司遭遇了一次遠(yuǎn)程操作事故，生產(chǎn)線出現(xiàn)了嚴(yán)重故障。由于按需工作流程的限制，該工廠的第三方原始設(shè)備制造商無法立即進(jìn)行現(xiàn)場維修。消費品公司的 OT 團隊需要緊急遠(yuǎn)程引導(dǎo)原始設(shè)備制造商。負(fù)責(zé)管理此任務(wù)的 IT 團隊必須創(chuàng)建用戶帳戶和自定義防火墻策略，這導(dǎo)致了延遲。集成不受管理的設(shè)備和導(dǎo)航不熟悉的 OT 環(huán)境，其復(fù)雜性延長了授予訪問權(quán)限的時間。結(jié)果，平均修復(fù)時間 (MTTR) 大幅增加，延長了生產(chǎn)停機時間，影響了消費品公司的運營效率和產(chǎn)出。應(yīng)對這些挑戰(zhàn)，需要 OT 遠(yuǎn)程訪問解決方案 Claroty SRA。它可滿足 OT 環(huán)境中遠(yuǎn)程訪問相關(guān)的操作、管理和安全需求。通過集中管理第三方遠(yuǎn)程用戶，Claroty SRA 簡化了遠(yuǎn)程訪問流程，降低了與不受管理和不受控制的訪問的相關(guān)風(fēng)險。

Claroty SRA 如何解決問題？

問題一

企業(yè)對第三方遠(yuǎn)程訪問和文件傳輸?shù)讲话踩?OT 設(shè)備的控制有限。第三方遠(yuǎn)程用戶可以在關(guān)鍵系統(tǒng)上進(jìn)行未經(jīng)授權(quán)的操作，這會導(dǎo)致運營數(shù)據(jù)被盜、或者系統(tǒng)被篡改。

Claroty SRA 如何解決該問題？

Claroty SRA 可幫助管理員監(jiān)督和控制第三方文件傳輸。與基于 ICAP 的防病毒解決方案集成，以阻止惡意文件進(jìn)入 OT 網(wǎng)絡(luò)。這種主動方法可確保 OT 環(huán)境安全，最大限度地減少第三方訪問關(guān)鍵系統(tǒng)和數(shù)據(jù)的風(fēng)險。

Claroty SRA 安全文件傳輸

問題二

企業(yè)通過管理孤立工具，查看 OT 網(wǎng)絡(luò)內(nèi)的第三方遠(yuǎn)程用戶活動，但缺乏對第三方用戶監(jiān)察和審計的能力。這會導(dǎo)致配置錯誤、難以追蹤第三方遠(yuǎn)程用戶活動、難以檢測操作異常、延遲響應(yīng)、以及第三方責(zé)任缺失等問題。

Claroty SRA 如何解決該問題？

Claroty SRA 的監(jiān)察和日志記錄功能可實時查看與控制第三方遠(yuǎn)程用戶活動，使管理員能夠輕松監(jiān)督實時會話、解決問題并及時終止有風(fēng)險的會話。全面的日志和視頻記錄支持事件調(diào)查、審計與合規(guī)工作。

Claroty SRA 實時監(jiān)察第三方遠(yuǎn)程用戶活動

Claroty SRA 用戶會話記錄

問題三

工廠管理員、經(jīng)理們和第三方遠(yuǎn)程用戶在訪問 OT 網(wǎng)絡(luò)、以及管理第三方遠(yuǎn)程用戶訪問終止時，需確保通信順暢。如果存在通信障礙，就會導(dǎo)致溝通不暢、協(xié)作效率低下、延遲解決問題和潛在沖突。

Claroty SRA 如何解決該問題？

Claroty SRA 增強的協(xié)作功能可實現(xiàn)工廠管理員、經(jīng)理們和第三方遠(yuǎn)程用戶之間的實時通信與協(xié)作。通過現(xiàn)有身份提供商、身份和訪問管理解決方案進(jìn)行集中訪問、終止管理以及自動用戶配置，簡化了訪問權(quán)限授予和撤銷，確保了高效且安全的 OT 環(huán)境。

問題四

第三方遠(yuǎn)程用戶在 OT 環(huán)境中使用傳統(tǒng) IT 遠(yuǎn)程訪問工具。這會存在兼容性問題，可能需要更長的平均修復(fù)時間（MTTR），增加總擁有成本（TCO），損害系統(tǒng)完整性，為未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露提供潛在途徑。

Claroty SRA 如何解決該問題？

提供專門構(gòu)建的 OT 遠(yuǎn)程訪問解決方案，以實現(xiàn)直接兼容。

支持靈活的無代理部署和配置，最大程度地減少系統(tǒng)中斷。

在單一平臺中統(tǒng)一遠(yuǎn)程訪問，簡化管理。

使用行業(yè)標(biāo)準(zhǔn)加密協(xié)議（SSL 加密、TLS v1.2+ 和帶有 RSA 4096 位身份驗證密鑰的 SSH2）保護數(shù)據(jù)傳輸。

問題五

標(biāo)準(zhǔn) IT 解決方案的默認(rèn)部署方法和用例將互聯(lián)網(wǎng)連接直接擴展到 OT 網(wǎng)絡(luò)的較低層，從而打破了普渡模型。打破普渡模型會將關(guān)鍵 OT 資產(chǎn)和流程暴露給互聯(lián)網(wǎng)，擴大了攻擊面，并因此帶來網(wǎng)絡(luò)風(fēng)險：權(quán)限提升、橫向移動和無意錯誤。這些可能會擾亂運營、損害聲譽、不遵守法規(guī)和知識產(chǎn)權(quán)被盜。

Claroty SRA 如何解決該問題？

通過實施精細(xì)的訪問控制來保護普渡模型的完整性，并確保第三方遠(yuǎn)程用戶只能訪問必要的資源，以防止未經(jīng)授權(quán)的操作、在 OT 環(huán)境中避免橫向移動。符合 IEC62443，遵守行業(yè)標(biāo)準(zhǔn)安全實踐。

（可點擊放大查看）

問題六

企業(yè)對第三方遠(yuǎn)程用戶強制執(zhí)行密碼衛(wèi)生要求的選項有限，導(dǎo)致憑證管理不善，并將漏洞引入關(guān)鍵環(huán)境。

Claroty SRA 如何解決該問題？

Claroty SRA 將第三方遠(yuǎn)程用戶憑證安全地存儲在 Claroty DB 中。第三方遠(yuǎn)程用戶無法直接訪問其憑證，從而防止未經(jīng)授權(quán)的訪問，并啟用不同級別的權(quán)限，以實現(xiàn)安全的 OT 網(wǎng)絡(luò)訪問。

問題七

標(biāo)準(zhǔn) IT 解決方案無法完全實施基于角色的訪問控制和執(zhí)行訪問策略，最小特權(quán)原則 (PoLP) 無法限制對關(guān)鍵資產(chǎn)的訪問，無法在必要時終止訪問。這些限制允許未經(jīng)授權(quán)訪問關(guān)鍵環(huán)境和操縱控制系統(tǒng)，為破壞關(guān)鍵流程和跨網(wǎng)絡(luò)橫向移動創(chuàng)造了途徑。

Claroty SRA 如何解決該問題？

強制實施基于時間的訪問控制和限制訪問時長，以確保僅在需要時才提供有限的訪問權(quán)限，并有效地管理第三方遠(yuǎn)程用戶。Claroty SRA 與身份提供商和自動用戶配置的集成，可及時授予和撤銷訪問權(quán)限，從而防止未經(jīng)授權(quán)的訪問。

問題八

由于按需遠(yuǎn)程訪問的流程，第三方遠(yuǎn)程用戶要接受培訓(xùn)和引導(dǎo)，才能訪問 OT 網(wǎng)絡(luò)。這些繁瑣的流程可能會導(dǎo)致訪問延遲、人為錯誤、溝通不暢、平均修復(fù)時間 (MTTR) 增長、以及由第三方參與而導(dǎo)致的潛在運營中斷。

Claroty SRA 如何解決該問題？

通過直觀的平臺簡化引導(dǎo)流程，方便隨時隨地快速訪問 OT 網(wǎng)絡(luò)。使用身份驗證功能縮短維護窗口，以便快速訪問外部用戶，簡化引導(dǎo)流程以減少錯誤和溝通不暢。同時，基于角色的訪問控制 (RBAC) 允許管理員輕松定義與管理用戶的訪問權(quán)限和角色，以滿足每個第三方遠(yuǎn)程用戶的需求。通過支持 SAML、OIDC 和單點登錄 (SSO) 等協(xié)議，簡化第三方身份驗證和配置。

Claroty SRA 旨在克服與第三方遠(yuǎn)程訪問相關(guān)的挑戰(zhàn)，為高效的第三方管理和安全訪問提供集中式平臺。Claroty SRA 解決方案的廣泛安全措施可最大限度地減少潛在威脅，提供工具來識別和應(yīng)對涉及第三方遠(yuǎn)程用戶的安全或運營事件。實施 Claroty SRA 使企業(yè)能夠減少其平均修復(fù)時間 (MTTR)，最大限度地降低為第三方遠(yuǎn)程用戶配置和管理訪問的成本和復(fù)雜性。Claroty SRA 還通過全面的審計跟蹤來維護責(zé)任制和遵守監(jiān)管要求。

文字與圖片參考來源：claroty.com


審核編輯 黃宇