|
第三方,如原始設(shè)備制造商 (OEM) 技術(shù)員和維護(hù)承包商���,是確保 OT 環(huán)境可用性����、完整性和安全性的關(guān)鍵��。負(fù)責(zé)服務(wù) OT 資產(chǎn)的第三方經(jīng)常遠(yuǎn)程工作��。這意味著,他們會(huì)通過(guò)無(wú)數(shù)廣泛使用的解決方案遠(yuǎn)程連接到客戶的 OT 環(huán)境�����。從基于 VPN 的選項(xiàng)到 OEM 特定的工具���,此類解決方案幾乎不適用于 OT 環(huán)境�,而是適用于 IT 環(huán)境。OT 和 IT 環(huán)境有其獨(dú)特的組成�,服務(wù)于不同的目的,并具有各自的一套安全和操作需求、挑戰(zhàn)和風(fēng)險(xiǎn)。因此,需要一種專門為 OT 設(shè)計(jì)的解決方案。接下來(lái)的內(nèi)容����,探討了使用標(biāo)準(zhǔn) IT 解決方案進(jìn)行第三方 OT 遠(yuǎn)程訪問(wèn)所存在的安全挑戰(zhàn)和風(fēng)險(xiǎn)���、以及 Claroty SRA 如何解決這些問(wèn)題�����。
使用標(biāo)準(zhǔn) IT 解決方案進(jìn)行第三方 OT 遠(yuǎn)程訪問(wèn)所存在的安全挑戰(zhàn)和風(fēng)險(xiǎn)
一家汽車制造公司的第三方遠(yuǎn)程用戶使用以 IT 為中心的 OT 遠(yuǎn)程訪問(wèn)解決方案,違反普渡模型,該汽車制造公司成為了網(wǎng)絡(luò)釣魚攻擊的目標(biāo)。攻擊者利用薄弱的安全協(xié)議,滲透到自動(dòng)化生產(chǎn)線控制和破壞操作�,并引入惡意軟件����。因?yàn)槠囍圃旃救狈?shí)時(shí)可視化���,所以導(dǎo)致了檢測(cè)延遲����。當(dāng)發(fā)現(xiàn)被入侵時(shí),生產(chǎn)已停止,關(guān)鍵設(shè)備已受損。這一 OT 網(wǎng)絡(luò)安全事件導(dǎo)致了重大的財(cái)務(wù)損失�、聲譽(yù)損害以及被監(jiān)管審查���。
除了安全問(wèn)題�����,工廠管理員和經(jīng)理們還面臨使用孤立工具管理第三方遠(yuǎn)程用戶的挑戰(zhàn)����,他們需要獲得對(duì)第三方遠(yuǎn)程用戶的可視化���。一家消費(fèi)品公司遭遇了一次遠(yuǎn)程操作事故�����,生產(chǎn)線出現(xiàn)了嚴(yán)重故障。由于按需工作流程的限制,該工廠的第三方原始設(shè)備制造商無(wú)法立即進(jìn)行現(xiàn)場(chǎng)維修����。消費(fèi)品公司的 OT 團(tuán)隊(duì)需要緊急遠(yuǎn)程引導(dǎo)原始設(shè)備制造商�。負(fù)責(zé)管理此任務(wù)的 IT 團(tuán)隊(duì)必須創(chuàng)建用戶帳戶和自定義防火墻策略����,這導(dǎo)致了延遲。集成不受管理的設(shè)備和導(dǎo)航不熟悉的 OT 環(huán)境,其復(fù)雜性延長(zhǎng)了授予訪問(wèn)權(quán)限的時(shí)間����。結(jié)果�,平均修復(fù)時(shí)間 (MTTR) 大幅增加�,延長(zhǎng)了生產(chǎn)停機(jī)時(shí)間,影響了消費(fèi)品公司的運(yùn)營(yíng)效率和產(chǎn)出���。應(yīng)對(duì)這些挑戰(zhàn),需要 OT 遠(yuǎn)程訪問(wèn)解決方案 Claroty SRA��。它可滿足 OT 環(huán)境中遠(yuǎn)程訪問(wèn)相關(guān)的操作�����、管理和安全需求���。通過(guò)集中管理第三方遠(yuǎn)程用戶��,Claroty SRA 簡(jiǎn)化了遠(yuǎn)程訪問(wèn)流程,降低了與不受管理和不受控制的訪問(wèn)的相關(guān)風(fēng)險(xiǎn)。
Claroty SRA 如何解決以下問(wèn)題���?
問(wèn)題一
企業(yè)對(duì)第三方遠(yuǎn)程訪問(wèn)和文件傳輸?shù)讲话踩?OT 設(shè)備的控制有限�。第三方遠(yuǎn)程用戶可以在關(guān)鍵系統(tǒng)上進(jìn)行未經(jīng)授權(quán)的操作,這會(huì)導(dǎo)致運(yùn)營(yíng)數(shù)據(jù)被盜�、或者系統(tǒng)被篡改���。
Claroty SRA 如何解決該問(wèn)題�?
Claroty SRA 可幫助管理員監(jiān)督和控制第三方文件傳輸�。與基于 ICAP 的防病毒解決方案集成,以阻止惡意文件進(jìn)入 OT 網(wǎng)絡(luò)����。這種主動(dòng)方法可確保 OT 環(huán)境安全��,最大限度地減少第三方訪問(wèn)關(guān)鍵系統(tǒng)和數(shù)據(jù)的風(fēng)險(xiǎn)。
Claroty SRA 安全文件傳輸
問(wèn)題二
企業(yè)通過(guò)管理孤立工具�,查看 OT 網(wǎng)絡(luò)內(nèi)的第三方遠(yuǎn)程用戶活動(dòng)���,但缺乏對(duì)第三方用戶監(jiān)察和審計(jì)的能力�。這會(huì)導(dǎo)致配置錯(cuò)誤����、難以追蹤第三方遠(yuǎn)程用戶活動(dòng)、難以檢測(cè)操作異常����、延遲響應(yīng)�、以及第三方責(zé)任缺失等問(wèn)題�。
Claroty SRA 如何解決該問(wèn)題?
Claroty SRA 的監(jiān)察和日志記錄功能可實(shí)時(shí)查看與控制第三方遠(yuǎn)程用戶活動(dòng)�����,使管理員能夠輕松監(jiān)督實(shí)時(shí)會(huì)話����、解決問(wèn)題并及時(shí)終止有風(fēng)險(xiǎn)的會(huì)話�。全面的日志和視頻記錄支持事件調(diào)查�����、審計(jì)與合規(guī)工作。
Claroty SRA 實(shí)時(shí)監(jiān)察第三方遠(yuǎn)程用戶活動(dòng)
Claroty SRA 用戶會(huì)話記錄
問(wèn)題三
工廠管理員����、經(jīng)理們和第三方遠(yuǎn)程用戶在訪問(wèn) OT 網(wǎng)絡(luò)�、以及管理第三方遠(yuǎn)程用戶訪問(wèn)終止時(shí)�,需確保通信順暢。如果存在通信障礙�,就會(huì)導(dǎo)致溝通不暢����、協(xié)作效率低下�����、延遲解決問(wèn)題和潛在沖突����。
Claroty SRA 如何解決該問(wèn)題��?
Claroty SRA 增強(qiáng)的協(xié)作功能可實(shí)現(xiàn)工廠管理員���、經(jīng)理們和第三方遠(yuǎn)程用戶之間的實(shí)時(shí)通信與協(xié)作�����。通過(guò)現(xiàn)有身份提供商、身份和訪問(wèn)管理解決方案進(jìn)行集中訪問(wèn)����、終止管理以及自動(dòng)用戶配置���,簡(jiǎn)化了訪問(wèn)權(quán)限授予和撤銷,確保了高效且安全的 OT 環(huán)境。
問(wèn)題四
第三方遠(yuǎn)程用戶在 OT 環(huán)境中使用傳統(tǒng) IT 遠(yuǎn)程訪問(wèn)工具��。這會(huì)存在兼容性問(wèn)題��,可能需要更長(zhǎng)的平均修復(fù)時(shí)間(MTTR)���,增加總擁有成本(TCO)���,損害系統(tǒng)完整性��,為未經(jīng)授權(quán)的訪問(wèn)和數(shù)據(jù)泄露提供潛在途徑。
Claroty SRA 如何解決該問(wèn)題��?
-
提供專門構(gòu)建的 OT 遠(yuǎn)程訪問(wèn)解決方案����,以實(shí)現(xiàn)直接兼容。
-
支持靈活的無(wú)代理部署和配置,最大程度地減少系統(tǒng)中斷�。
-
在單一平臺(tái)中統(tǒng)一遠(yuǎn)程訪問(wèn)��,簡(jiǎn)化管理。
-
使用行業(yè)標(biāo)準(zhǔn)加密協(xié)議(SSL 加密、TLS v1.2+ 和帶有 RSA 4096 位身份驗(yàn)證密鑰的 SSH2)保護(hù)數(shù)據(jù)傳輸�����。
問(wèn)題五
標(biāo)準(zhǔn) IT 解決方案的默認(rèn)部署方法和用例將互聯(lián)網(wǎng)連接直接擴(kuò)展到 OT 網(wǎng)絡(luò)的較低層��,從而打破了普渡模型��。打破普渡模型會(huì)將關(guān)鍵 OT 資產(chǎn)和流程暴露給互聯(lián)網(wǎng),擴(kuò)大了攻擊面,并因此帶來(lái)網(wǎng)絡(luò)風(fēng)險(xiǎn):權(quán)限提升、橫向移動(dòng)和無(wú)意錯(cuò)誤。這些可能會(huì)擾亂運(yùn)營(yíng)、損害聲譽(yù)����、不遵守法規(guī)和知識(shí)產(chǎn)權(quán)被盜�。
Claroty SRA 如何解決該問(wèn)題��?
通過(guò)實(shí)施精細(xì)的訪問(wèn)控制來(lái)保護(hù)普渡模型的完整性�����,并確保第三方遠(yuǎn)程用戶只能訪問(wèn)必要的資源�,以防止未經(jīng)授權(quán)的操作�����、在 OT 環(huán)境中避免橫向移動(dòng)。符合 IEC62443����,遵守行業(yè)標(biāo)準(zhǔn)安全實(shí)踐�����。
問(wèn)題六
企業(yè)對(duì)第三方遠(yuǎn)程用戶強(qiáng)制執(zhí)行密碼衛(wèi)生要求的選項(xiàng)有限,導(dǎo)致憑證管理不善,并將漏洞引入關(guān)鍵環(huán)境�。
Claroty SRA 如何解決該問(wèn)題�����?
Claroty SRA 將第三方遠(yuǎn)程用戶憑證安全地存儲(chǔ)在 Claroty DB 中。第三方遠(yuǎn)程用戶無(wú)法直接訪問(wèn)其憑證,從而防止未經(jīng)授權(quán)的訪問(wèn)��,并啟用不同級(jí)別的權(quán)限�,以實(shí)現(xiàn)安全的 OT 網(wǎng)絡(luò)訪問(wèn)。
問(wèn)題七
標(biāo)準(zhǔn) IT 解決方案無(wú)法完全實(shí)施基于角色的訪問(wèn)控制和執(zhí)行訪問(wèn)策略,最小特權(quán)原則 (PoLP) 無(wú)法限制對(duì)關(guān)鍵資產(chǎn)的訪問(wèn),無(wú)法在必要時(shí)終止訪問(wèn)�。這些限制允許未經(jīng)授權(quán)訪問(wèn)關(guān)鍵環(huán)境和操縱控制系統(tǒng)�,為破壞關(guān)鍵流程和跨網(wǎng)絡(luò)橫向移動(dòng)創(chuàng)造了途徑����。
Claroty SRA 如何解決該問(wèn)題?
強(qiáng)制實(shí)施基于時(shí)間的訪問(wèn)控制和限制訪問(wèn)時(shí)長(zhǎng)����,以確保僅在需要時(shí)才提供有限的訪問(wèn)權(quán)限����,并有效地管理第三方遠(yuǎn)程用戶��。Claroty SRA 與身份提供商和自動(dòng)用戶配置的集成,可及時(shí)授予和撤銷訪問(wèn)權(quán)限��,從而防止未經(jīng)授權(quán)的訪問(wèn)��。
問(wèn)題八
由于按需遠(yuǎn)程訪問(wèn)的流程�,第三方遠(yuǎn)程用戶要接受培訓(xùn)和引導(dǎo)���,才能訪問(wèn) OT 網(wǎng)絡(luò)�。這些繁瑣的流程可能會(huì)導(dǎo)致訪問(wèn)延遲、人為錯(cuò)誤����、溝通不暢�����、平均修復(fù)時(shí)間 (MTTR) 增長(zhǎng)、以及由第三方參與而導(dǎo)致的潛在運(yùn)營(yíng)中斷����。
Claroty SRA 如何解決該問(wèn)題��?
通過(guò)直觀的平臺(tái)簡(jiǎn)化引導(dǎo)流程,方便隨時(shí)隨地快速訪問(wèn) OT 網(wǎng)絡(luò)��。使用身份驗(yàn)證功能縮短維護(hù)窗口����,以便快速訪問(wèn)外部用戶,簡(jiǎn)化引導(dǎo)流程以減少錯(cuò)誤和溝通不暢��。同時(shí)�,基于角色的訪問(wèn)控制 (RBAC) 允許管理員輕松定義與管理用戶的訪問(wèn)權(quán)限和角色,以滿足每個(gè)第三方遠(yuǎn)程用戶的需求���。通過(guò)支持 SAML����、OIDC 和單點(diǎn)登錄 (SSO) 等協(xié)議,簡(jiǎn)化第三方身份驗(yàn)證和配置�。
Claroty SRA 旨在克服與第三方遠(yuǎn)程訪問(wèn)相關(guān)的挑戰(zhàn)�,為高效的第三方管理和安全訪問(wèn)提供集中式平臺(tái)�。Claroty SRA 解決方案的廣泛安全措施可最大限度地減少潛在威脅,提供工具來(lái)識(shí)別和應(yīng)對(duì)涉及第三方遠(yuǎn)程用戶的安全或運(yùn)營(yíng)事件。實(shí)施 Claroty SRA 使企業(yè)能夠減少其平均修復(fù)時(shí)間 (MTTR),最大限度地降低為第三方遠(yuǎn)程用戶配置和管理訪問(wèn)的成本和復(fù)雜性�。Claroty SRA 還通過(guò)全面的審計(jì)跟蹤來(lái)維護(hù)責(zé)任制和遵守監(jiān)管要求�。Cyberworld 科明大同是 Claroty 的總代理商����,聯(lián)系我們�,可獲取 Claroty 產(chǎn)品資料或咨詢業(yè)務(wù)����。
|
