第三方，如原始設備制造商 (OEM) 技術員和維護承包商，是確保 OT 環境可用性、完整性和安全性的關鍵。負責服務 OT 資產的第三方經常遠程工作。這意味著，他們會通過無數廣泛使用的解決方案遠程連接到客戶的 OT 環境。從基于 VPN 的選項到 OEM 特定的工具，此類解決方案幾乎不適用于 OT 環境，而是適用于 IT 環境。OT 和 IT 環境有其獨特的組成，服務于不同的目的，并具有各自的一套安全和操作需求、挑戰和風險。因此，需要一種專門為 OT 設計的解決方案。接下來的內容，探討了使用標準 IT 解決方案進行第三方 OT 遠程訪問所存在的安全挑戰和風險、以及 Claroty SRA 如何解決這些問題。

使用標準 IT 解決方案進行第三方 OT 遠程訪問所存在的安全挑戰和風險

一家汽車制造公司的第三方遠程用戶使用以 IT 為中心的 OT 遠程訪問解決方案，違反普渡模型，該汽車制造公司成為了網絡釣魚攻擊的目標。攻擊者利用薄弱的安全協議，滲透到自動化生產線控制和破壞操作，并引入惡意軟件。因為汽車制造公司缺乏實時可視化，所以導致了檢測延遲。當發現被入侵時，生產已停止，關鍵設備已受損。這一 OT 網絡安全事件導致了重大的財務損失、聲譽損害以及被監管審查。

（可點擊放大查看）

除了安全問題，工廠管理員和經理們還面臨使用孤立工具管理第三方遠程用戶的挑戰，他們需要獲得對第三方遠程用戶的可視化。一家消費品公司遭遇了一次遠程操作事故，生產線出現了嚴重故障。由于按需工作流程的限制，該工廠的第三方原始設備制造商無法立即進行現場維修。消費品公司的 OT 團隊需要緊急遠程引導原始設備制造商。負責管理此任務的 IT 團隊必須創建用戶帳戶和自定義防火墻策略，這導致了延遲。集成不受管理的設備和導航不熟悉的 OT 環境，其復雜性延長了授予訪問權限的時間。結果，平均修復時間 (MTTR) 大幅增加，延長了生產停機時間，影響了消費品公司的運營效率和產出。應對這些挑戰，需要 OT 遠程訪問解決方案 Claroty SRA。它可滿足 OT 環境中遠程訪問相關的操作、管理和安全需求。通過集中管理第三方遠程用戶，Claroty SRA 簡化了遠程訪問流程，降低了與不受管理和不受控制的訪問的相關風險。

Claroty SRA 如何解決問題？

問題一

企業對第三方遠程訪問和文件傳輸到不安全 OT 設備的控制有限。第三方遠程用戶可以在關鍵系統上進行未經授權的操作，這會導致運營數據被盜、或者系統被篡改。

Claroty SRA 如何解決該問題？

Claroty SRA 可幫助管理員監督和控制第三方文件傳輸。與基于 ICAP 的防病毒解決方案集成，以阻止惡意文件進入 OT 網絡。這種主動方法可確保 OT 環境安全，最大限度地減少第三方訪問關鍵系統和數據的風險。

Claroty SRA 安全文件傳輸

問題二

企業通過管理孤立工具，查看 OT 網絡內的第三方遠程用戶活動，但缺乏對第三方用戶監察和審計的能力。這會導致配置錯誤、難以追蹤第三方遠程用戶活動、難以檢測操作異常、延遲響應、以及第三方責任缺失等問題。

Claroty SRA 如何解決該問題？

Claroty SRA 的監察和日志記錄功能可實時查看與控制第三方遠程用戶活動，使管理員能夠輕松監督實時會話、解決問題并及時終止有風險的會話。全面的日志和視頻記錄支持事件調查、審計與合規工作。

Claroty SRA 實時監察第三方遠程用戶活動

Claroty SRA 用戶會話記錄

問題三

工廠管理員、經理們和第三方遠程用戶在訪問 OT 網絡、以及管理第三方遠程用戶訪問終止時，需確保通信順暢。如果存在通信障礙，就會導致溝通不暢、協作效率低下、延遲解決問題和潛在沖突。

Claroty SRA 如何解決該問題？

Claroty SRA 增強的協作功能可實現工廠管理員、經理們和第三方遠程用戶之間的實時通信與協作。通過現有身份提供商、身份和訪問管理解決方案進行集中訪問、終止管理以及自動用戶配置，簡化了訪問權限授予和撤銷，確保了高效且安全的 OT 環境。

問題四

第三方遠程用戶在 OT 環境中使用傳統 IT 遠程訪問工具。這會存在兼容性問題，可能需要更長的平均修復時間（MTTR），增加總擁有成本（TCO），損害系統完整性，為未經授權的訪問和數據泄露提供潛在途徑。

Claroty SRA 如何解決該問題？

提供專門構建的 OT 遠程訪問解決方案，以實現直接兼容。

支持靈活的無代理部署和配置，最大程度地減少系統中斷。

在單一平臺中統一遠程訪問，簡化管理。

使用行業標準加密協議（SSL 加密、TLS v1.2+ 和帶有 RSA 4096 位身份驗證密鑰的 SSH2）保護數據傳輸。

問題五

標準 IT 解決方案的默認部署方法和用例將互聯網連接直接擴展到 OT 網絡的較低層，從而打破了普渡模型。打破普渡模型會將關鍵 OT 資產和流程暴露給互聯網，擴大了攻擊面，并因此帶來網絡風險：權限提升、橫向移動和無意錯誤。這些可能會擾亂運營、損害聲譽、不遵守法規和知識產權被盜。

Claroty SRA 如何解決該問題？

通過實施精細的訪問控制來保護普渡模型的完整性，并確保第三方遠程用戶只能訪問必要的資源，以防止未經授權的操作、在 OT 環境中避免橫向移動。符合 IEC62443，遵守行業標準安全實踐。

（可點擊放大查看）

問題六

企業對第三方遠程用戶強制執行密碼衛生要求的選項有限，導致憑證管理不善，并將漏洞引入關鍵環境。

Claroty SRA 如何解決該問題？

Claroty SRA 將第三方遠程用戶憑證安全地存儲在 Claroty DB 中。第三方遠程用戶無法直接訪問其憑證，從而防止未經授權的訪問，并啟用不同級別的權限，以實現安全的 OT 網絡訪問。

問題七

標準 IT 解決方案無法完全實施基于角色的訪問控制和執行訪問策略，最小特權原則 (PoLP) 無法限制對關鍵資產的訪問，無法在必要時終止訪問。這些限制允許未經授權訪問關鍵環境和操縱控制系統，為破壞關鍵流程和跨網絡橫向移動創造了途徑。

Claroty SRA 如何解決該問題？

強制實施基于時間的訪問控制和限制訪問時長，以確保僅在需要時才提供有限的訪問權限，并有效地管理第三方遠程用戶。Claroty SRA 與身份提供商和自動用戶配置的集成，可及時授予和撤銷訪問權限，從而防止未經授權的訪問。

問題八

由于按需遠程訪問的流程，第三方遠程用戶要接受培訓和引導，才能訪問 OT 網絡。這些繁瑣的流程可能會導致訪問延遲、人為錯誤、溝通不暢、平均修復時間 (MTTR) 增長、以及由第三方參與而導致的潛在運營中斷。

Claroty SRA 如何解決該問題？

通過直觀的平臺簡化引導流程，方便隨時隨地快速訪問 OT 網絡。使用身份驗證功能縮短維護窗口，以便快速訪問外部用戶，簡化引導流程以減少錯誤和溝通不暢。同時，基于角色的訪問控制 (RBAC) 允許管理員輕松定義與管理用戶的訪問權限和角色，以滿足每個第三方遠程用戶的需求。通過支持 SAML、OIDC 和單點登錄 (SSO) 等協議，簡化第三方身份驗證和配置。

Claroty SRA 旨在克服與第三方遠程訪問相關的挑戰，為高效的第三方管理和安全訪問提供集中式平臺。Claroty SRA 解決方案的廣泛安全措施可最大限度地減少潛在威脅，提供工具來識別和應對涉及第三方遠程用戶的安全或運營事件。實施 Claroty SRA 使企業能夠減少其平均修復時間 (MTTR)，最大限度地降低為第三方遠程用戶配置和管理訪問的成本和復雜性。Claroty SRA 還通過全面的審計跟蹤來維護責任制和遵守監管要求。

文字與圖片參考來源：claroty.com


審核編輯 黃宇