使用Claroty xDome SA優化第三方OT遠端存取

2024-10-30 10:54
13

第三方,如原始設備製造商 (OEM) 技術員和維護承包商,是確保 OT 環境可用性、完整性和安全性的關鍵。負責服務 OT 資產的第三方經常遠端工作。這意味著,他們會透過無數廣泛使用的解決方案遠端連接到客戶的 OT 環境。從基於 VPN 的選項到 OEM 特定的工具,此類解決方案幾乎不適用於 OT 環境,而是適用於 IT 環境。 OT 和 IT 環境有其獨特的組成,服務於不同的目的,並具有各自的一套安全和操作需求、挑戰和風險。因此,需要一種專為 OT 設計的解決方案。接下來的內容,探討了使用標準 IT 解決方案進行第三方 OT 遠端存取所存在的安全挑戰和風險、以及 Claroty xDome SA 如何解決這些問題。


使用標準 IT 解決方案進行第三方 OT 遠端存取所存在的安全挑戰和風險

一家汽車製造公司的第三方遠端使用者使用以 IT 為中心的 OT 遠端存取解決方案,違反普渡模型,該汽車製造公司成為了網路釣魚攻擊的目標。攻擊者利用薄弱的安全協議,滲透到自動化生產線控制和破壞操作,並引入惡意軟體。因為汽車製造公司缺乏即時可視性,所以導致了檢測延遲。當發現被入侵時,生產已停止,關鍵設備已受損。這一 OT 網路安全事件導致了重大的財務損失、聲譽損害以及被監管審查。


SRA Third Party Vendor Management White Paper-11-01.jpg

(請單擊放大查看)


除了安全問題,工廠管理員和經理們還面臨使用孤立工具管理第三方遠端使用者的挑戰,他們需要獲得對第三方遠端使用者的可視性。一家消費品公司遭遇了遠端操作事故,生產線出現了嚴重故障。由於按需工作流程的限制,該工廠的第三方原始設備製造商無法立即進行現場維修。消費品公司的 OT 團隊需要緊急遠端引導原始設備製造商。負責管理此任務的 IT 團隊必須建立使用者帳戶和自訂防火牆策略,這導致了延遲。整合不受管理的裝置和導航不熟悉的 OT 環境,其複雜性延長了授予存取權限的時間。結果,平均修復時間 (MTTR) 大幅增加,延長了生產停機時間,影響了消費品公司的營運效率和產出。應對這些挑戰,需要 OT 遠端存取解決方案 Claroty xDome SA。它可滿足 OT 環境中遠端存取相關的操作、管理和安全需求。透過集中管理第三方遠端使用者,Claroty xDome SA 簡化了遠端存取流程,降低了與不受管理和不受控制的存取的相關風險。


Claroty xDome SA 如何解決問題?

問題一

企業對第三方遠端存取和檔案傳輸到不安全 OT 設備的控制有限。第三方遠端使用者可以在關鍵系統上進行未經授權的操作,這會導致營運資料被盜、或系統被篡改。

Claroty xDome SA 如何解決這個問題?

Claroty xDome SA 可協助管理員監督和控制第三方文件傳輸。與基於 ICAP 的防毒解決方案集成,以阻止惡意檔案進入 OT 網路。這種主動方法可確保 OT 環境安全,最大限度地減少第三方存取關鍵系統和資料的風險。


1-01.jpg

Claroty xDome SA 安全文件傳輸


問題二

企業透過管理孤立工具,查看 OT 網路內的第三方遠端使用者活動,但缺乏對第三方使用者監察和審計的能力。這會導致配置錯誤、難以追蹤第三方遠端使用者活動、難以偵測操作異常、延遲回應、以及第三方責任缺失等問題。

Claroty xDome SA 如何解決這個問題?

Claroty xDome SA 的監察和記錄功能可即時查看與控制第三方遠端使用者活動,使管理員能夠輕鬆監督即時會話、解決問題並及時終止有風險的會話。全面的日誌和視訊記錄支援事件調查、審計與合規工作。



2-01.jpg

Claroty xDome SA 即時監察第三方遠端使用者活動


2-02.jpg

Claroty xDome SA 使用者會話記錄


問題三

工廠管理員、經理們和第三方遠端使用者在存取 OT 網路、以及管理第三方遠端使用者存取終止時,需確保通訊順暢。如果有通訊障礙,就會導致溝通不良、協作效率低、延遲解決問題和潛在衝突。

Claroty xDome SA 如何解決這個問題?

Claroty xDome SA 增強的協作功能可實現工廠管理員、經理們和第三方遠端使用者之間的即時通訊與協作。透過現有身分提供者、身分和存取管理解決方案進行集中存取、終止管理以及自動使用者配置,簡化了存取權限授予和撤銷,確保了高效且安全的 OT 環境。


問題四

第三方遠端使用者在 OT 環境中使用傳統 IT 遠端存取工具。這會存在相容性問題,可能需要更長的平均修復時間(MTTR),增加總擁有成本(TCO),損害系統完整性,為未經授權的存取和資料外洩提供潛在途徑。

Claroty xDome SA 如何解決這個問題?

  • 提供專門建置的 OT 遠端存取解決方案,以實現直接相容。

  • 支援靈活的無代理部署和配置,最大程度地減少系統中斷。

  • 在單一平台中統一遠端存取,簡化管理。

  • 使用業界標準加密協定(SSL 加密、TLS v1.2+ 和具有 RSA 4096 位身分驗證密鑰的 SSH2)保護資料傳輸。


問題五

標準 IT 解決方案的預設部署方法和用例將互聯網連接直接擴展到 OT 網路的較低層,從而打破了普渡模型。打破普渡模式會將關鍵 OT 資產和流程暴露給互聯網,擴大了攻擊面,並因此帶來網路風險:權限提升、橫向移動和無意錯誤。這些可能會擾亂營運、損害聲譽、不遵守法規和知識產權被盜。

Claroty xDome SA 如何解決這個問題?

透過實施精細的存取控制來保護普渡模型的完整性,並確保第三方遠端使用者只能存取必要的資源,以防止未經授權的操作、在 OT 環境中避免橫向移動。符合 IEC62443,遵守業界標準安全實務。


SRA Third Party Vendor Management White Paper-01.jpg

(請單擊放大查看)


問題六

企業對第三方遠端使用者強制執行密碼衛生要求的選項有限,導致憑證管理不善,並將漏洞引入關鍵環境。

Claroty xDome SA 如何解決這個問題?

Claroty xDome SA 將第三方遠端使用者憑證安全地儲存在 Claroty DB 中。第三方遠端使用者無法直接存取其憑證,從而防止未經授權的訪問,並啟用不同級別的權限,以實現安全的 OT 網路存取。


問題七

標準 IT 解決方案無法完全實施基於角色的存取控制和執行存取策略,最小特權原則 (PoLP) 無法限制對關鍵資產的訪問,無法在必要時終止存取。這些限制允許未經授權存取關鍵環境和操縱控制系統,為破壞關鍵流程和跨網路橫向移動創造了途徑。

Claroty xDome SA 如何解決這個問題?

強制實施基於時間的存取控制和限制存取時長,以確保僅在需要時才提供有限的存取權限,並有效地管理第三方遠端使用者。Claroty xDome SA 與身分提供者和自動使用者配置的集成,可及時授予和撤銷存取權限,從而防止未經授權的存取。


問題八

由於按需遠端存取的流程,第三方遠端使用者要接受培訓和引導,才能存取 OT 網路。這些繁瑣的流程可能會導致存取延遲、人為錯誤、溝通不良、平均修復時間 (MTTR) 延長、以及因爲第三方參與而導致的潛在營運中斷。

Claroty xDome SA 如何解決這個問題?

透過直觀的平台簡化引導流程,方便隨時隨地快速存取 OT 網路。使用身分驗證功能縮短維護窗口,簡化引導流程以減少錯誤和溝通不良。同時,基於角色的存取控制 (RBAC) 允許管理員輕鬆定義與管理使用者的存取權限和角色,以滿足每個第三方遠端使用者的需求。透過支援 SAML、OIDC 和單一登入 (SSO) 等協議,簡化第三方身分驗證和配置。


Claroty xDome SA 旨在克服與第三方遠端存取相關的挑戰,為高效的第三方管理和安全存取提供集中式平台。Claroty xDome SA 解決方案的廣泛安全措施可最大限度地減少潛在威脅,提供工具來識別和應對涉及第三方遠端使用者的安全或營運事件。實施 Claroty xDome SA 使企業能夠減少其平均修復時間 (MTTR),最大限度地降低為第三方遠端使用者配置和管理存取的成本和複雜性。Claroty xDome SA 還透過全面的審計追蹤來維護責任制和遵守監管要求。Cyberworld 科明大同是 Claroty 的大中華區總代理商,歡迎聯絡我們的銷售經理,以取得 Claroty 產品資料或諮詢業務。我們期待您的聯絡


横幅-新聞-CL.png