使用 Claroty SRA 优化第三方 OT 远程访问

第三方，如原始设备制造商 (OEM) 技术员和维护承包商，是确保 OT 环境可用性、完整性和安全性的关键。负责服务 OT 资产的第三方经常远程工作。这意味着，他们会通过无数广泛使用的解决方案远程连接到客户的 OT 环境。从基于 VPN 的选项到 OEM 特定的工具，此类解决方案几乎不适用于 OT 环境，而是适用于 IT 环境。OT 和 IT 环境有其独特的组成，服务于不同的目的，并具有各自的一套安全和操作需求、挑战和风险。因此，需要一种专门为 OT 设计的解决方案。接下来的内容，探讨了使用标准 IT 解决方案进行第三方 OT 远程访问所存在的安全挑战和风险、以及 Claroty SRA 如何解决这些问题。

使用标准 IT 解决方案进行第三方 OT 远程访问所存在的安全挑战和风险

一家汽车制造公司的第三方远程用户使用以 IT 为中心的 OT 远程访问解决方案，违反普渡模型，该汽车制造公司成为了网络钓鱼攻击的目标。攻击者利用薄弱的安全协议，渗透到自动化生产线控制和破坏操作，并引入恶意软件。因为汽车制造公司缺乏实时可视化，所以导致了检测延迟。当发现被入侵时，生产已停止，关键设备已受损。这一 OT 网络安全事件导致了重大的财务损失、声誉损害以及被监管审查。

（可点击放大查看）

除了安全问题，工厂管理员和经理们还面临使用孤立工具管理第三方远程用户的挑战，他们需要获得对第三方远程用户的可视化。一家消费品公司遭遇了一次远程操作事故，生产线出现了严重故障。由于按需工作流程的限制，该工厂的第三方原始设备制造商无法立即进行现场维修。消费品公司的 OT 团队需要紧急远程引导原始设备制造商。负责管理此任务的 IT 团队必须创建用户帐户和自定义防火墙策略，这导致了延迟。集成不受管理的设备和导航不熟悉的 OT 环境，其复杂性延长了授予访问权限的时间。结果，平均修复时间 (MTTR) 大幅增加，延长了生产停机时间，影响了消费品公司的运营效率和产出。应对这些挑战，需要 OT 远程访问解决方案 Claroty SRA。它可满足 OT 环境中远程访问相关的操作、管理和安全需求。通过集中管理第三方远程用户，Claroty SRA 简化了远程访问流程，降低了与不受管理和不受控制的访问的相关风险。

Claroty SRA 如何解决问题？

问题一

企业对第三方远程访问和文件传输到不安全 OT 设备的控制有限。第三方远程用户可以在关键系统上进行未经授权的操作，这会导致运营数据被盗、或者系统被篡改。

Claroty SRA 如何解决该问题？

Claroty SRA 可帮助管理员监督和控制第三方文件传输。与基于 ICAP 的防病毒解决方案集成，以阻止恶意文件进入 OT 网络。这种主动方法可确保 OT 环境安全，最大限度地减少第三方访问关键系统和数据的风险。

Claroty SRA 安全文件传输

问题二

企业通过管理孤立工具，查看 OT 网络内的第三方远程用户活动，但缺乏对第三方用户监察和审计的能力。这会导致配置错误、难以追踪第三方远程用户活动、难以检测操作异常、延迟响应、以及第三方责任缺失等问题。

Claroty SRA 如何解决该问题？

Claroty SRA 的监察和日志记录功能可实时查看与控制第三方远程用户活动，使管理员能够轻松监督实时会话、解决问题并及时终止有风险的会话。全面的日志和视频记录支持事件调查、审计与合规工作。

Claroty SRA 实时监察第三方远程用户活动

Claroty SRA 用户会话记录

问题三

工厂管理员、经理们和第三方远程用户在访问 OT 网络、以及管理第三方远程用户访问终止时，需确保通信顺畅。如果存在通信障碍，就会导致沟通不畅、协作效率低下、延迟解决问题和潜在冲突。

Claroty SRA 如何解决该问题？

Claroty SRA 增强的协作功能可实现工厂管理员、经理们和第三方远程用户之间的实时通信与协作。通过现有身份提供商、身份和访问管理解决方案进行集中访问、终止管理以及自动用户配置，简化了访问权限授予和撤销，确保了高效且安全的 OT 环境。

问题四

第三方远程用户在 OT 环境中使用传统 IT 远程访问工具。这会存在兼容性问题，可能需要更长的平均修复时间（MTTR），增加总拥有成本（TCO），损害系统完整性，为未经授权的访问和数据泄露提供潜在途径。

Claroty SRA 如何解决该问题？

提供专门构建的 OT 远程访问解决方案，以实现直接兼容。

支持灵活的无代理部署和配置，最大程度地减少系统中断。

在单一平台中统一远程访问，简化管理。

使用行业标准加密协议（SSL 加密、TLS v1.2+ 和带有 RSA 4096 位身份验证密钥的 SSH2）保护数据传输。

问题五

标准 IT 解决方案的默认部署方法和用例将互联网连接直接扩展到 OT 网络的较低层，从而打破了普渡模型。打破普渡模型会将关键 OT 资产和流程暴露给互联网，扩大了攻击面，并因此带来网络风险：权限提升、横向移动和无意错误。这些可能会扰乱运营、损害声誉、不遵守法规和知识产权被盗。

Claroty SRA 如何解决该问题？

通过实施精细的访问控制来保护普渡模型的完整性，并确保第三方远程用户只能访问必要的资源，以防止未经授权的操作、在 OT 环境中避免横向移动。符合 IEC62443，遵守行业标准安全实践。

（可点击放大查看）

问题六

企业对第三方远程用户强制执行密码卫生要求的选项有限，导致凭证管理不善，并将漏洞引入关键环境。

Claroty SRA 如何解决该问题？

Claroty SRA 将第三方远程用户凭证安全地存储在 Claroty DB 中。第三方远程用户无法直接访问其凭证，从而防止未经授权的访问，并启用不同级别的权限，以实现安全的 OT 网络访问。

问题七

标准 IT 解决方案无法完全实施基于角色的访问控制和执行访问策略，最小特权原则 (PoLP) 无法限制对关键资产的访问，无法在必要时终止访问。这些限制允许未经授权访问关键环境和操纵控制系统，为破坏关键流程和跨网络横向移动创造了途径。

Claroty SRA 如何解决该问题？

强制实施基于时间的访问控制和限制访问时长，以确保仅在需要时才提供有限的访问权限，并有效地管理第三方远程用户。Claroty SRA 与身份提供商和自动用户配置的集成，可及时授予和撤销访问权限，从而防止未经授权的访问。

问题八

由于按需远程访问的流程，第三方远程用户要接受培训和引导，才能访问 OT 网络。这些繁琐的流程可能会导致访问延迟、人为错误、沟通不畅、平均修复时间 (MTTR) 增长、以及由第三方参与而导致的潜在运营中断。

Claroty SRA 如何解决该问题？

通过直观的平台简化引导流程，方便随时随地快速访问 OT 网络。使用身份验证功能缩短维护窗口，以便快速访问外部用户，简化引导流程以减少错误和沟通不畅。同时，基于角色的访问控制 (RBAC) 允许管理员轻松定义与管理用户的访问权限和角色，以满足每个第三方远程用户的需求。通过支持 SAML、OIDC 和单点登录 (SSO) 等协议，简化第三方身份验证和配置。

Claroty SRA 旨在克服与第三方远程访问相关的挑战，为高效的第三方管理和安全访问提供集中式平台。Claroty SRA 解决方案的广泛安全措施可最大限度地减少潜在威胁，提供工具来识别和应对涉及第三方远程用户的安全或运营事件。实施 Claroty SRA 使企业能够减少其平均修复时间 (MTTR)，最大限度地降低为第三方远程用户配置和管理访问的成本和复杂性。Claroty SRA 还通过全面的审计跟踪来维护责任制和遵守监管要求。

文字与图片参考来源：claroty.com


审核编辑 黄宇