近期,工业网络安全行业新闻媒体 Industrial Cyber 对四位行业专家进行了访谈对话,Claroty 产品管理副总裁 Brian Dunphy 受邀参与其中,专家们共同探讨了以下话题:
虽然远程访问已存在多年,但还会涉及重大风险,是什么原因导致许多工厂所有者和运营商到现在才意识此问题?
安全远程访问工业环境和设备的需求增加,是什么因素推动的?
工业远程访问的相关风险和威胁是什么?
保护工业环境远程访问安全,推荐的最佳实践是什么?
Claroty 产品管理副总裁 Brian Dunphy,拥有 28 年的网络安全行业经验,曾经担任全球财富 500 强公司的 CISO 和安全运营团队的顾问,专注于构建监控企业网络威胁的产品和服务。在本次访谈中,Claroty 产品管理副总裁 Brian Dunphy 分别给出以下个人见解和专业意见。
Industrial Cyber:虽然远程访问已存在多年,但还会涉及重大风险,是什么原因导致许多工厂所有者和运营商到现在才意识此问题?
Claroty 产品管理副总裁 Brian Dunphy:2020年,COVID-19 爆发迫使许多人要远程工作,远程访问才被广泛认为是工业环境和运营的关键组成部分。很多工厂所有者和运营商是在没有足够安全和监察控制的情况下,快速实施远程访问的。当时,安全性不是远程环境的首要考虑因素。运营商和领导者只是专注于让员工以最快、最简单的远程网络访问来维持系统运行。所以,这些条件导致现有的、不安全的、面向 IT 的解决方案(例如VPN)被用于远程访问 OT 环境。现在,许多人都了解到危险性。黑客可以通过工业环境中易受攻击的设备、受损的凭据等进行远程访问攻击。
Industrial Cyber:安全远程访问工业环境和设备的需求增加,是什么因素推动的?
Claroty 产品管理副总裁 Brian Dunphy:疫情加剧了全球经济压力,许多公司不得不重新考虑运营策略,部分业务转向第三方供应商,而不是扩大内部劳动力。在劳动力短缺的情况下,需要保持生产线运行的制造商越来越依赖远程专家进行设备维护。然而,威胁行为者认为这是一个可利用的机会。公共违规行为频发和网络安全法规监管,提高了人们对工业环境的网络安全认知。所以,需要采取行动来提高远程访问的安全性,确保合规性、运营连续性和成本效益。
Industrial Cyber:工业远程访问的相关风险和威胁是什么?
Claroty 产品管理副总裁 Brian Dunphy:第三方供应商使用传统的、以 IT 为中心的解决方案(例如 VPN)进行远程访问,并提供了对任务关键型 OT 系统的广泛访问。威胁行为者可以通过这些 VPN 连接的受损用户笔记本电脑,轻松创建访问关键操作系统的路径。标准的 IT 解决方案无法实施基于角色的精细访问控制,或在必要时立即终止访问。这会加剧工业远程访问的风险,还可能导致未经授权的人员进入关键环境,控制系统可能被操纵,出现安全隐患,并增加系统中断的可能性。第三方供应商的远程帐户通常是临时且多变的。休眠帐户在授权后即可正常访问,并且在许多情况下共享帐户在第三方供应商之间传递。这些都为帐户滥用和泄露创造了机会。许多用户经常会在各种系统中使用相同的凭据,缺乏双因素身份验证会导致凭据被盗。安全团队也缺乏有效监控谁正在访问、在做什么。这限制了他们识别和响应未经授权的访问和恶意活动的能力。
Industrial Cyber:保护工业环境远程访问安全,推荐的最佳实践是什么?
Claroty 产品管理副总裁 Brian Dunphy:最常推荐的最佳实践包括基于角色的访问控制、监控用户访问和操作、强制实施双因素安全身份验证以及安全文件传输。远程访问解决方案应该能够在多个级别和地理位置上为工业资产定义和实施极其精细的访问控制,允许特定用户访问特定资产,在设定的时间窗口内执行特定任务。此外,通过要求每个访问请求得到主管的明确批准,可以得到进一步保护。在远程会话发生之前、期间和之后,需要对第三方和员工访问的可视化和控制,这有助于调查和响应恶意活动。双因素身份验证是限制共享帐户和被盗凭据的必要条件。用户通常要将文件传输到运营环境,但是恶意代码也有机会被插入到安全环境中,运营环境需要能够在上传之前对所有文件执行 AV 扫描。
总体而言,投资强大的安全措施对于任何组织来说,都是保护自己免受不断变化的网络威胁影响的关键一步。特别是在工业和制造业领域,保护 OT 环境的远程访问至关重要。工业安全远程访问可以保护其关键基础设施并保持业务连续性。组织可以实施多重身份验证、VPN(虚拟专用网络)、RBAC(基于角色的访问控制)、网络分段和持续监控等安全措施。这些措施可防止未经授权的访问、检测和响应安全事件,并遏制安全漏洞的影响。
Claroty 安全远程访问 (SRA)
Claroty 安全远程访问 (SRA) 是 Claroty 平台的核心组件,可提供对 OT 环境的顺畅、可靠且高度安全的远程访问。与大多数专为 IT 网络设计的传统远程访问解决方案不同,SRA 专为满足工业网络的特定操作、管理和安全需求而构建。Claroty 安全远程访问 (SRA) 可以缩短您的平均修复时间 (MTTR),最大限度地降低 OT 远程用户管理访问的成本和复杂性,并减少您的 OT 环境面临的由不受管理、不受控制所带来的风险和不安全的访问。Cyberworld 科明大同是 Claroty 的中国区总代理商,可确保工业、大型企业、商业楼宇、医疗保健机构和其他关键领域的 CPS 安全。我们期待您的联络!