总结
互联员工正在为工业公司创造许多好处。但相关的风险要求更高
先进的零信任网络安全程序。
领先的工业公司正在使用随时随地访问系统、应用程序、数据和人员来提高生产率、提高质量和降低成本。虽然这些好处很大,但也伴随着网络风险的增加。每次互动都会打开一个新的攻击路径。在设备外部使用的设备也增加了恶意软件感染和数据丢失的机会。目前的工业网络安全计划并不是为管理这些威胁而设计的。公司需要实现零信任安全,以安全地获得连接的全部好处。
最近,ARC咨询集团与企业高管讨论了工业互联工人安全面临的挑战BeyondTrust该公司在保障安全、互联的员工方面拥有丰富的经验。本报告简要介绍了他们的安全产品。
与产业相关的工人
互联工人正在推动每一项工业活动的更高绩效。工人可以远程访问系统和资产,减少了设备停机时间和差旅成本。现场人员可以即时访问项目信息,减少了施工延误和代价高昂的错误。即时访问云资源和主题专家(sme)正在提高工厂工人的生产力。在遥远和危险地区远程操作设备降低了安全风险和旅行成本。连通性还使云分析、智能眼镜和增强现实等提高生产力的技术得到更广泛的应用。
所有这些优势都依赖于随时随地访问企业IT和OT系统、云和嵌入式物理系统中的各种设备、应用程序和数据。
互联员工网络安全挑战
连通性增加了攻击者破坏关键系统和窃取机密数据的机会。如果不加以解决,这些威胁可能会影响安全、环境合规性和业务连续性,其成本远远超过相关员工的利益。对网络风险的担忧也限制了许多工业部门迫切需要的提高绩效的流程和技术的采用。升级工业网络安全计划以解决这些问题是至关重要的。
传统的工业网络安全计划,特别是OT系统的网络安全计划,对跨系统边界的通信设置了严格的限制。隔离被认为是保护无法支持现代安全防御的遗留资产和网络的必要条件。外部连接受到严重限制,需要定义良好的用例和时间来实现强大的防御。
严格的、限制性的连接限制了连接工人的利益。远程工作人员只有在能够方便地访问内部系统时才能帮助操作。内部员工只有在随时可用的情况下才能利用中小企业和外部信息。所有这些情况都提供了一个独特的、对时间敏感的提高生产力的机会,但前提是安全策略支持对单个交互的按需端到端保护。为了最大化利益,公司需要为三种常见用例提供这种安全性:
- 安全远程访问IT和OT系统范围内的资产。
- 远程工作人员对公司数据、应用程序和物联网设备的安全访问。
- 确保内部员工访问云应用程序、数据和中小企业。
互联员工要求零信任网络安全
信任是安全交互的基础。信任传统上是隐含在系统边界内的,因为公司可以控制内部人员、设备、应用程序和网络。但是,涉及外部资源的活动(如连接的工作者)需要明确的信任管理,而不管资源位于何处。这通常被称为零信任,包括验证人员及其行为、设备和应用程序、通信以及正在访问的资源的可信度。
管理连接的工作者活动中的信任需要一组健壮的流程和技术。工业系统已经有了一些这样的流程,用于用户权限管理、BYOD设备的使用和第三方访问。但联网员工需要更严格的基本安全控制管理,以及新的流程,以确保外部资源的信任。
零信任使能技术帮助公司确保政策在每个连接的员工会话中始终如一地持续执行:
- 移动设备管理(MDM)-管理公司管理的便携式设备及其包含的信息的完整性和可信度。
- 身份与访问管理(IAM)—对希望访问公司系统、设备、应用程序和数据的基本、非特权用户和应用程序进行身份验证。这包括用户权限和特权管理、安全MFA会话建立以及整个会话的安全性管理。
- 零信任网络接入(ZTNA)—管理用户、设备和应用程序对网络资源的访问,确保从网络入口到出口的消息安全传递。这些解决方案包括类似于iam的功能,用于控制对网络的访问和消息加密。
- 特权存取管理(PAM)-在受保护的系统、设备和应用程序中管理对特权帐户和凭据的访问和使用。这包括特权帐户和凭证发现、金库、随机化和特权会话管理;类似于iam的功能,确保请求特权访问的用户的可信度;以及整个会话中特权凭证的最小特权控制。
- 安全远程访问(SRA)—管理远程连接到受保护系统、设备、应用和数据的端到端安全。这些解决方案保护资产不受泄露和机密信息的影响。这包括安全的外部通信,与受保护的网络和资产的安全连接,以及在整个会话中对连接和活动的安全管理。
- 安全上网(SIA)-执行公司有关访问网站和与外部网站/各方共享数据的政策。SIA还保护用户设备免受外部威胁。这些解决方案包括安全功能,如dns层安全、URL过滤、云访问安全代理(CASB)、数据丢失预防、远程浏览器隔离(RBI)以及来自外部站点的下载和消息中的恶意代码检测。
BeyondTrust管理权限和访问
BeyondTrust提供了一套全面的PAM解决方案,以解决当今IT和OT安全挑战的风险。该公司的特权密码管理、安全远程访问和端点特权管理产品套件提供了一系列功能,以保护工业IT和OT系统免受内部和外部威胁。该公司还提供云特权保护解决方案,以支持工业企业过渡到基于云的服务。
ARC与公司高管的讨论表明,BeyondTrust深刻理解IT和OT安全团队在实现互联员工方面面临的挑战。这种理解尤其体现在该公司强大的安全远程访问解决方案中。该解决方案包含了ARC对SRA、PAM和SIA的需求。根据BeyondTrust的说法,该产品被工业公司用于本报告中讨论的每个工业连接工人用例。
安全远程访问能力
BeyondTrust安全远程访问(SRA)为授权远程用户提供了一种高安全性、零信任的方式来访问关键IT和OT资产。该公司提供了几种不同的基于云(私有云、托管等)和内部部署选项。然而,对于OT环境,推荐的DMZ方法需要内部部署。下图显示了该产品如何在最大限度地破坏现有安全程序的情况下实现其目标。
BeyondTrust使用SRA设备来协调外部用户设备和内部资产之间的所有通信。在上面所示的推荐方法中,远程用户的设备通过SSH(端口443)消息与位于DMZ内的SRA设备通信。设备过滤消息并将消息转发给位于内部网段内的跳转点(代理或跳转服务器),而跳转点管理到关键内部资产的最终连接。设备和跳转点之间的通信使用出站(端口443)连接来确保隔离。
使用SRA设备和跳转点有很多好处。它将外部设备与内部资产隔离,并提供无代理的用户MFA和访问特权。该解决方案还支持迎来访问、监视和会话记录。还包括对所有用户操作的过滤,以防止未经授权的操作。这些功能结合在一起,可以确保在每个会话中正确地建立和维护信任。由于BeyondTrust方法将系统资产与远程设备完全隔离,该产品可以支持使用托管或非托管设备的用户进行远程访问。
特权访问管理(PAM)功能
BeyondTrust安全远程访问的方法反映了多年来保护特权账户免受盗窃和滥用的经验。当潜在的不值得信任的用户和设备被授予访问关键公司系统和资产的权限时,这一点尤其重要。消除凭证盗窃和特权升级机会对于降低严重系统威胁(如勒索软件)的风险至关重要。
BeyondTrust的SRA和特权密码管理(PPM)解决方案中包含的PAM功能支持ARC的所有PAM需求。这包括特权账户的发现、保管和随机化;无需与外部人士共用特权帐户;以及在整个连接会话中凭据的最小权限管理。
安全上网功能
虽然BeyondTrust的SRA解决方案旨在保护系统资产在远程用户会话期间不受损害,但该公司报告称,他们的一些客户还利用这些功能来管理内部工作人员对外部资源的访问。在这种情况下,SRA解决方案控制内部工作人员可以访问的站点和他们可以下载的信息;隔离内部设备与外部妥协;并保护特权帐户和凭证。
结论
工业企业正迅速认识到让员工联网的好处。COVID-19大流行表明,远程工作者可以有效地开展广泛的关键活动,并在出现运营问题时提供全天候支持。内部员工还了解到,如何快速、直接地访问外部资源,有助于他们更高效地工作。管理者们正在接受联网员工,将其作为提高生产率和降低成本的策略。所有这些经验教训正在推动整个行业对开放连接的需求大幅增长。
管理联网员工的网络风险是一个紧迫的问题,需要加强现有的IT和OT工业网络安全计划。传统的VPN和RPC方法不能提供所需的安全性,而且管理起来太难了。互联员工对所有工业系统和资源的信任要求为零。BeyondTrust的安全远程访问解决方案的审查强调了有效解决方案的可用性,以解决工业控制环境的安全连接需求,并执行零信任原则。惰性和缺乏更新安全系统的紧迫性是工业公司面临的最大网络风险。
ARC咨询集团客户可在ARC客户端门户
如果您想购买这份报告或获取如何成为客户的信息,请联系我们
关键词:工业/OT网络安全,互联产业工人,零信任,超越信任,ARC咨询集团