總結
連接工人為工業企業帶來很多好處。但需要更多相關的風險先進、零信任網絡安全項目。
隨時隨地主要工業企業正在使用訪問係統,應用,數據,和人開更高的生產率,更好的質量,降低成本。雖然這些好處也是巨大的,他們來增加網絡的風險。每一次互動都打開一個新的攻擊途徑。設備使用外部設施也增加惡意軟件感染的機會和數據丟失。當前工業網絡安全項目並不是用來管理這些威脅。公司需要實現零信任保障安全地獲得連接的全部好處。
最近,ARC谘詢集團工業工人安全挑戰與主管討論BeyondTrust經驗豐富,公司啟用安全,連接的工人。簡要概述他們的安全產品包含在這個報告。
工業聯係工人
連接工人在各個工業活動推動更高的性能。工人與遠程訪問係統和資產減少設備宕機和旅行費用。現場人員即時訪問項目信息是減少施工延誤和代價高昂的錯誤。即時訪問雲資源和主題專家(sme)是提高工人的生產力。遠程操作的設備在遙遠和危險地區減少安全風險和旅行費用。連通性也使更廣泛的使用提高生產率的技術,像雲分析,智能眼鏡,和增強現實。
隨時隨地所有這些福利依賴訪問廣泛的設備,應用程序和數據在企業和不係統,雲,嵌入物理係統。
連接工人網絡安全挑戰
連通性增加攻擊者妥協關鍵係統的機會,竊取機密數據。匿名發表,這些威脅會影響安全、環保合規、業務連續性,成本遠遠超過連接工人福利。也擔心網絡風險約束采用成績的過程和技術,是在許多工業領域急需的。工業網絡安全升級程序來解決這些問題是至關重要的。
傳統的工業網絡安全項目,特別是對於不係統,嚴格限製通信在係統邊界的地方。隔離被認為是必要的保護遺留資產和網絡,不能支持現代安全防禦。外部連接是相當有限的,需要明確定義的用例和時間實現強大的防禦。
剛性,限製性的連通性約束連接工人福利。遠程工作者隻能幫助如果他們方便訪問內部係統操作。內部員工隻能利用中小企業和外部信息時是現成的。每一種情況下提供了一個獨特的,時效性提高生產力的機會,但前提是安全策略支持隨需應變,端到端的保護個人交互。利益最大化,企業需要提供這種安全三個常見用例:
- 安全遠程訪問資產內部和周邊不係統。
- 安全訪問企業數據、應用和物聯網設備的工人在遠程站點。
- 安全訪問雲應用程序、數據和中小企業內部員工。
工人需要零信任網絡安全連接
信任是安全交互的基礎。信任是傳統隱式係統周邊,因為公司內部控製內部的人,設備、應用程序和網絡。但是活動,如聯係工人,包括外部資源需要顯式的信任管理無論資源所在地。這是通常被稱為零信任,包括驗證人的誠信和他們的行為,設備和應用,通信和資源訪問。
管理信任連接工人活動需要一組健壯的過程和技術。工業係統已經有一些流程、用戶權限管理、BYOD設備的使用,和第三方的訪問。但連接員工需要更嚴格的管理的基本安全控製以及新工藝,以確保外部資源的信任。
零信任支持技術幫助企業確保政策一致,不斷在每個連接工人執行會話:
- 移動設備管理(MDM)——管理便攜的完整性和可信性,公司設備,以及它們所包含的信息。
- 身份和訪問管理(我)——驗證基本無特權的用戶和應用程序,想進入公司係統,設備、應用程序和數據。這包括用戶權限和特權管理、安全MFA會話建立和管理的安全在整個會話。
- 零信任網絡訪問(ZTNA)——管理用戶、設備和應用程序訪問網絡資源,確保安全交付的消息從網絡進入退出。這些解決方案包括IAM-like功能控製網絡訪問和消息加密。
- 訪問權限管理(PAM)——管理訪問和使用特權帳戶和憑證在保護係統、設備和應用程序。這包括特權帳戶和憑證發現、跳躍、隨機化,並享有特權的會話管理;IAM-like功能,以確保用戶請求訪問權限的可信度;和最小特權特權憑證在整個會話的控製權。
- 安全遠程訪問(SRA)——管理遠程連接的端到端安全保護係統、設備、應用程序和數據。這些解決方案保護資產的妥協和漏出的機密信息。這包括外部通信、安全與保護網絡和資產安全連接,安全管理在整個會話的連接和活動。
- 安全上網(SIA)執行公司政策與外部網站訪問網站和分享數據/聚會。新航還保護用戶設備從外部妥協。這些解決方案包括安全特性,如DNS-layer安全URL過濾、雲訪問安全代理(CASB),數據丟失的預防、遠程瀏覽器隔離(RBI),並在下載惡意代碼檢測和信息從外部網站。
BeyondTrust管理權限和訪問
BeyondTrust提供一套全麵的PAM解決今天的它的風險和不安全的挑戰。公司的特權密碼管理,安全的遠程訪問,和端點特權管理產品套件提供一係列功能保護工業和OT係統從內部和外部的威脅。公司也有一個雲特權保護解決方案來支持工業企業過渡到雲計算服務。
弧的討論與公司高管展示了BeyondTrust深刻理解它和不安全團隊麵臨的挑戰使連接的工人。這種理解尤其反映在公司的強大的安全的遠程訪問解決方案。這個解決方案包括功能跨越弧SRA的要求,PAM,新航。根據BeyondTrust,本產品是被工業企業為每個連接工業工人用例中討論這個報告。
安全遠程訪問功能
BeyondTrust安全遠程訪問(SRA)提供了一個高安全、零信任方式授權遠程用戶訪問關鍵和資產。公司提供幾種不同的雲(私有雲、托管等)和內部部署選項。然而,對於不環境,推薦的DMZ方法需要本地部署。下圖展示了該產品實現其目標與最小中斷現有的安全程序。
BeyondTrust使用SRA設備協調內部和外部用戶設備之間的所有通信資產。在上麵的推薦方法,遠程用戶的設備通信通過SSH SRA電器(端口443)消息,位於DMZ中。設備過濾和轉發消息跳點(代理或跳轉服務器)位於內部網絡段,和跳點關鍵的內部資產管理最後的連接。之間的通信設備和跳點使用出站(端口443)連接以確保隔離。
SRA設備的使用有很多好處和跳轉點。它從內部資產隔離外部設備,並提供無代理MFA的用戶和訪問權限。解決方案也支持了訪問、監控和會議記錄。過濾所有用戶的行為還包括防止未經授權的操作。相結合,這些功能確保信任是正確的在每個會話建立和維護。BeyondTrust方法完全隔離係統資產從遠程設備,該產品可以支持遠程訪問與托管或非托管設備由用戶。
訪問權限管理(PAM)的能力
BeyondTrust安全遠程訪問的方法反映了多年的經驗在保護特權帳戶盜竊和濫用。這是特別重要的,當潛在的不可靠的用戶和設備被授予訪問企業係統和資產至關重要。消除憑據盜竊和特權升級機會是至關重要的減少嚴重的係統風險的妥協,像ransomware。
PAM功能包含在BeyondTrust SRA和特權密碼管理(PPM)解決方案支持所有弧PAM的需求。這包括發現、跳躍和隨機化的特權帳戶;的需要與外部各方分享特權帳戶;和最小特權管理的憑證連接會話。
安全的上網功能
雖然BeyondTrust SRA的解決方案是用來保護係統資產從妥協遠程用戶會話期間,該公司報告說,他們的一些客戶也利用這些功能來管理內部員工訪問外部資源。在這種情況下,SRA解決方案控製內部員工可以訪問的網站,他們可以下載的信息;隔離內部設備外部的妥協;和保護特權帳戶和憑證。
結論
工業企業正在快速識別的好處使連接的工人。COVID-19大流行證明了遠程員工如何有效地執行廣泛的關鍵活動和操作問題出現時提供24/7的支持。內部員工也學會了如何快速、直接訪問外部資源幫助他們工作更有成效。經理們接受連接工人提高生產力和降低成本的策略。這些課程都是駕駛需求的顯著增長開放連接整個工業領域。
管理連接工人網絡風險是一個緊急的問題,需要改進現有的IT和工業網絡安全項目。傳統的VPN和RPC方法不提供所需的安全,太難以管理。連接工人需要零信任所有工業係統和資源。BeyondTrust審查的安全的遠程訪問解決方案亮點有效解決安全連接的可用性需求的工業控製環境和執行零信任的原則。慣性和缺乏緊迫感更新安全作為最大的連接工作網絡工業企業的風險。
ARC谘詢集團客戶可以查看完整的報告弧客戶門戶
如果你想買這個報告或獲得關於如何成為一個客戶的信息,謝謝聯係我們
關鍵詞:工業/ OT網絡安全、連接產業工人,零信任,BeyondTrust, ARC谘詢集團。