派拓网络:保障远程OT操作安全,构建互联时代的弹性框架
作者:派拓网络云交付安全服务产品管理副总裁 黄强
【慧聪通信网】随着OT环境互联程度的日益增加,企业可远程管理各项操作,在提高效率的同时加强远距离监控。但这些技术进步也带来了更高的安全风险。在派拓网络和ABI Research近期的一份报告中,有74%的受访者发现远程访问变多,这为攻击者创造了更多的切入点。这一攻击面的扩大使OT系统成为网络威胁的主要目标,因此有必要为远程OT环境量身定制一个强大的安全框架。
为了构建弹性OT安全框架,企业需要保护的远不止连接。通过保障所有云端、本地和混合接入点的安全,就能在任何环境中确保操作的安全性与可靠性。由于在最近的一份报告中,80%的受访者认为云技术等数字工具将在未来三到五年成为OT的关键,因此这种全面的方法至关重要。如果没有覆盖这些接入点的强大安全基础,企业将面临更大的运营中断、安全事故和经济损失风险。四分之三的受访企业已经遇到了此类由针对OT的网络攻击引起的问题。
弹性OT安全框架的核心组成部分
为了保障远程OT操作安全,首先要建立一个能够保证OT和IT活动清晰可见的基础,以便有效监控和了解关键流量。有了这一可见性,企业就能做出明智的安全决策、发现异常情况,并迅速应对潜在威胁。但仅凭可见性还不够,要想针对不断变化的威胁建立弹性分层防御体系,就需要不断地将安全功能整合到整个网络中。
企业可以通过实施最小权限原则,将远程访问限制在每项任务所需的最低限度,从而降低潜在的安全风险。该方法可以更大程度地降低暴露风险,使每个用户只能访问必要的系统。此外,通过定义和传达明确的远程访问程序,可保证企业内部所有人员都了解并遵循同一套安全协议。流程的透明对于保持一致性至关重要,尤其是在操作安全和连续正常运行时间更为重要的复杂OT环境中。确保这些协议支持安全、不间断的访问对保持关键系统顺利运行非常重要。
在OT环境中,建立安全的临时访问权限同样关键,每次会话都应使用唯一的证书,任务完成后需及时删除访问权限。无论是通过VPN、SSH还是其他安全渠道(例如特权远程访问)建立的临时连接都要加以严格控制,防止未经授权的访问。使用多重身份验证(MFA)对远程访问进行分层能够加强保护,通过在授予访问权限前进行多重身份验证提高安全性。
构建具有弹性的访问基础设施
远程OT环境的弹性安全框架需要能够应对OT网络的独特条件和限制,特别是在传统设备和旧操作系统普遍存在的情况下。比如加密远程会话对保护数据的机密性和完整性至关重要,尤其是对可能缺乏内置加密功能的老式OT设备。但专为保障连续正常运行时间、安全性和可用性而设计的系统可能无法定期更新软件和固件。
在这种情况下,虽然无法采用标准措施,但可以采取限时访问、手动验证流程或特定验证步骤等补偿控制措施提高安全性。这些控制措施可在不影响操作连续性的情况下保证访问的安全。避免使用默认配置以及定期检查系统设置同样重要。自定义配置不仅能应对特定漏洞,还可通过调整安全框架满足OT环境的特殊需求。
整合IT和OT安全策略
为了构建强大的远程OT操作安全框架,需要对IT和OT实践进行周到的整合。与其针对OT调整IT解决方案,不如采用能够满足OT环境特殊需求的综合方案。如果能设计出优先考虑适时访问等OT要求的专用工作流程,则有助于在不妨碍运营效率的情况下保证安全性。
在仔细对齐IT和OT策略后,就能形成更加强大的安全态势。但要整合IT最佳实践与OT网络,就需要对差异保持敏感,因为IT的快速更新周期和安全协议可能会与OT对连续正常运行时间和旧系统稳定性的需求相冲突。
让OT人员直接参与远程访问规划也很重要。有了对未来活动的了解,OT 团队就能有效应对各种事件,保证操作的安全性与可靠性。远程技术团队可通过教育掌握实现安全目标所需的知识,并避免采取可能增加风险的行动,因此教育能够进一步加强这一框架。
建立与时俱进的弹性框架
保障远程OT环境安全是一个持续的过程,并且应与技术和新兴威胁同步发展。统一安全平台能提供满足不断变化的安全需求所需的适应能力。这种平台可将资产发现、网络分段和高级威胁检测等功能整合到一个系统中,从而降低复杂性并精简整个IT和OT环境的保护。
自动化实现了可根据流量模式进行调整的自适应安全策略,成为建立弹性的另一个关键。自动化策略建议能降低人为错误几率,使整个OT资产的保护保持一致。凭借这个框架,企业可以专注于创建一个安全、高效的环境,在当今互联世界实现连续运营和风险管控。
如果优先考虑可见性、主动威胁预防,以及IT和OT策略的周到整合,企业就能建立一个具有弹性的远程OT安全框架。该方法不仅可保护关键基础设施的安全,还会帮助企业应对未来互联环境中的网络安全挑战。
