Claroty 安全遠(yuǎn)程訪問(wèn)(SRA)
適用于工業(yè)網(wǎng)絡(luò)可靠且融合的高度安全遠(yuǎn)程訪問(wèn)
工業(yè)網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)的挑戰(zhàn)
我們創(chuàng)建了 Claroty SRA 來(lái)解決 OT 遠(yuǎn)程訪問(wèn)的挑戰(zhàn)��。更具體地說(shuō)��,雖然 OT 遠(yuǎn)程訪問(wèn)是工業(yè)企業(yè)的關(guān)鍵必需品��,但長(zhǎng)期以來(lái)����,由于三個(gè)重要原因��,它一直存在風(fēng)險(xiǎn)和困難:
最終用戶的復(fù)雜性:
提高平均無(wú)故障時(shí)間
由于大多數(shù)傳統(tǒng)的遠(yuǎn)程訪問(wèn)工具都是為 IT 網(wǎng)絡(luò)設(shè)計(jì)的��,因此它們通常具有繁瑣的訪問(wèn)機(jī)制和接口�����,不適合 OT 需求。在使用這些工具之前�����,最終用戶不僅需要長(zhǎng)時(shí)間的入門和培訓(xùn)���,而且工具的復(fù)雜性和低效率意味著無(wú)論用戶接受多少培訓(xùn)��,他們可能仍然難以根據(jù)需求盡快修復(fù)工業(yè)資產(chǎn)�。這些條件增加了用戶的平均無(wú)障礙時(shí)間(MTTR)�,在必須立即進(jìn)行緊急維修以避免或減少停機(jī)時(shí)間或其他嚴(yán)重后果的情況下,這可能會(huì)有問(wèn)題�����。
管理員的復(fù)雜性:
增加總體擁有成本
內(nèi)部和第三方用戶必須在需要遠(yuǎn)程訪問(wèn)工業(yè)資產(chǎn)時(shí)以進(jìn)行維護(hù)或其他目的���。但是,管理此訪問(wèn)權(quán)限需要管理員維護(hù)成本高昂的復(fù)雜基礎(chǔ)架構(gòu)��,同時(shí)滿足用戶的載入和故障排除需求��。第三方用戶可能特別難以支持����,因?yàn)樗麄兺ǔo(wú)法與其他供應(yīng)商的用戶共享跳轉(zhuǎn)服務(wù)器或其他基礎(chǔ)架構(gòu)�����,從而使管理員的工作進(jìn)一步復(fù)雜化����。此過(guò)程即昂貴又耗時(shí)�,對(duì)于 OT 環(huán)境而言,傳統(tǒng)遠(yuǎn)程訪問(wèn)工具的總擁有成本(TCO)很高���。
可視化和安全控制較差:
增加風(fēng)險(xiǎn)敞口
OT 遠(yuǎn)程用戶可能會(huì)進(jìn)行未經(jīng)授權(quán)的更改���,從而給操作帶來(lái)風(fēng)險(xiǎn)。使用傳統(tǒng)的遠(yuǎn)程訪問(wèn)工具使網(wǎng)絡(luò)安全人員無(wú)法了解用戶的活動(dòng)��,并且無(wú)法使這些人員為用戶實(shí)施基于角色和策略的訪問(wèn)控制����,從而使這些風(fēng)險(xiǎn)變得更加復(fù)雜。另一個(gè)問(wèn)題��,這些工具本質(zhì)上是不安全的����,因?yàn)樗鼈兺褂靡资芄舻?RDP 協(xié)議�,并通過(guò)打破普渡模型來(lái)違反工業(yè)網(wǎng)絡(luò)安全����,這是最佳做法。因此�����,網(wǎng)絡(luò)安全人員無(wú)法識(shí)別或控制誰(shuí)從何處����、何時(shí)或?yàn)槭裁吹卿洝K麄円矡o(wú)法識(shí)別或響應(yīng)與這些用戶活動(dòng)相關(guān)的事件��,所有這些都使 OT 環(huán)境面臨更大的風(fēng)險(xiǎn)����。
關(guān)于 Claroty SRA
Claroty SRA 通過(guò)為內(nèi)部和第三方用戶提供對(duì) OT 環(huán)境可靠且融合的高度安全遠(yuǎn)程訪問(wèn),解決了 OT 遠(yuǎn)程訪問(wèn)的挑戰(zhàn)�����。與傳統(tǒng)的遠(yuǎn)程訪問(wèn)解決方案(其中大部分專為 IT 網(wǎng)絡(luò)設(shè)計(jì))不同�����,Claroty SRA 專為滿足工業(yè)網(wǎng)絡(luò)的特定操作����、管理和安全需求而構(gòu)建。結(jié)果是一個(gè)獨(dú)特的解決方案��,可以減少平均修復(fù)時(shí)間(MTTR)��,最大限度地降低配置和管理 OT 遠(yuǎn)程用戶訪問(wèn)的成本和復(fù)雜性���,并減少 OT 環(huán)境因未托管��、不受控制和不安全的訪問(wèn)而帶來(lái)的風(fēng)險(xiǎn)����。
主要優(yōu)點(diǎn)
· SRA 通過(guò)隨時(shí)隨地更快����、更輕松地連接和修復(fù) OT、IoT 和 IIoT 資產(chǎn)來(lái)減少 MTTR 并延長(zhǎng)正常運(yùn)作時(shí)間�。
· SRA 通過(guò)提供靈活的配置選項(xiàng)、集中式管理以及內(nèi)部和第三方用戶所需的一切�,降低了安全����、可靠��、值得信賴的 OT 遠(yuǎn)程訪問(wèn)的復(fù)雜性和成本���。
· SRA 使您能夠控制���、保護(hù)和了解網(wǎng)絡(luò)中的所有遠(yuǎn)程連接和活動(dòng),從而最大限度地降低 OT 遠(yuǎn)程訪問(wèn)的風(fēng)險(xiǎn)�����。
SRA 特性和功能
降低平均無(wú)故障時(shí)間(MTTR)的用戶體驗(yàn)
通過(guò)降低 OT 遠(yuǎn)程訪問(wèn)的最終用戶復(fù)雜性��,SRA 使用戶能夠在必要時(shí)更快更輕松地訪問(wèn)���、排除故障和修復(fù)工業(yè)資產(chǎn)��。亮點(diǎn)包括:
· 準(zhǔn)時(shí)制(JIT)用戶配置:SRA 通過(guò) SAML 和 OpenID Connect(OIDC)與各種身份供應(yīng)商(IdP)集成�����,使管理員能夠自動(dòng)執(zhí)行和簡(jiǎn)化 SRA 用戶帳戶的創(chuàng)建��,作為單點(diǎn)登錄過(guò)程的一部分���。這意味著新用戶可以自動(dòng)添加到 SRA 并立即開(kāi)始使用 SRA����,所有這些都不需要管理員執(zhí)行任何其他步驟�。
· 高效的身份驗(yàn)證和訪問(wèn):SRA 還提供本機(jī)多因素身份驗(yàn)證,并且不使用跳轉(zhuǎn)服務(wù)器。因此,授權(quán)的 SRA 用戶可以在最需要的時(shí)候快速安全地進(jìn)行身份驗(yàn)證和訪問(wèn)。
· 直觀的界面:SRA 界面反映了每個(gè)用戶的本地技術(shù)體驗(yàn)��,提供無(wú)與倫比的可用性����,無(wú)學(xué)習(xí)障礙�����,也無(wú)需大量培訓(xùn)。
· 高可用性:SRA 包括高可用性機(jī)制�����,確保用戶無(wú)論在何種情況下都能保持訪問(wèn)權(quán)限�。
降低管理 OT 遠(yuǎn)程訪問(wèn)總體擁有成本的管理功能
SRA 通過(guò)提供靈活的配置選項(xiàng)、集中式管理以及內(nèi)部和第三方用戶支持其 OT 遠(yuǎn)程訪問(wèn)項(xiàng)目所需的一切��,降低了管理員較高的 OT 遠(yuǎn)程訪問(wèn)總擁有成本(TCO)�。亮點(diǎn)包括:
· JIT 用戶預(yù)配:除了使 SRA 用戶受益之外,JIT 用戶預(yù)配還使 SRA 管理員能夠通過(guò)自動(dòng)執(zhí)行為新 SRA 用戶預(yù)配和保護(hù)訪問(wèn)以及載入的手動(dòng)且耗時(shí)的過(guò)程來(lái)節(jié)省大量時(shí)間和資源���。
· 靈活的部署和配置選項(xiàng):部署和配置 SRA 都不需要使用跳轉(zhuǎn)服務(wù)器�、復(fù)雜的防火墻規(guī)則或傳統(tǒng)遠(yuǎn)程訪問(wèn)解決方案常見(jiàn)的昂貴且復(fù)雜的架構(gòu)組件�。因此��,SRA 管理員可以花費(fèi)更少的時(shí)間和金錢來(lái)部署和管理用戶的遠(yuǎn)程訪問(wèn)基礎(chǔ)架構(gòu)�����,從而降低其總體擁有成本����。
· 全面支持所有 OT 遠(yuǎn)程訪問(wèn)項(xiàng)目:SRA 是真正的 OT 遠(yuǎn)程訪問(wèn)一站式解決方案���,因?yàn)樗ㄖС炙?OT 遠(yuǎn)程訪問(wèn)項(xiàng)目所需的全部特性和功能�。其中包括 OT 專用用戶界面�����,用于多因素身份驗(yàn)證�,密碼保險(xiǎn)存儲(chǔ)�,安全文件管理�����,高可用性���,肩并肩監(jiān)控等多個(gè)選項(xiàng)。這意味著您可以滿足內(nèi)部和第三方用戶的 OT 遠(yuǎn)程訪問(wèn)需求,而無(wú)需采購(gòu)、部署和維護(hù)多個(gè)解決方案����。
訪問(wèn)和身份驗(yàn)證控制,將遠(yuǎn)程用戶帶來(lái)的風(fēng)險(xiǎn)降至最低
SRA 管理員可以跨多層控制訪問(wèn)工業(yè)網(wǎng)絡(luò)���,并具有特定性��,以確定誰(shuí)可以訪問(wèn)哪些資產(chǎn)����、如何、何時(shí)、出于什么目的以及使用哪些協(xié)議���。亮點(diǎn)包括:
· 安全身份驗(yàn)證:SRA 包括本機(jī)多因素驗(yàn)證和憑據(jù)管理選項(xiàng)����,支持實(shí)施密碼的良性要求��,并提供與基于 SAML 和 OIDC 的身份供應(yīng)商集成的能力。
· 與身份供應(yīng)商集成:選擇將系統(tǒng)與其現(xiàn)有身份供應(yīng)商集成的 SRA 管理員可以自動(dòng)將企業(yè)中已有的基于 SAML 或 OIDC 的身份驗(yàn)證策略和密碼要求的實(shí)施擴(kuò)展到其 SRA 用戶帳戶��,從而確保 OT 員工和第三方的強(qiáng)用戶身份驗(yàn)證���。此功能還使前員工的 SRA 憑據(jù)自動(dòng)失效�,從而消除了特權(quán)提升和密碼重用攻擊中常用的高風(fēng)險(xiǎn)攻擊媒介����。
· 基于角色和策略的訪問(wèn):SRA 管理員可以在多個(gè)級(jí)別和地理位置為工業(yè)資產(chǎn)定義和實(shí)施極其精細(xì)的訪問(wèn)控制,最終簡(jiǎn)化用戶工作流程�,同時(shí)保護(hù)關(guān)鍵功能免受不必要的訪問(wèn)。此類控件支持零信任和最小特權(quán)安全原則�����。
· 安全批準(zhǔn)和緊急訪問(wèn):對(duì)于遠(yuǎn)程訪問(wèn)時(shí)構(gòu)成安全風(fēng)險(xiǎn)的資產(chǎn),可以創(chuàng)建其他策略以確保每個(gè)資產(chǎn)環(huán)境的良好和可操作性�。
以固有的安全架構(gòu)和功能來(lái)減少攻擊面
將工業(yè)網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)與外部連接隔離并主動(dòng)防范惡意軟件對(duì)于減少攻擊面以及遠(yuǎn)程用戶帶來(lái)的風(fēng)險(xiǎn)至關(guān)重要。SRA 通過(guò)以下方式提供這些功能:
· 對(duì)傳輸中的數(shù)據(jù)使用加密隧道:SRA 將傳輸中的數(shù)據(jù)拆分到兩個(gè)加密隧道之中�����,以減少連接到網(wǎng)絡(luò)的設(shè)備數(shù)量��、防火墻中開(kāi)放端口的數(shù)量����,從而減少攻擊面。
· 保留普渡模型:所有 SRA 部署選項(xiàng)都遵循保留普渡模型的工業(yè)網(wǎng)絡(luò)安全最佳做法���,有助于確保一個(gè)連接點(diǎn)不提供廣泛的網(wǎng)絡(luò)訪問(wèn)����。
· 殺毒解決方案集成:SRA 與所有基于 ICAP 的殺毒解決方案集成�����。此功能通過(guò)提高對(duì)工業(yè)資產(chǎn)執(zhí)行遠(yuǎn)程維護(hù)和相關(guān)任務(wù)所需的上傳文件的安全性��,幫助保護(hù)您的工業(yè)網(wǎng)絡(luò)免受惡意軟件的侵害��。如果此類文件是惡意的�����,SRA 用戶將立即收到通知�����,并阻止他們將其上傳到相應(yīng)的資產(chǎn)�。
簡(jiǎn)化審計(jì)和優(yōu)化調(diào)查的監(jiān)控功能
通過(guò)提供遠(yuǎn)遠(yuǎn)超過(guò)大多數(shù)傳統(tǒng)遠(yuǎn)程訪問(wèn)技術(shù)提供的基本日志記錄功能和有限的審計(jì)跟蹤的全面監(jiān)視功能,SRA 讓您能夠全面地���、實(shí)時(shí)地了解 SRA 用戶的活動(dòng)����,簡(jiǎn)化審計(jì)并優(yōu)化事件調(diào)查�����。亮點(diǎn)包括:
· 實(shí)時(shí)��、肩并肩監(jiān)控:SRA 管理員可以選擇實(shí)時(shí)監(jiān)控活動(dòng) SRA 會(huì)話�����,以便在必要時(shí)輕松排除故障、進(jìn)行用戶監(jiān)控和緊急終止有風(fēng)險(xiǎn)的會(huì)話���。
· 完整長(zhǎng)度的視頻記錄:除了保存所有遠(yuǎn)程會(huì)話的詳細(xì)日志外�,SRA 還自動(dòng)記錄每個(gè)會(huì)話的完整長(zhǎng)度的視頻�,以支持響應(yīng)行動(dòng)、調(diào)查和審計(jì)���。
遠(yuǎn)程事件管理的廣泛支持
SRA 與 Claroty 持續(xù)威脅檢測(cè)(CTD)無(wú)縫集成�,使 Claroty 平臺(tái)成為業(yè)界第一個(gè)提供全面集成遠(yuǎn)程事件管理能力的工業(yè)網(wǎng)絡(luò)安全解決方案���。這些功能跨越整個(gè)事件生命周期�����,使您能夠從任何位置檢測(cè)�����、調(diào)查和響應(yīng)最廣泛的可能的攻擊面工業(yè)網(wǎng)絡(luò)安全事件����。因此,您可以針對(duì)遠(yuǎn)程�、分布式或高度可變的工作環(huán)境,輕松地發(fā)展和調(diào)整企業(yè)的整體安全狀況和工作流�����。亮點(diǎn)包括:
· 接收與 OT 遠(yuǎn)程用戶活動(dòng)相關(guān)的警報(bào):當(dāng)用戶通過(guò) SRA 連接到工業(yè)網(wǎng)絡(luò)時(shí)�,當(dāng)用戶參與未經(jīng)授權(quán)的或異常的活動(dòng)時(shí)��,如配置下載或預(yù)定維護(hù)窗口之外服務(wù)資產(chǎn)�����,CTD 觸發(fā)警報(bào)�����。這些警報(bào)包括 SRA 用戶��、會(huì)話意圖����、相關(guān)指標(biāo)、涉及的資產(chǎn)����、并進(jìn)行根本原因分析�,以支持優(yōu)先排序和分類工作���。
· 調(diào)查 OT 遠(yuǎn)程用戶活動(dòng):所有與 OT 遠(yuǎn)程用戶活動(dòng)相關(guān)的 CTD 警報(bào)都包括到相關(guān) SRA 會(huì)話的直接鏈接�,以及實(shí)時(shí)監(jiān)控該會(huì)話的能力����。如果會(huì)話不再活躍,警報(bào)將直接鏈接到一個(gè)完整長(zhǎng)度的視頻記錄����,可以查到調(diào)查目的。
· 回應(yīng) OT 遠(yuǎn)程用戶獲得:與 OT 遠(yuǎn)程用戶活動(dòng)相關(guān)的所有 CTD 警報(bào)還使管理員能夠在認(rèn)為有必要作為響應(yīng)操作時(shí)立即斷開(kāi)關(guān)聯(lián)的 SRA 會(huì)話���,以防止��、遏制或補(bǔ)救因未經(jīng)授權(quán)的更改或 OT 遠(yuǎn)程用戶進(jìn)行的其他活動(dòng)而造成的任何損害���。
關(guān)于 Claroty
Claroty 是一家工業(yè)網(wǎng)絡(luò)安全公司。Claroty 深受全球性大型企業(yè)的信賴�,可幫助客戶揭示、保護(hù)和管理其 OT�、IoT 和 IIoT 資產(chǎn)���。它的綜合平臺(tái)與客戶現(xiàn)有的基礎(chǔ)設(shè)施和計(jì)劃無(wú)縫連接,同時(shí)提供全方位的工業(yè)網(wǎng)絡(luò)安全控制�,以實(shí)現(xiàn)可視化、威脅檢測(cè)��、風(fēng)險(xiǎn)和漏洞管理以及安全遠(yuǎn)程訪問(wèn)��,所有這些都大大降低了總擁有成本��。Claorty 得到了領(lǐng)先的工業(yè)自動(dòng)化供應(yīng)商的支持和采用���,擁有廣泛的合作伙伴生態(tài)系統(tǒng)和屢獲殊榮的研究團(tuán)隊(duì)。
