从IT到OT域的访问控制

  • 安策数据加密保护-建立IAM蓝图以保护制造环境安全

        制造业对所有国家的经济繁荣都至关重要。这些制造业生产的产品对许多其他关键基础设施部门至关重要。对制造业某些要素的攻击或破坏可能会破坏多个部门的基本功能,从而影响国民经济和安全 。

    制造IT&OT环境安全保密图
    制造IT&OT环境安全图

    攻击者越来越多地扰乱制造运营

          2022年IBM X-Force 威胁情报指数报告表明,制造业是 2021 年最具针对性的行业。报告结果表明,凭证是网络犯罪分子的首要目标。事实上,网络钓鱼活动、漏洞利用和凭据泄露是攻击者试图破坏制造运营的三大感染媒介。超过 50% 的攻击始于利用用户凭据。

    攻击正在从 IT 转移到 OT

         OT,即操作技术(Operation Technology ),是工厂内的自动化控制系统操作专员为自动化控制系统提供支持,确保生产正常进行的专业技术。

        制造业正在经历数字化和云化转型,从而越来越多公司支持混合计算环境,其中多个用户身份共存。IT 和 OT 领域的融合出现了另一种感染媒介——弱访问控制,以验证员工进入各种基于云的和本地系统。

        针对制造公司的攻击基于一个众所周知的概念:使用受损凭据获得对网络的未经授权访问、通过内部网络横向移动、提升权限并传递恶意程序。IT 和 OT 领域的融合将曾经孤立的 OT 系统打开到一个充满威胁和风险的新世界。一旦攻击者在业务系统上站稳脚跟,他们就可以实施侦察和权限提升以进入 OT 域,绕过防火墙或其他网络控制。Colonial Pipeline 攻击的例子是 IT 和 OT 融合带来的风险的一个很好的例子。

    强大的访问控制至关重要

        保护这种混合环境的基石是使用适当的多因素身份验证方法构建强大的访问控制。行业调查表明,制造商最关心的点是与未经授权的访问、知识产权盗窃和运营中断相关的风险,这反映了对安全凭证的日益依赖和重要性。

    制造业数字化的成功取决于在内部员工、远程员工与合作伙伴、设备和服务之间建立信任关系。为了建立这些信任关系,适当的身份和访问管理 (IAM) 系统将需要如下表所示的几个功能和要求。

    用于保护制造环境的 IAM 蓝图


    特征


    解释


    支持各种场景中的部署并支持不同级别的身份验证过程的灵活性和弹性


    IAM 充当了在 IT 域和 OT 环境之间建立可信连接的桥梁,使所有人员无论其角色或职位如何,都可以通过身份验证和授权访问。


    支持多种协议和系统


    RADIUS 或应用程序网关,用于遗留、本地应用程序和系统

    适用于基于 Web 和云的应用程序的 SAML、OpenID Connect 或 OAuth

    RESTful API,用于非标准遗留应用程序的跨域身份管理系统 (SCIM)

    非标应用代理


    遵守现行法律法规以加强关键基础设施的网络安全态势


    白宫行政命令通过采用零信任和部署多因素身份验证和加密,为网络安全现代化提供了一个可行性框架。

    零信任的 OMB 策略要求所有行业提供抗网络钓鱼的多因素身份验证方法,例如 FIDO2 和基于 PKI 的身份验证,以减少高级攻击者通过社会工程活动破坏身份验证的可能性。

     

    如何降低违规风险

         泰雷兹的 SafeNet Trusted Access 具有强大的身份验证功能,可支持制造环境中的广泛用例:

    * 利用 OT 和 IT 领域的访问管理、自适应和多因素身份验证的安全访问
    适用于共享工作站和无移动环境的无客户端身份验证(基于模式,FIDO)
    知识工作者和特权用户的身份验证,取决于他们的用户情况
    符合 MFA 指南,可抵御中间人攻击(FIDO2 和 PKI 基于证书的身份验证)

    来源:Thales 安策翻译、James翻译 | 关键词:OT域  IAM  访问控制   IAM蓝图  制造环境安全   | 受欢迎指数(

与我们一起实践过安全的企业代表