不管怎樣,由于“新冠”疫情的影響爆發而起遠程模式,可能并未因企業的復工復產而煙消云散,有人預測,遠程辦公模式會因這次疫情得到進一步發展,并逐步改變人們的日常辦公習慣。
而本文所討論的不止是遠程辦公,而是OT(運營技術)環境下的遠程訪問,同樣是遠程作業,但二者可謂有著“天壤之別”。
隨著遠程模式規模的激增,對OT網絡的管理也成為“顛覆”模式發展的另一前沿領域。對OT網絡的管理通常需要為物理訪問工業控制系統的用戶提供在線連接,同時還要確保其安全性不會受到損害。這項任務意義重大,因為可以說每家企業都在依賴這些網絡,例如,在電力、石油和天然氣、能源、公用事業、制造業、制藥、食品和飲料等行業中,OT網絡都是其業務的關鍵組成部分。還有其它企業依賴于OT網絡來運行其辦公基礎架構——照明、電梯和數據中心基礎架構。
需要遠程訪問OT環境的用戶都包括誰呢?它們通常分為以下幾類:
設備制造商。在大多數情況下,在采購時,組成這些網絡的工業控制系統包括了制造商自己進行遠程維護的協議。網絡管理員習慣于支持這些用戶為現有機器提供服務,包括提供更新、錯誤修復和性能讀數,因此對它們來說這不是新的需求。
遠程工作者。當談論到遠程工作者用戶時,挑戰就將升級了。因為在當今的商業環境中,這可能意味著,以前在現場工作的人員,如今需要在工廠之外的場所進行遠程工作,這就需要為這些人提供OT網絡的在線訪問權限,以便他們可以進行遠程工作。例如,更改生產線和制造流程。
第三方承包商。許多企業會將某些服務外包給專門從事該特定運營領域的第三方承包商,例如生產優化。而以前以物理方式提供這些服務的承包商,現在就需要遠程訪問相關設備以保持生產線的平穩運行。在企業業務發生中斷時,這些服務可能變得更加關鍵,這取決于行業以及所提供的產品和服務。評估各種類型的用戶、系統、訪問級別和功能是一項復雜的連接挑戰。但是,IT部門提供的標準訪問路徑通常與OT環境中的特定用例并不匹配。
在信息化時代迅速發展的當下,每個企業組織都在減少現場人員,因此對安全遠程訪問的需求在持續增加。無論您的企業是在評估現有與OT環境安全連接的能力,還是在考慮新的解決方案,以下3點都可以幫助幫助到您:
1.是否具備精細的特權訪問控制?
例如,基于最小權限原則,控制系統制造商的維護人員需要在有限的時間內訪問特定任務的特定控制器即可。為了降低風險,需要在設置的時間范圍內僅將特定用戶的訪問權限擴展到必要的資產。
2.是否具備主動監視、阻止和審核訪問的能力?
在進行遠程會話之前、期間和之后,需要具備對系統的可見性并控制對第三方和員工的訪問。這包括具備以下能力:實時觀察活動,并在必要時終止會話,以及查看日志記錄以便審核和取證。
3.工作流和進程是否安全?
其實不必依賴第三方來保證密碼安全,因為許多第三方可以在多個人之間共享密碼,以致存在第三方泄露的風險。您需要具備的能力是:使用密碼庫集中管理用戶憑據,并通過多因素身份驗證來驗證每個用戶。此外,許多工作涉及安裝新文件。為了確保文件完整性,您還需要確保安全的文件傳輸。
毫無疑問,對OT網絡的遠程訪問會增加安全威脅的可能性,影響業務的平穩運行,甚至危及生產安全。但值得慶幸的是,通過確保對OT網絡遠程訪問控制的細粒度,審核訪問的能力以及更高級別的安全性(例如密碼庫和安全文件傳輸),可以減輕這種風險。并且,提高一線員工(OT網絡的網絡管理人員)在關鍵環境下保持OT網絡更高安全連接的能力也是至關重要的。
