智能应用 影音

跳脱传统VPN 形塑安全无虞的OT线上存取模式

2022/01/20 - DIGITIMES企划

近年OT环境的网络攻击事件频传,深究其因,算是长时间问题的积累。BeyondTrust代理解决方案工程师Perry Chu提出,早年IT与OT世界泾渭分明,其中OT场域相对封闭,非得亲临现场才可能碰触OT资产,以致长期被视为安全无虞,即使存在众多老旧OS也无大碍。

但近两年出现重大转变,受疫情影响导致人员未必能时时赴公司工作,只能另辟蹊径,请厂商透过IT环境连结OT场域来维护系统,甚至还有直接门户洞开连接Internet的夸张现象,造成黑客有机会利用RDP或SSH等常见端口,轻易对OT环境发动攻击。

Perry Chu指出,最大症结在于,OT的网安保护能力远不如IT;例如存在许多鲜少Patch的已停止支持的操作系统,且一直以来基于作业方便与稳定,习惯在厂区内采用相同系统、相同帐密,加上OT人员的安全意识相对较薄弱,导致黑客屡屡横行无阻、酿成重大灾情。

有鉴于此,BeyondTrust提出完全不需依赖VPN的安全线上存取模式,让企业得以建构安全环境,放心让供应商连结到自己的OT环境执行系统维护工作,同时间还能保障系统帐密的完整性与安全性。

综观BeyondTrust提供的线上存取解决方案,蕴含诸多鲜明的特色。比方说利用专属端口进行连线,不再运用常见的RDP或SSH协定,避免黑客有机会做Port Discovery。此外由于不用VPN,所以不存在VPN的Full Access疑虑,使用者不会坐拥长期权限,当他们基于工作所需、必须采用某些功能,才会适时给予工作所需权限,一旦完成工作,BeyondTrust的系统会实时收回特权,让该使用者回归一般的使用权限;更重要的,所有使用者在登入后,仅允许连结缺省能访问的系统,看不到也摸不着其他系统,因而有助于企业内网资产管理,不仅如此,同时间还可依带宽条件,确保连线过程维持顺畅,营造最佳的使用者体验。

Perry Chu表示,基本上BeyondTrust提供给OT场域的是Privileged Remote Access方案,只要使用者连上BeyondTrust的Web Console并通过验证,即可连结他可以造访的系统,但即便是如此,存取过程中按过什麽键、打过哪些文字、上传或下载什麽档案,通通会被详细记录。另有一个重点,所有透过BeyondTrust Remote Access的连结,都并非直接连线到系统,而是先经过BeyondTrust Policy过滤、才被转送到系统。

在运作过程中,由BeyondTrust决定允许或不允许使用者连入,且能整合多因子认证机制,以提高身份验证的周延性,唯有通过认证后才能进入系统存取流程。对于需要连入OT环境的外部访客、例如维护厂商,企业也不需提供帐密给他们,一律由系统自动带入,也不会在用户端显示口令;访客的一切行为举止,都受到全程录影,随时可做为稽核依据。

总而言之,BeyondTrust在不采用VPN、也无需任何软硬件配套的前提下,就能协助企业实现零信任的线上连线。


图说:BeyondTrust代理解决方案工程师Perry。BeyondTrust


图说:欲了解BeyondTrust相关服务,可透过Westcon Solutions。Westcon Taiwan