智慧應用 影音

跳脫傳統VPN 形塑安全無虞的OT遠端存取模式

2022/01/20 - DIGITIMES企劃

近年OT環境的網路攻擊事件頻傳,深究其因,算是長時間問題的積累。BeyondTrust通路解決方案工程師Perry Chu提出,早年IT與OT世界涇渭分明,其中OT場域相對封閉,非得親臨現場才可能碰觸OT資產,以致長期被視為安全無虞,即使存在眾多老舊OS也無大礙。

但近兩年出現重大轉變,受疫情影響導致人員未必能時時赴公司工作,只能另闢蹊徑,請廠商透過IT環境連結OT場域來維護系統,甚至還有直接門戶洞開連接Internet的誇張現象,造成駭客有機會利用RDP或SSH等常見端口,輕易對OT環境發動攻擊。

Perry Chu指出,最大癥結在於,OT的資安保護能力遠不如IT;例如存在許多鮮少Patch的已停止支援的操作系統,且一直以來基於作業方便與穩定,習慣在廠區內採用相同系統、相同帳密,加上OT人員的安全意識相對較薄弱,導致駭客屢屢橫行無阻、釀成重大災情。

有鑒於此,BeyondTrust提出完全不需依賴VPN的安全遠端存取模式,讓企業得以建構安全環境,放心讓供應商連結到自己的OT環境執行系統維護工作,同時間還能保障系統帳密的完整性與安全性。

綜觀BeyondTrust提供的遠端存取解決方案,蘊含諸多鮮明的特色。比方說利用專屬端口進行連線,不再運用常見的RDP或SSH協定,避免駭客有機會做Port Discovery。此外由於不用VPN,所以不存在VPN的Full Access疑慮,使用者不會坐擁長期權限,當他們基於工作所需、必須採用某些功能,才會適時給予工作所需權限,一旦完成工作,BeyondTrust的系統會即時收回特權,讓該使用者回歸一般的使用權限;更重要的,所有使用者在登入後,僅允許連結預設能訪問的系統,看不到也摸不著其他系統,因而有助於企業內網資產管理,不僅如此,同時間還可依頻寬條件,確保連線過程維持順暢,營造最佳的使用者體驗。

Perry Chu表示,基本上BeyondTrust提供給OT場域的是Privileged Remote Access方案,只要使用者連上BeyondTrust的Web Console並通過驗證,即可連結他可以造訪的系統,但即便是如此,存取過程中按過什麼鍵、打過哪些文字、上傳或下載什麼檔案,通通會被詳細記錄。另有一個重點,所有透過BeyondTrust Remote Access的連結,都並非直接連線到系統,而是先經過BeyondTrust Policy過濾、才被轉送到系統。

在運作過程中,由BeyondTrust決定允許或不允許使用者連入,且能整合多因子認證機制,以提高身份驗證的周延性,唯有通過認證後才能進入系統存取流程。對於需要連入OT環境的外部訪客、例如維護廠商,企業也不需提供帳密給他們,一律由系統自動帶入,也不會在用戶端顯示密碼;訪客的一切行為舉止,都受到全程錄影,隨時可做為稽核依據。

總而言之,BeyondTrust在不採用VPN、也無需任何軟硬體配套的前提下,就能協助企業實現零信任的遠端連線。


圖說:BeyondTrust通路解決方案工程師Perry。BeyondTrust


圖說:欲了解BeyondTrust相關服務,可透過Westcon Solutions。Westcon Taiwan