工業控制系統 – 網路攻擊者的高價值目標

幾十年來,工業控制系統(ICS) – 操作技術(OT)環境中具關鍵性的生產系統 – 與其它系統或者網際 網路之間一直是隔絕開來的。但隨著IT 系統和OT 環境之間的連結性不斷地增加,工業控制系統現在已暴露於 IT 系統和網際網路中,因而大幅增加了惡意行動者侵入的風險。

當商用現貨供應(COTS)的設備加入到安裝了人機介面(HMI)、歷史記錄、工程工作站和其它計算設備的 ICS 結構之運行和監控層級時,與運行中的商業營運系統有關的新風險因而產生。而由於對ICS 資產的高可用性需求,這些 ICS 的風險很容易被忽略掉。這些風險包括:

  • 能讓用戶和應用程式對 ICS 作存取動作的大量管理員或特權帳號;
  • 共用帳戶的使用造成對重要系統的存取無法被個別監管;
  • 使用具有嵌入式硬體編碼憑證的工業應用程式;
  • 使用具有完整管理員權限的工作站。

要降低這些風險並滿足合規性要求,工業界必須積極保護並監控可對ICS 環境作存取動作的特權帳 戶。CyberArk 特權帳戶安全解決方案幫助組織保護、監控並管制特權帳戶的存取動作,以確保其對企業關鍵核心系統存取的安全性。CyberArk 的解決方案提供工業控制系統端點對端點的特權帳戶保護,使組織能夠:

  • 發現 Windows 和 Unix 系統環境中所有的特權帳戶和信任關係;
  • 從工業應用程式中移除硬體編碼憑證並將其安全儲存;
  • 安全儲存並自動轉換特權帳戶憑證(密碼SSH 金鑰 ),包括被遠端用戶和應用程式所使用 的憑證;
  • 確保特權連線安全,使用強化的跳板機將重要系統與易受攻擊的用戶設備分離開來,並提供對特權連線的側錄和立即監控能力;
  • 針對重要系統上的超級用戶,強制執行最少權限政策;
  • 針對異常的特權帳戶行動,接收即時警訊

CyberArk 解決方案整合於單一平台並以單一面板管理運作,且已被證明適用於大型、複雜且多樣性的 OT 環境中。也就是說,CyberArk 能幫助組織在有許多用戶帳戶的環境中,以粒度等級監控和各種受核准的工作流程來實現高效率運作。

主要的好處:

  • 找出所有的特權用戶和應用程式帳戶以辨識出特權帳戶的風險,其中包括與遠端存取有關的帳戶;
  • 保護並控管對特權帳戶的存取以降低其對於重要系統未獲授權的存取風險;
  • 排除所有使用硬編碼(寫死)憑證的情形以強化工業應用程式的安全;
  • 確保遠端存取的安全並同時降低惡意軟體從用戶端蔓延到重要系統的風險;
  • 以完整的特權帳戶存取和用戶活動的審核蹤跡來滿足合規性要求;
  • 降低因用戶特權提升而產生的蓄意濫用或不當使用的風險;
  • 大幅減少攻擊者的可趁之機並對進行中的攻擊做精準與優先即時的警報以降低損害。

標準和規範:

CyberArk 特權帳戶安全解決方案使組織能夠符合各類型與特權帳戶安全相關的標準和業界規範, 其中包括:

  • 北美電力可靠度公司,關鍵基礎設施保護 (NERC CIP)
  • 美國國家標準技術研究所 (NIST) SP-800-82
  • 歐萌網路與資訊安全局(ENISA)