第三方，如原始設備製造商 (OEM) 技術員和維護承包商，是確保 OT 環境可用性、完整性和安全性的關鍵。負責服務 OT 資產的第三方經常遠程工作。這意味著，他們會通過無數廣泛使用的解決方案遠程連接到客戶的 OT 環境。從基於 VPN 的選項到 OEM 特定的工具，此類解決方案幾乎不適用於 OT 環境，而是適用於 IT 環境。OT 和 IT 環境有其獨特的組成
，服務於不同的目的，並具有各自的一套安全和操作需求

、挑戰和風險。因此，需要一種專門為 OT 設計的解決方案。接下來的內容，探討了使用標準 IT 解決方案進行第三方 OT 遠程訪問所存在的安全挑戰和風險
、以及 Claroty SRA 如何解決這些問題。

使用標準 IT 解決方案進行第三方 OT 遠程訪問所存在的安全挑戰和風險

一家汽車製造公司的第三方遠程用戶使用以 IT 為中心的 OT yuanchengfangwenjiejuefangan

，weifanpudumoxing，gaiqichezhizaogongsichengweilewangluodiaoyugongjidemubiao。gongjizheliyongboruodeanquanxieyi，shentoudaozidonghuashengchanxiankongzhihepohuaicaozuo，bingyinrueyiruanjian。yinweiqichezhizaogongsiquefashishikeshihua，suoyidaozhilejianceyanchi。dangfaxianbeiruqinshi，shengchanyitingzhi，guanjianshebeiyishousun。zheyi OT 網絡安全事件導致了重大的財務損失
、聲譽損害以及被監管審查。

chuleanquanwenti，gongchangguanliyuanhejinglimenhaimianlinshiyongguligongjuguanlidisanfangyuanchengyonghudetiaozhan

，tamenxuyaohuodeduidisanfangyuanchengyonghudekeshihua。yijiaxiaofeipingongsizaoyuleyiciyuanchengcaozuoshigu，shengchanxianchuxianleyanzhongguzhang。youyuanxugongzuoliuchengdexianzhi
，gaigongchangdedisanfangyuanshishebeizhizaoshangwufalijijinxingxianchangweixiu。xiaofeipingongside OT 團隊需要緊急遠程引導原始設備製造商。負責管理此任務的 IT 團隊必須創建用戶帳戶和自定義防火牆策略，這導致了延遲。集成不受管理的設備和導航不熟悉的 OT 環境
，其複雜性延長了授予訪問權限的時間。結果，平均修複時間 (MTTR) 大幅增加
，延長了生產停機時間
，影響了消費品公司的運營效率和產出。應對這些挑戰
，需要 OT 遠程訪問解決方案 Claroty SRA。它可滿足 OT 環境中遠程訪問相關的操作、管理和安全需求。通過集中管理第三方遠程用戶，Claroty SRA 簡化了遠程訪問流程，降低了與不受管理和不受控製的訪問的相關風險。

Claroty SRA 如何解決以下問題
？

問題一

企業對第三方遠程訪問和文件傳輸到不安全 OT 設備的控製有限。第三方遠程用戶可以在關鍵係統上進行未經授權的操作，這會導致運營數據被盜、或者係統被篡改。

Claroty SRA 如何解決該問題？

Claroty SRA 可幫助管理員監督和控製第三方文件傳輸。與基於 ICAP 的防病毒解決方案集成，以阻止惡意文件進入 OT 網絡。這種主動方法可確保 OT 環境安全，最大限度地減少第三方訪問關鍵係統和數據的風險。

Claroty SRA 安全文件傳輸

問題二

企業通過管理孤立工具

，查看 OT 網絡內的第三方遠程用戶活動
，但缺乏對第三方用戶監察和審計的能力。這會導致配置錯誤、難以追蹤第三方遠程用戶活動、難以檢測操作異常

、延遲響應
、以及第三方責任缺失等問題。

Claroty SRA 如何解決該問題？

Claroty SRA 的監察和日誌記錄功能可實時查看與控製第三方遠程用戶活動，使管理員能夠輕鬆監督實時會話、解決問題並及時終止有風險的會話。全麵的日誌和視頻記錄支持事件調查
、審計與合規工作。

Claroty SRA 實時監察第三方遠程用戶活動

Claroty SRA 用戶會話記錄

問題三

工廠管理員、經理們和第三方遠程用戶在訪問 OT 網絡
、以及管理第三方遠程用戶訪問終止時，需確保通信順暢。如果存在通信障礙，就會導致溝通不暢、協作效率低下
、延遲解決問題和潛在衝突。

Claroty SRA 如何解決該問題？

Claroty SRA 增強的協作功能可實現工廠管理員
、經理們和第三方遠程用戶之間的實時通信與協作。通過現有身份提供商、身份和訪問管理解決方案進行集中訪問

、終止管理以及自動用戶配置，簡化了訪問權限授予和撤銷，確保了高效且安全的 OT 環境。

問題四

第三方遠程用戶在 OT 環境中使用傳統 IT 遠程訪問工具。這會存在兼容性問題，可能需要更長的平均修複時間（MTTR）
，增加總擁有成本（TCO），損害係統完整性
，為未經授權的訪問和數據泄露提供潛在途徑。

Claroty SRA 如何解決該問題？

• 提供專門構建的 OT 遠程訪問解決方案
  ，以實現直接兼容。

• 支持靈活的無代理部署和配置，最大程度地減少係統中斷。

• 在單一平台中統一遠程訪問，簡化管理。

• 使用行業標準加密協議（SSL 加密、TLS v1.2+ 和帶有 RSA 4096 位身份驗證密鑰的 SSH2）保護數據傳輸。

問題五

標準 IT 解決方案的默認部署方法和用例將互聯網連接直接擴展到 OT 網絡的較低層
，從而打破了普渡模型。打破普渡模型會將關鍵 OT 資產和流程暴露給互聯網，擴大了攻擊麵
，並因此帶來網絡風險：權限提升、橫向移動和無意錯誤。這些可能會擾亂運營、損害聲譽、不遵守法規和知識產權被盜。

Claroty SRA 如何解決該問題？

通過實施精細的訪問控製來保護普渡模型的完整性，並確保第三方遠程用戶隻能訪問必要的資源，以防止未經授權的操作、在 OT 環境中避免橫向移動。符合 IEC62443，遵守行業標準安全實踐。

問題六

企業對第三方遠程用戶強製執行密碼衛生要求的選項有限
，導致憑證管理不善
，並將漏洞引入關鍵環境。

Claroty SRA 如何解決該問題？

Claroty SRA 將第三方遠程用戶憑證安全地存儲在 Claroty DB 中。第三方遠程用戶無法直接訪問其憑證，從而防止未經授權的訪問，並啟用不同級別的權限，以實現安全的 OT 網絡訪問。

問題七

標準 IT 解決方案無法完全實施基於角色的訪問控製和執行訪問策略，最小特權原則 (PoLP) 無wu法fa限xian製zhi對dui關guan鍵jian資zi產chan的de訪fang問wen
，無wu法fa在zai必bi要yao時shi終zhong止zhi訪fang問wen。這zhe些xie限xian製zhi允yun許xu未wei經jing授shou權quan訪fang問wen關guan鍵jian環huan境jing和he操cao縱zong控kong製zhi係xi統tong，為wei破po壞huai關guan鍵jian流liu程cheng和he跨kua網wang絡luo橫heng向xiang移yi動dong創chuang造zao了le途tu徑jing。

Claroty SRA 如何解決該問題
？

強製實施基於時間的訪問控製和限製訪問時長

，以確保僅在需要時才提供有限的訪問權限，並有效地管理第三方遠程用戶。Claroty SRA 與身份提供商和自動用戶配置的集成，可及時授予和撤銷訪問權限，從而防止未經授權的訪問。

問題八

由於按需遠程訪問的流程，第三方遠程用戶要接受培訓和引導，才能訪問 OT 網絡。這些繁瑣的流程可能會導致訪問延遲
、人為錯誤、溝通不暢
、平均修複時間 (MTTR) 增長、以及由第三方參與而導致的潛在運營中斷。

Claroty SRA 如何解決該問題

？

通過直觀的平台簡化引導流程，方便隨時隨地快速訪問 OT 網絡。使用身份驗證功能縮短維護窗口，以便快速訪問外部用戶，簡化引導流程以減少錯誤和溝通不暢。同時，基於角色的訪問控製   (RBAC) 允許管理員輕鬆定義與管理用戶的訪問權限和角色，以滿足每個第三方遠程用戶的需求。通過支持 SAML、OIDC 和單點登錄 (SSO) 等協議
，簡化第三方身份驗證和配置。

Claroty SRA 旨在克服與第三方遠程訪問相關的挑戰，為高效的第三方管理和安全訪問提供集中式平台。Claroty SRA 解決方案的廣泛安全措施可最大限度地減少潛在威脅
，提供工具來識別和應對涉及第三方遠程用戶的安全或運營事件。實施 Claroty SRA 使企業能夠減少其平均修複時間 (MTTR)，最大限度地降低為第三方遠程用戶配置和管理訪問的成本和複雜性。Claroty SRA 還通過全麵的審計跟蹤來維護責任製和遵守監管要求。Cyberworld 科明大同是 Claroty 的總代理商，聯係我們，可獲取 Claroty 產品資料或谘詢業務。