工业控制系统 (ICS) — — 关键生产系统,在工业企业中操作技术 (OT) 环境的一部分 — — 几十年来与其他系统或互联网相隔离。但随着IT系统和 OT 环境间不断增加的相互连接,工业控制系统如今暴露于 IT 系统和互联网,大大提高了遭受恶意行为者入侵的风险。

商用产品 (COTS) 设备加入ICS 体系结构的操作和监管水平——人机接口 (HMI),历史学家,工程工作站和其他的计算资产都属于这个体系结构——引入了与运行商用操作系统相关的新风险。由于ICS资产的高可用性要求,通过扩大规模,这些风险在 ICS中仍未得到解决。一些这样的风险包括:

  • 大量的管理或特权帐户,使用户和应用程序能够访问ICS
  • 使用共享账号访问关键系统,而没有个人监督
  • 使用嵌入式硬编码凭据的工业应用
  • 以完全管理员权限的帐户启用工作站

为了减少这些风险,满足法规遵从性要求,工业企业必须积极保护和监测能够访问 ICS 环境的特权帐户。CyberArk 特权帐户安全解决方案帮助组织保护、监测和控制对特权帐户的访问,它们提供了对这些关键系统核心的访问。CyberArk 解决方案为工业控制系统提供了端到端的特权帐户保护,使组织能够︰

  • 在 Windows 和 Unix 环境中发现所有特权帐户和信任关系
  • 删除并安全地存储工业应用程序中的硬编码凭据
  • 安全地存储和自动轮转特权帐户凭据 (密码和 SSH 密钥),其中包括被远程用户和应用程序所使用的
  • 安全特权会话,利用硬化的跳转服务器从易受攻击的用户设备隔离关键系统,另外还提供特权会话记录和现场监测功能
  • 执行关键系统上超级用户的最小特权策略
  • 接收异常特权帐户活动的实时告警

CyberArk 解决方案集成在单一的平台,相当于在一个单窗格玻璃后面进行管理,业经证明了能够在大规模、 复杂、 多样的 OT 环境中应用。这意味着,CyberArk 可以帮助组织实现运营效率,以细粒度的监督和各种审核工作流来管理大量远程用户的帐户。

主要优势:

  • 通过定位所有特权用户和应用程序帐户、凭据和信任关系,包括与远程访问关联的帐户,识别特权帐户风险
  • 通过保护和控制对特权帐户的访问,减少未经授权访问关键系统的风险
  • 通过消除使用硬编码的凭据,加强工业应用安全
  • 启用安全的远程访问,同时减少恶意软件从用户设备向关键系统蔓延的风险
  • 一个完整的特权帐户访问和用户活动的审计线索,满足遵从性要求
  • 减少故意滥用,或提升用户权限的意外误操作的危险
  • 大大缩短了攻击者的机会之窗,通过对进行中的攻击准确和优先的实时警报来减少损失

标准和规范:

CyberArk 特权帐户安全解决方案使组织能够满足有关特权帐户安全的各种标准和行业管理法规,包括 ︰

  • 北美电力可靠性公司,关键基础设施保护(NERC CIP)
  • 美国国家标准和技术研究院(NIST) SP-800-82
  • 欧洲联盟网络与信息安全机构(ENISA)