身分和門禁管理 (IAM)
我們大多數人都經歷過大部分電網癱瘓的惡夢,讓我們陷入黑暗,而醫院等關鍵設施則絕望地看著我們。這是公用事業營運業者、盡一切可能恢復電網的網路安全專家,和試圖阻止電網恢復的駭客之間的拉鋸戰。
能源和公用事業公司今天面臨許多挑戰,這些挑戰來自複雜的監管環境,以及投資者和股東增加利潤的壓力。隨著能源和公用事業部門擺脫遺留基礎設施,從新興技術中獲益,值得注意的是,營運技術(OT)和資訊科技(IT)的融合,將為更多技術、裝置和系統連線到電網鋪平道路。這將提高效率和生產力,同時提供對通常存放在孤島中的資料的連線訪問。
與此同時,這種融合的缺點,將是 OT 和 IT 領域在高效率和有效地管理數位身份和門禁訪問方面可能面臨的更多挑戰。許多公用事業公司執行由眾多部門支離破碎和控制的系統。在訪問關鍵和非關鍵資產方面,缺乏整體可追溯性和問責制,這增加了攻擊、服務中斷的風險,以及未能確定此類攻擊的根本原因。
如何更好地保護發電、輸電和配電?
你如何控制和保護對資源的門禁訪問,包括 OT 系統、建築物、裝置和 IT 系統?
首先,讓我們看看該部門在管理數位身份(如數位憑證和金鑰)方面可能面臨的一些主要業務挑戰。
2022 年 Ponemon 報告:全球組織憑證生命週期的管理狀況
缺乏公鑰基礎設施(PKI)可見性:缺乏對每個數位憑證位置的清晰可見性,會導致頻繁的到期相關中斷、憑證複製、繁複的故障排除和複雜的維護。檢測所有自簽名憑證和具有弱金鑰,和已棄用演算法的憑證的存在,很難手動實現,使你的公司面臨漏洞。
手動、分散式憑證操作:如果 PKI 團隊手動處理到期監控和安裝等憑證任務,那麼是時候切換到自動化系統來維護庫存和組憑證了。這將有助於在發現後提供可見性。同樣重要的是擁有一個集中式系統,可以使用它安全地管理 PKI 的所有方面。
缺乏策略和控制:憑證請求和憑證的普遍性,導致了重大責任蔓延 —— 幾個不同的個人透過多個管道處理 PKI,無法確保企業 SSL 政策得到遵守。還需要審計對 PKI 的更改,並將門禁控制分配給憑證組的所有者。
不安全的端點佈署:需要佈署幾種不同的裝置類型的憑證。當金鑰分發以未加密的方式完成時,由於其分散的性質,將憑證推送到其各自的端點,需要大量工作。整個憑證佈署流程,需要簡化並完全安全,因為它是憑證生命週期管理流程的關鍵組成部分。
不要讓你的公用事業暴露在外。
統一跨 OT 網路、實體門禁控制系統(PACS)和 IT 系統的身份和 進出訪問管理(IAM)功能的聚合方法,可以改變遊戲規則。這些網路通常獨立執行,導致身份和訪問資訊差異、成本增加和效率低下。此外,這些網路支援不同的基礎設施,每個基礎設施都有獨特的安全風險。
以下是端到端憑證生命週期管理(CLM)解決方案的一些最佳實踐,可以根據你的 CLM 成熟度水準,由不同規模的能源提供商客製化和實施。
掃描和可見性:跨多個網路環境、端點和憑證頒發機構(CA)執行掃描,以檢測和定位庫存中的每個憑證,從而獲得 100% 的 PKI 可見性。
金鑰安全和管理:利用行業標準的 AES-256 加密來安全地儲存你的金鑰,或採用與硬體安全模組(HSM)的本機整合,為你的金鑰管理策略新增額外的安全層。
自動證書操作:設定自動續訂的工作流程,採用簡化的撤銷和替換流程,並利用零接觸端點配置程式。
憑證簽名請求(CSR)生成、電子郵件通知、證書簽名和 CLM 等任務,可以完全摘要和自動化。自動化引擎將幫助將不同的任務聯絡在一起,並根據使用者的活動觸發器有序地執行它們,最大限度地減少大量的手動工作。
動態監控:透過即時報告和顯示關鍵指標,和統計資訊的詳細儀表板,來 追蹤你的憑證基礎設施,以便快速檢索和操作。
基於角色的訪問和審查控制:執行政策,確保只有指定人員才能訪問關鍵網路元件,並利用審查追蹤功能對受影響的更改進行完全控制。
PKI 的自助服務:應用程式維護團隊可以訪問的自助服務門戶,可以根據需要直接使用來徵用憑證。這最大限度地減少了他們對 PKI 安全團隊,進行微不足道的憑證任務的依賴,這可能會節省大量時間。
基於角色的控制確保只有授權人員,才能對 PKI 進行更改。你可以使用低程式頁面生成器來設計自助服務表單,使不同的團隊只接觸到與他們相關的資訊。
端到端證書生命週期管理:與市場上大多數端點,和商業 CA 整合的工具的重要性不容忽視。團隊將能夠在集中控制台中發現、請求、續訂、撤銷、佈署和建立憑證,而無需在各種 CA 和裝置供應商門戶之間切換。在整個組織中定義和執行 SSL 策略,以增強安全態勢。
0 comments:
張貼留言