OT安全必备：特权访问工作站(PAWs)部署与管理指南

运营技术 (OT) 环境的物理特性意味着它们可能包含一些系统，这些系统有可能对人身安全构成直接威胁，或因关键国家基础设施 (CNI) 服务中断而造成全国范围的影响。如果 OT 环境提供至关重要的服务，它们也可能成为老练的攻击者越来越青睐的目标。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

本节面向需要在包含运营技术 (OT) 的组织中使用特权访问工作站 (PAW) 的系统所有者。它描述了需要进行哪些调整才能使其适用于OT环境。

介绍

正如核心指南原则1所述：“特权访问授权（PAW）可用于所有特权访问，但最重要的是将其用于高风险访问。如果访问一旦被攻破可能造成严重后果，或者其保护的系统可能引起有能力的威胁行为者的兴趣，则该访问被视为高风险访问。”

运营技术 (OT) 环境的物理特性意味着它们可能包含一些系统，这些系统有可能对人身安全构成直接威胁，或因关键国家基础设施 (CNI) 服务中断而造成全国范围的影响。如果 OT 环境提供至关重要的服务，它们也可能成为老练的攻击者越来越青睐的目标。

特权访问工作站 (PAW) 在增强这些系统的整体网络安全防御方面可以发挥关键作用，有助于降低系统范围扩大遭到入侵并导致关键系统被未经授权控制的风险。CAF原则 B4.C也认可了这一点，该原则强调“支持关键功能运行的系统和设备只能由获得授权的特权用户通过高度可信的设备（例如特权访问工作站）进行管理或维护”。

运营技术 (OT) 组织中用于管理资产的工作站有很多名称，但一个常用的术语是工程工作站 (EW)。工程工作站可以采用多种形式：

固定工作站：

传统形式的电子工作站（EW）部署在物理运营技术（OT）现场，配备用于管理现场设备的专用软件。这些电子工作站通常与其他网络隔离，并由多名工程师或用户共享。这里所说的电子工作站不包括支持实时操作的系统（例如人机界面），而是指管理工业资产的系统。

远程访问：

电子工作站（EW）用于远程管理资产或控制关键系统，例如监控和数据采集系统（SCADA）。这些电子工作站通常包含有限的专用软件，用于访问其他系统。

本地访问：

便携式电子战设备配备专用软件，用于对运营技术 (OT) 站点或其支持网络中的现场设备进行配置和持续维护。这些设备通常使用 USB、串口或以太网直接连接到现场设备。

对运营技术环境的威胁

与标准IT环境相比，OT环境通常面临更高的风险。这种更高的脆弱性源于OT系统中大量使用过时产品，以及网络攻击可能造成的严重后果，包括人员伤亡。OT系统中大量使用过时产品往往降低了其抵御攻击的能力，因此更加依赖于强大的网络分段和补偿控制措施。

过时产品也可能被称为传统产品。然而，“过时产品”这一广义术语涵盖了不再受支持的设备，以及那些缺乏必要安全功能的设备。在本指南中，“过时产品”既指软件也指物理资产。但是，这并不包括这些设备使用传统协议进行设备间通信的情况。

为了降低这些环境中的风险，至关重要的是限制从 IT 环境到 OT 环境的横向移动机会。用于访问 PAW 解决方案的身份应专用于 OT 环境，并与任何 IT 身份隔离。这可以防止攻击者利用该身份作为在 IT 和 OT 域之间横向移动的途径。

NCSC PAW 指南的原则 1.2描述了如何识别高风险访问。但是，如果您的 OT 环境中包含过时的产品，则应考虑其他因素。

SCADA平台通常具有四大功能：管理、配置、控制和监控。这些功能都需要访问相同的软件，但执行不同功能的权限级别不同。过时的SCADA系统通常具有以下特征：

运行过时的软件运行不受支持的操作系统通过不安全协议进行通信

因此，应用程序中的用户权限级别控制已无法有效区分低风险角色（例如监控）和高风险角色（例如控制或管理）。过时的操作系统或软件中存在的漏洞可能导致权限提升，这是不可接受的风险。为降低此风险，所有角色都必须被视为高风险角色，并且访问权限应限制在具有最高权限的用户（PAW）范围内。

在系统中断可能对全国造成影响的情况下，您可能需要将OT系统中的数据视为特权数据。此类OT系统是攻击者的高价值目标。如果这种风险很大，或者OT系统中的数据被认为过于敏感，则应考虑为所有OT用户层级（包括监控功能层级）实施特权访问控制（PAW）。

如果您使用的是定期更新且运行在受支持操作系统上的现代化 SCADA 解决方案，则可以对软件的用户权限控制给予更高的信任。您应该确保工程师在执行高权限操作之前切换上下文，例如要求他们将帐户从监控用户切换到管理员，或者强制要求对特权操作进行二次身份验证。

用户帐户遵循特权访问管理原则，仅授予其角色所需的权限，且访问权限并非永久分配：

在这种情况下，这意味着要创建：

默认角色（用户只能拥有查看与其角色相关的数据所需的权限来监控环境）。此特权角色授予需要配置、控制和监控环境的用户。该角色应仅限于需要此权限的用户，且必须使用多因素身份验证 (MFA) 来提升角色权限，并需要通过高级授权用户 (PAW) 进行访问。此特权角色授予需要管理系统内其他用户及其各自角色的用户。此类访问权限高度敏感，因此必须对新授予特权的用户进行主动监控和审计，以确保安全性和合规性。应严格控制此角色的访问权限，并限制其数量，使用多因素身份验证 (MFA) 来提升角色权限，且需要通过特权授权用户 (PAW) 进行访问。

对于来自低信任度设备的监控操作，您应该采取额外的控制措施。这些措施可能包括：

低信任设备与系统之间的单向流量控制将监控数据复制到另一个数据存储区，以防止直接访问特权系统（最好通过数据二极管等硬件控制来强制执行此分段）。

气隙网络与高度受限网络

PAW 原则 5.2描述了 PAW 不必是一个孤立的系统，而应该是一个网络连接高度受限的系统。传统的 OT 环境依赖于“物理隔离”解决方案。这并不意味着 PAW 应该拥有通用的互联网访问权限，而是指它应该能够访问其所需的服务，以确保安全或执行其功能。当前的物理隔离方法在 PAW 的环境中会引发以下几个问题：

当这些设备作为完全隔离的系统部署时，由于缺乏网络连接，导致无法了解设备上执行的特权操作。这使得无法有效地监控和检测这些设备上的恶意行为。由于这些孤立系统缺乏连接，导致无法修补的系统反模式。这使得系统不安全，一旦设备连接到互联网或获得对设备的物理访问权限，就很容易被利用。孤立的系统往往缺乏集中化管理，设备控制和策略通常是“针对每个设备”单独设置的，并且仅在调试时进行验证。这意味着无法建立起对这些控制措施的信任，以确保它们能够在设备的整个生命周期内保护设备。这可能会助长高风险技术和/或影子IT或流程的使用。当系统被隔离时，由于工程师需要将错误日志或配置文件传输到设备，可用性问题很快就会出现。这通常会导致对USB存储介质进行无法审计且风险极高的操作。

采用更紧密互联的方式部署PAW系统，可确保系统在初始调试后依然可靠运行。通过建立有效的技术控制措施，可以减少对人为或程序控制的依赖。

在运营技术（OT）环境中，连接性可能指的是用于接收操作系统更新的网络连接。但它也可以用于促进OT应用程序的许可连接，或访问供应商支持门户。

维护所有允许的网络路由的集中记录至关重要，并且必须确保这些路由仅限于必要的路由。此外，还应确保PAW 原则 5中概述的设备控制措施能够阻止任何已下载的媒体在设备上执行。对于高度关键的 OT 环境（例如关键服务运营商），PAW 的连接模型必须与贵组织的弹性要求相平衡，如PAW 原则 2.2中所述。

对于高度关键或高威胁的OT环境，应确保其能够接收安全更新和其他架构优势，同时仍能在隔离状态下运行。即使与任何支持服务（例如基于云的MDM）的连接中断，设备仍应能够继续运行。这可能涉及回退到本地身份服务。应彻底测试在持续隔离模式下运行的能力。应制定明确的流程来确定哪些威胁场景（或安全事件）需要组织隔离OT环境。

集成商、供应商和其他第三方

实施 PAW 解决方案不仅仅是部署一个封闭的管理设备，而是需要一种更全面的方法，正如PAW 原则 1.1中所述。在 OT 环境中，这是一个挑战当前远程访问关键网络和资产工作方式的机会。

在运营技术（OT）的维护和支持合同中，集成商、供应商和第三方进行远程访问的情况越来越普遍。然而，这些解决方案通常仍然依赖于需要全天候访问的固定站点间VPN。此外，目前并非总有有效的监控策略来标记通过这些访问路径出现的异常行为。

在投资PAW解决方案时，务必审查这些可能削弱PAW有效性的其他远程访问途径。您需要确保第三方连接同样值得信赖（或通过额外的安全措施加以保护）。

任何第三方对您的环境的访问都应使用特权访问管理，并且必须使用以下方法提供访问权限：

“即时”管理；在这种管理模式下，凭据并非用于访问管理界面，而是用于请求访问权限。如果请求获得批准，则会授予临时提升的访问权限。“适度”管理。这是最小权限原则的另一种表述方式。访问权限的角色和职责应预先定义。当管理员请求访问管理界面时，系统应提示他们选择已定义的受限角色之一。

对于第三方访问，可能需要额外的功能（例如会话录制和审计）来验证访问期间执行的操作。当第三方访问贵组织通过特权访问服务器 (PAW) 执行的特权功能时，您应强制要求第三方也使用 PAW，如PAW 原则 3.1所述。

过时产品的普遍性

在OT组织中有效部署PAW面临的最大挑战之一是需要管理过时的产品。OT设备通常依赖于现代操作系统不再支持的应用程序。这就要求PAW运行虚拟化技术，正如PAW原则6.1中所述。

设计您的PAW（个人应用工作）所需的应用程序时，应该抓住机会记录并了解您对过时产品的依赖程度。您应该识别出哪些软件仅需支持少量用户或系统。这些信息将有助于您优先制定从过时产品迁移到新产品的策略。

2025年1月，CISA发布了《按需安全：运营技术所有者和运营商选择数字产品时的优先考虑因素》报告。该报告强调供应商需要更好地帮助运营商在支持合同期内将应用程序迁移到新的操作系统，并指出各组织应“确保在现代操作系统上运行软件不会不必要地使支持协议失效”。运营技术组织应寻找能够在应用程序整个生命周期内提供支持的供应商，并在需要时将其迁移到现代操作系统。

在运营技术 (OT) 环境中，确定应用程序是否适合高信任设备也至关重要。如果对应用程序的安全性信心不足，但又必须使用虚拟化来隔离主机，则应考虑虚拟化。这可能包括以下情况：

应用程序不再接收更新（无论它是否支持在最新的操作系统上运行）应用程序需要极高的本地用户权限才能执行。

减少对USB传输的依赖

在运营技术 (OT) 环境中，由于网络隔离的普遍存在，工程师需要使用非网络路径进行数据传输，以完成配置或管理功能。然而，USB（或其他可移动存储介质）对受信任的管理设备构成重大风险。这些传输方式绕过了基于网络的控制，为设备提供了一条安全路径。

USB 存储介质是 OT 网络的一种成熟攻击途径，例如过去的Stuxnet等网络攻击就证明了这一点。攻击者可以利用 OT 网络对边界安全防护的依赖，而非对网络内部技术控制的重视，从而入侵网络。

构建 PAW 解决方案应被视为降低组织对可移动介质依赖性的契机。PAW原则 7将帮助您构建更安全的基于网络的传输模型，从而充分利用值得信赖的 PAW 平台的优势。这应着重确保所有传输到 OT 环境的文件都经过审计、认证、自动化处理和检查。尤其重要的是，这应包括来自第三方供应商、集成商和/或供货商的文件传输。

如果您的组织无法消除可移动介质带来的风险，则应确保仅使用经组织批准和配置的可移动介质，理想情况下，应将其分配给指定用户并限制其连接权限，使其只能连接到指定的 PAW 设备。PAW原则 5.4包含有关如何移除不必要的设备功能、应用程序和特性的建议。

所有可移动存储介质在使用前后都应在外部扫描站进行扫描，以确保其中不包含已知的恶意文件。设计良好的恶意活动防护 (PAW) 系统还应阻止不受信任的代码和未经授权的应用程序在设备上运行，从而进一步降低可移动存储介质带来的风险。