claroty.com
Bảo mật hệ thống Cyber Physical và
XIoT
CLAROTY
March 2022
Claroty Confidential

claroty.com
Sự phát triển của chuyển đổi số
Những rủi ro mới nổi
2

claroty.com
OT & IIoT ngày càng không thể tách rời
Chuyển đổi số tạo ra rủi ro ATTT
• “Brownfield Operational Technology” thể hiện
một rủi ro đáng kể vì các thành phần kế thừa này
không được thiết kế các tính năng bảo mật. Dựa
trên nhu cầu của thị trường, đây là lĩnh vực trọng
tâm của chúng tôi cho đến nay.
• Đến năm 2025, 75% dữ liệu do doanh nghiệp tạo
ra trong các cơ sở công nghiệp sẽ được tạo và xử
lý ở phần biên của hệ thống, con số này tăng lên
so với mức dưới 20% hiện nay. “Greenfield”
IIoT sẽ tiếp tục thay thế hoặc bổ sung thiết bị OT
truyền thống.
Cơ sở lý thuyết
OT/ IIoT đã kết hợp các nhu cầu Bảo mật
 Khám phá tài sản động và đơn giản (Simple &
Dynamic Asset Discovery)
 Phân loại nhanh chóng, đặc biệt là các tài
sản/thiết bị IIoT
 Risk và Vulnerability Workflows cho OT và
IIoT
 Theo dõi liên tục và phát hiện mối đe doạ trên
các hệ thống mạng quan trọng

claroty.com
Mô hình giao tiếp và rủi ro
Mô hình 1: Chỉ giao tiếp một chiều ra bên ngoài (Outbound)
• Trường hợp sử dụng này bao gồm một cảm biến thông minh được kết nối với tài sản kỹ thuật
số và gửi dữ liệu đến trung tâm giám sát từ xa.
• Trường hợp này là rủi ro thấp nhất vì luồng thông tin là một chiều đi ra từ cảm biến. Bất kể
kết nối là gì — hướng đến điểm đến bên ngoài chu vi OT được bảo mật hoặc tới gateway bên
trong thiết bị — cảm biến sẽ không chấp nhận các lệnh điều kiển.
• Do đó, một tác nhân xấu có thể đánh chặn thông tin và có khả năng ẩn thông tin khỏi HMI,
nhưng không thể ảnh hưởng trực tiếp đến cảm biến.
IIoT chỉ giao tiếp một chiều ra bên ngoài (Outbound)
IIoT Gateway
ICS Historian
Enterprise Resource Planning
Manufacturing Execution System
Data Warehouse
Remote Monitoring Center
Asset
Smart
Sensor
OT Edge Processing Enterprise and/or Cloud
Secured OT
Perimeter

claroty.com
Mô hình giao tiếp và rủi ro
Mô hình 2: Giao tiếp hai chiều giữa bên trong (Inbound) và bên ngoài (Outbound)
• Trường hợp này cung cấp hai luồng thông tin: một luồng thông tin đi ra bên ngoài và một
luồng thông tin đi vào bên trong cảm biến để truy vấn nó (ví dụ, theo dõi trạng thái).
• Các truy vấn và lệnh yêu cầu thông tin phân tích có thể được gửi từ môi trường IT doanh
nghiệp hoặc điện toán đám mây, hoặc có thể từ nhà sản xuất thiết bị IIoT để thu thập dữ liệu
hoặc truy cập thông tin để khắc phục sự cố.
• Do tính chất hai chiều của các luồng thông tin, trường hợp sử dụng này có rủi ro lớn hơn
trường hợp luồng thông tin chỉ có chiều đi ra bên ngoài.
IIoT Giao tiếp hai chiều giữa bên trong và bên ngoài
IIoT Gateway
ICS Historian
Enterprise Resource Planning
Manufacturing Execution System
Data Warehouse
Remote Monitoring Center
Asset
Smart
Sensor
OT Edge Processing Enterprise and/or Cloud
Secured OT
Perimeter

claroty.com
Mô hình giao tiếp và rủi ro
Mô hình 3: Truy cập từ xa, bảo trì và chẩn đoán
• Trường hợp sử dụng này có nguy cơ rủi ro cao nhất bởi vì nó không chỉ liên quan đến các cảm
biến (được giới hạn trong việc cung cấp thông tin) mà còn cả các cơ cấu chấp hành thực hiện
các sửa đổi trong môi trường sản xuất.
• Như cảm biến trong các mô hình trước, có giao tiếp hai chiều giữa hệ thống IT doanh nghiệp
hoặc điện toán đám mây và cơ cấu chấp hành. Sau đó, chúng có thể phản hồi các mệnh lệnh
và thực hiện các hành động tiếp theo.
• Ví dụ, một bộ cơ cấu chấp hành có thể gửi các mệnh lệnh để thay đổi trạng thái, sửa đổi tốc độ
của một quá trình hoặc thay đổi một dòng chảy. Trường hợp sử dụng này cũng có thể mô tả
việc điều khiển từ xa các quy trình liên quan đến thiết bị IIoT hoặc thậm chí của một nhà máy
đầy đủ.
• Mặc dù rõ ràng là hữu ích khi có thể điều khiển các quy trình từ xa, nhưng điều quan trọng là
phải nhận ra các mối đe dọa bảo mật đi kèm và phải có giải pháp bảo vệ hệ thống khỏi các
mối đe doạ này.
Truy cập từ xa, bảo trì và chẩn đoán
IIoT Gateway
ICS Historian
Enterprise Resource Planning
Manufacturing Execution System
Data Warehouse
Remote Monitoring & Control Center
Asset
Smart
Actuator
OT Edge Processing Enterprise and/or Cloud
Secured OT
Perimeter

claroty.com
Nhu cầu về bảo mật an toàn thông tin
7

claroty.com 8
Yêu cầu bảo mật thế hệ mới cho an ninh bảo mật hệ thống mạng công nghiệp
Chuyển đổi kỹ thuật số tạo ra rủi ro hiện hữu đối với các hoạt động công nghiệp cần được giảm thiểu
Tiết lộ Bảo vệ Phát hiện Kết nối
Thách thức
Những yêu cầu
mới
• Các thiết bị truyền thông sử
dụng các giao thức độc
quyền
• Các công nghệ mới nổi với
các phương thức truyền
thông mới
• Sự lỗi thời của Mô hình
Purdue truyền thống
• Khả năng hiển thị đối với
thiết bị, truyền thông trong
mạng và các quy trình
• Khả năng hiển thị đối với
thiết bị “brownfield” (OT)
và “greenfield” (IIoT, IoT)
• Hiểu biết hạn chế về rủi ro
vốn có của môi trường OT
• Khoảng cách hiểu biết đối
với các biện pháp kiểm soát
bù đắp
• Không hiểu rõ cách thức ưu
tiên giảm thiểu rủi ro
• Xác định rủi ro vốn có của
tài sản OT/IIoT
• Ưu tiên các hành động
giảm thiểu rủi ro để giảm
thiểu rủi ro
• Hiểu rõ rủi ro còn lại sau
khi áp dụng các biện pháp
kiểm soát
• Các cuộc tấn công cơ hội
như ransomware vẫn hoạt
động
• Các cuộc tấn công tội phạm
mạng có mục tiêu để thu lợi
tài chính
• Các tác nhân tấn công
mạng được các quốc gia tài
trợ nguồn lực
• Theo dõi các rủi ro còn lại
để tìm kiếm các dấu hiệu
tấn công
• Thiết lập mô hình phát hiện
có khả năng phục hồi để
phát hiện các vectơ tấn
công khác nhau
• Các công cụ Bảo mật
CNTT không có khả năng
hiển thị sâu trong môi
trường OT
• Những người ra quyết định
cần có một cái nhìn toàn
diện về rủi ro doanh nghiệp
• Kết nối bảo mật OT vào
kiến trúc bảo mật IT
• Cung cấp một cái nhìn toàn
diện về rủi ro trong OT cho
những người ra quyết định
Copyright © 2021 Claroty Ltd. All rights reserved

claroty.com | Copyright © 2022 Claroty Ltd. All rights reserved 9
“RIGHT FOR ME” UX DELIVERED YOUR WAY ECOSYSTEM INTEGRATED
Nền tảng Claroty
Thúc đẩy khả năng hiển thị, bảo vệ, phát hiện và khả năng phục hồi trong môi trường công nghiệp
Chúng tôi bảo vệ mọi thứ trong vòng bốn bức tường - OT, IIoT, IoMT giúp các tổ chức bảo mật các hệ thống vật lý mạng
OT / Industrial IoT
Smart
Buildings/Grids
Enterprise IoT Healthcare (IoMT)
Historian RTU SCADA
DCS
HMI PLC
Autonomous Things Sensors
Embedded Devices IIoT Gateway
Elevator Smart Grid
BMS/BAS HVAC
Physical Intrusion Card Access
Video Lighting & Energy
Cloud Services Supply Chain
CAV
Industry 4.0
CT Scanner Blood Gas
Analyzer
Anesthesia
Machine
Hemotology
Analyzer
Tiết lộ
Phát hiện và phân loại tất cả tài sản
Kết nối
Tích hợp và liên kết với phần còn
lại của doanh nghiệp
Bảo vệ
Đánh giá, ưu tiên, và giảm thiểu rủi ro
cho tài sản
Phát hiện
Nhanh chóng phát hiện, phân tích và
phản hồi các nguy cơ bảo mật
Nền tảng Claroty + Medigate

claroty.com
Giải pháp an
ninh mạng hoàn
chỉnh cho các hệ
thống Cyber-
Physical và XIoT
Nền tảng và Hệ sinh thái cho phép Tiết lộ, Bảo vệ, Phát hiện và Kết nối tài sản
• Quản lý và kiểm kê tài sản OT / IoT / IIoT
• Đánh giá rủi ro & vệ sinh liên tục
• Phân vùng & phân đoạn mạng sử dụng AI điều khiển
• Kiểm soát truy cập từ xa và bên thứ ba
• Quản lý cấu hình và Quản lý thay đổi
• Liên tục theo dõi mối đe dọa & lỗ hổng bảo mật
• Lập bản đồ vectơ tấn công & phân tích nguyên nhân gốc rễ
• Tương quan tự động và làm giàu cảnh báo
• Sự kiện và phân tích sự cố
• Hỗ trợ cho các hoạt động phản hồi từ xa
• Khuyến nghị khắc phục dựa trên rủi ro
• Khả năng giám sát và ngắt kết nối người dùng từ
xa
Mở rộng các biện pháp kiểm soát bảo mật cơ bản cho
môi trường công nghiệp
Copyright © 2022 Claroty Ltd. All rights reserved 10
Mở rộng kiểm soát bảo mật vào Hệ thống Cyber-physical
Tích hợp liền mạch với giải pháp
công nghệ có sẵn của tổ chức

claroty.com
Phương án bảo mật hệ thống mạng OT tốt
nhất
11

claroty.com
Hành trình kiến trúc An ninh Hệ thống mạng Công Nghiệp
Lộ trình giải pháp thực tiễn tốt nhất
Priority: Understand Your Network
● What assets are in your network?
● How is your network structured?
● What vulnerabilities and risks are present?
● How can you manage those risks?
1
Priority: Detect Threats
● What threats are you most concerned about?
● How should your staff manage alerts?
● How can your existing IT security tech stack
support your industrial network?
2
Where would you like to start?
Recommendation: 1 2 3
Priority: Control Access
● How can you provide internal and third-party personnel
with remote access to your network?
● How should you manage the risks posed by their
access?
● How should you respond to incidents related to their
access?
3
Your Industrial
Cybersecurity
Journey
Điểm xuất phát?
Khuyến nghị: 1 2 3
Ưu tiên: Kiểm soát truy cập
• Làm cách nào bạn có thể cung cấp cho nhân
viên nội bộ và bên thứ ba quyền truy cập từ
xa vào mạng của bạn?
• Bạn nên quản lý rủi ro do truy cập của họ
như thế nào?
• Bạn nên ứng phó với các sự cố liên quan đến
quyền truy cập của họ như thế nào?
Ưu tiên: Phát hiện các mối đe dọa
• Bạn quan tâm đến những mối đe dọa nào
nhất?
• Nhân viên của bạn nên quản lý các cảnh báo
như thế nào?
• Làm thế nào để tích hợp các công nghệ bảo
mật CNTT hiện tại của bạn với mục đích hỗ
trợ hệ thống mạng công nghiệp của bạn?
Ưu tiên: Hiểu rõ hệ thống mạng của bạn
• Những tài sản nằm trong hệ thống mạng của
bạn?
• Kiến trúc hệ thống mạng của bạn như thế
nào?
• Những lỗ hổng và rủi ro nào đang hiện hữu?
• Bạn có thể quản lý những rủi ro đó như thế
nào?

claroty.com
Tích hợp bảo mật IT/OT

claroty.com
Level 4
Corporate Network
Level 3.5
IT/OT DMZ Zone
Level 3
Operations
Level 2
Process Network
Level 1
Control Network
Level 0
Field Devices I/O
EMC Log
Mgmt.
SIEM
Switch
CTD
Server
SPAN
Operator
Station
EWS HMI
Switch
DCS SIS
Pump Valve Sensor Fan
Actuator Valve
PLC
HMI
TAS
Server
Sensor
SPAN
Remote location
MCB/ CTR
Data Center
Giải pháp Claroty Monitoring
Thiết kế mẫu – Hệ thống nhà máy
sản xuất Điện
Turbine

claroty.com
HQ/ Datacentre
Thiết kế mẫu– Hệ thống phân phối Điện

claroty.com
Kịch bản rủi ro và cách thức phát hiện
Ví dụ:
Log4j
Solarwinds Orion Sunburst – Chuỗi cung ứng
Lỗ hổng Ripple 20
Codemeter: ví dụ về rủi ro của bên thứ 3
Phát hiện Cobalt Strike
Phát hiện Ransomwares, Trojan, Malware đã biết
16

claroty.com 17
Tổng quan – Log4shell
● CVE 2021-44228, CVE 2021-45046
● Điểm CVSS cao: 10
● Cho phép kẻ tấn công thực thi mã từ xa, từ
chối dịch vụ
● Log4j là mô-đun ghi nhật ký được sử dụng
trong một số lượng lớn các ứng dụng
trong môi trường OT
● Sản phẩm Claroty products không sử dụng
gói Log4j và không bị ảnh hưởng
● Những nhà nghiên cứu của Claroty
researchers đưa ra các quy tắc có sẵn để
phát hiện việc khai thác chống lại các máy
chủ web trong thời gian nhanh chóng
● Đặc biệt là khi payload được phân phối
qua các giao thức như LDAP và API RMI
• Khi các nhà cung cấp cung cấp thêm thông tin chi tiết cụ thể về
kiểu máy, dòng thiết bị / phiên bản nào dễ bị tấn công, Claroty
sẽ cập nhật cơ sở dữ liệu CVE của mình trong các gói cập nhật.
• Hiện tại, cơ chế phát hiện dựa vào cảnh báo thông qua giám sát
lưu lượng
Log4j – Lỗ hổng Zero Day
Phát hiện mối đe dọa liên tục

claroty.com 18
INITIAL ACCESS DELIVERY EXECUTION COMMAND & CONTROL IMPACT?
Mục tiêu nhắm vào các tổ chức
thuộc chính phủ Hoa Kỳ
2) Tác nhân nhúng mã
backdoor độc hại
(SUNBURST) trong
SW Dll nơi nó được
che dấu khỏi hệ thống
giám sát.
1) Tác nhân/ Kẻ tấn
công đã truy cập vào
kho mã nguồn SW
hoặc xây dựng “đường
ống” thông qua vectơ
chưa được xác nhận
~03/ 2020
~ 18.000 khách hàng
F500 & govt đã cấp đặc
quyền truy cập đầy đủ
cho SW trên hệ thống
mạng của họ
~05 – 06/ 2020
3) Người dùng SW
đã vô tình cài đặt
SUNBURST thông
qua bản cập nhật
phần mềm SW
4) Các phiên bản SW
bị nhiễm mã độc được
chỉ dẫn tới C2 để nhận
lệnh từ các máy chủ
được kiểm soát bởi các
tác nhân
Toàn bộ thông tin hệ
thống mạng người
dùng SW
~ 06 – 12/ 2020 12/ 2020
● Cuộc tấn công được tiết lộ
● Bản vá giảm thiểu và tiêu diệt mã
độc được phát hành nhưng có
nhiều giới hạn
● Không thể phát hiện sự tấn công
bằng các giải pháp quản lý lỗ
hổng truyền thống hoặc AV
● Những rủi ro nghiêm trọng vẫn
còn tồn tại
● Thông tin đầy đủ về mức độ & tác
động của cuộc tấn công vẫn chưa
được biết rõ
Ngảy nay
Cuộc tấn công SOLARWINDS
Phát hiện mối đe dọa liên tục

claroty.com 19
19
MÔ TẢ
App Detection
Khả năng phát hiện các ứng dụng trong hệ thống, ví dụ: phát hiện ứng dụng
Solarwinds orion
Known Threat Detection Khả năng phát hiện các công cụ của đội đỏ (red team) bị đánh cắp từ FireEye
Lateral Movement via
Policy Alerts
Khả năng phát hiện các chuyển động ngang (chiều Đông - Tây) trong hệ thống
Anomaly Detection Khả năng phát hiện các xu hướng lưu lượng truy cập bất thường từ base-line
DNS Detection Khả năng phát hiện các lệnh và kiểm soát thông tin thông qua DNS
Các phương pháp có thể được sử dụng để phát hiện các cuộc tấn
công chuỗi cung ứng
Phát hiện mối đe dọa liên tục

claroty.com 20
CTD được sử dụng để phát hiện những ứng dụng bị ảnh
hưởng Tổng quan
● Không có lỗ hổng nào liên quan đến sự
xâm phạm = không có CVE nào để
phát hiện
● Kiểm kê tài sản (Asset inventory) là
cách duy nhất để xác định các hệ
thống bị ảnh hưởng
● Sử dụng CTD Active Scanning để tìm
kiếm các phiên bản SW Orion trong
môi trường của bạn
● Threat Bundle 23 làm cho quá trình
này dễ dàng hơn với Quét chủ động
(Active Scanning) thông qua WMI
● Có khả năng phát hiện những bất
thường của DNS
1) Phát hiện SOLARWINDS ORION
Phát hiện mối đe dọa liên tục

claroty.com 21 21
CTD: Passive Mode Tổng quan
● Mã SUNBURST được nhúng trong SW
cho phép truy cập cửa sau (backdoor)
và truy cập vào thông tin đăng nhập cho
các tài sản trên toàn môi trường.
● Sự lây lan trong hệ thống (Lateral
movement) là khả thi với mức độ truy
cập này
● Để xác định sự lây lan, hãy tìm CTD
policy alerts cho biết hệ thống kết nối
qua các vùng không điển hình
● Sự bất thường của hệ thống mạng cũng
có thể liên quan đến chuyển động ngang
● Sử dụng CTD ở Passive Mode để tìm
kiếm các cảnh báo về mối đe dọa từ các
điểm bất thường có thể chỉ ra chuyển
động ngang qua các vùng của mạng OT
của bạn
2) Phát hiện sự lây lan bằng cảnh báo chính sách
Phát hiện mối đe dọa liên tục

claroty.com 22
22
CTD: Passive Mode
Tổng quan
● SW bị xâm phạm cho phép các tác
nhân ăn cắp các công cụ của đội đỏ
(red team) từ FireEye. Chữ ký liên
kết đã được ban hành kể từ đó.
● Chữ ký cũng đã được cấp cho DNS
beaconing bởi các trường hợp SW bị
xâm phạm.
● Threat Bundle 22 bao gồm tất cả
các chữ ký này.
● Sử dụng CTD ở Passive mode để
phát hiện sự khai thác các mối đe
dọa.
● Ghi chú: Những chữ ký này nên
được xem là toàn diện.
3) Phát hiện sự khai thác các mối đe doạ
Phát hiện mối đe dọa liên tục

claroty.com 23
CTD: Passive Mode
Tổng quan
● Các yêu cầu DNS bất thường được
liên kết với DNS beaconing bởi các
trường hợp SW bị xâm phạm
● Sử dụng CTD tại Passive Mode để
tìm kiếm kết nối DNS tới
avsvmcloud[.]com
4) Phát hiện Beaconing với DNS Inspection
Phát hiện mối đe dọa liên tục

claroty.com 24
• Theo dõi các lỗ hổng TCP/IP được sử dụng rộng rãi trên các hệ
thống nhúng
• 19 lỗ hổng được phát hiện bởi công ty nghiên cứu JSOF
• Có thể được sử dụng trên 100 triệu thiết bị OT và IoT
• Các lỗ hổng bảo mật từ hỏng bộ nhớ có thể khiến DOS hoặc
RCE dẫn đến rò rỉ thông tin
• Tính đến ngày 5 tháng 7 năm 2020, có 16 nhà cung cấp đưa ra
khuyến nghị, 22 nhà cung cấp xác nhận bị ảnh hưởng, 56 nhà
cung cấp vẫn đang điều tra
RIPPLE20 & Bảo mật chuỗi cung ứng
Phát hiện mối đe dọa liên tục

claroty.com 25
Phát hiện thiết bị ảnh hưởng bởi Ripple20
• Aruba
• HCL Tech
• Zuken Elmic
• B. Braun
• HP
• Baxter
• HPE
• CareStream
• Intel
• Caterpillar
• Maxlinear
• Xeroex
• Cisco
• Opto22
• Dell
• Rockwell
Automation
• Digi
International
• Schneider
Electric
• Eaton
• Teradici
• Green Hills
Software
Trường hợp sử dụng
Phát hiện mối đe dọa liên tục

claroty.com 26
• Proven RCE
vulnerabilities
• CVE-2020-11896,
CVE-2020-11901
• Out-of-Bounds
write
• CVE-2020-11897,
CVE-2020-11904
• Info Leak
• CVE-2020-11898,
CVE-2020-11902,
CVE-2020-11899,
CVE-2020-11903,
CVE-2020-11905,
CVE-2020-11910,
CVE-2020-11912,
CVE-2020-11913,
CVE-2020-11914,
CVE-2020-11908
• User after Free -
Potential DOS/RCE
• CVE-2020-11900
• Integer Underflow -
DOS
• CVE-2020-11906,
CVE-2020-11907,
CVE-2020-11909
• Unauthorized
change of settings
• CVE-2020-11911
Tác động của RIPPLE20 đến máy ảo
Phát hiện mối đe dọa liên tục

claroty.com 27
• Phát hiện dấu hiệu/ Chữ ký
• IPIP phân mảnh
• Giao thức được sử dụng để khai
thác CVE-2020-11896, CVE-
2020-11898. Giao thức này
không phổ biến trong mạng ICS
và được sử dụng giữa các thiết bị
mạng.
• Kiểm tra Fingerprinting sử dụng
ICMP type 165
• Phương pháp liệt kê để xác định
TCP/IP stack
Phát hiện khai thác RIPPLE20
Phát hiện mối đe dọa liên tục

claroty.com 28
License To Kill: 6 lỗ hổng được phát hiện trong phần
mềm quản lý giấy phép của bên thứ 3. Ảnh hưởng đến
hầu hết các nhà cung cấp ICS.
• Six Vulns / Two Attack Vectors
• Tấn công RCE hoặc DoS
• Fingerprint User Environments
• Sửa đổi hoặc giả mạo giấy phép
• ICS-CERT đánh giá các lỗ hổng này có điểm là
10.0, mức điểm cao nhất.
Lỗ hổng bảo mật CodeMeter
Một ví dụ về rủi ro của bên thứ 3
Phát hiện mối đe dọa liên tục

claroty.com 29
Cobalt Strike – Phát hiện hành vi của đối thủ
Hồ sơ Malleable C2 và DNS beacons

claroty.com 30
Những mối đe doạ đã biết– Ransomware, Trojan, malware, YARA rules
Xấp xỉ 500 quy tắc để phát hiện những ransomware đã biết, >11000 dấu hiệu nhân biết mối đe doạ trong
csdl Threat intelDB
*Threat intel được cập nhật hang tuần bởi đội ngũ Claroty Product

claroty.com
Áp dụng Zero-trust cho OT
Ví dụ:
Bảo mật cho truy cập từ xa
Bảo mật cho truyền dữ liệu
Quản lý truy cập
31

claroty.com 32
Firewall
Historian SCADA
Server
HMI Engineering
Workstation
3rd Party Technicians 3rd Party Technicians Remote Employees Remote Employees
PLC PLC PLC PLC
Valve Drill Valve Drill Valve Drill Valve Drill
DMZ Firewall
Firewall
SSH RDP VNC HTTP / HTTPS
Phức tạp trong Cấu
hình tường lửa
Thách thức trong Quản
lý sự thay đổi
Phản ứng chậm trong
trường hợp khẩn cấp
Quá nhiều lỗ hổng bảo mật
Vi phạm mô hình Purdue
Thiếu sự kiểm soát
o RBA/ PoLP/ zero-trust
o Thời gian trong ngày/ Ngày
trong tuần
o Không có giám sát trong thời
gian thực
o Không có kiểm toán - audit
o Sự cố với máy chủ Jump
o Tiết lộ Thông tin đăng nhập
o Truy cập dựa trên VPN
truyền thống đầy rủi ro
Rủi ro của nhà cung cấp dịch vụ bên thứ 3!
Có thể cung cấp dịch vụ Truy cập từ xa truyền thống cho những Người lao động mới kết nối?

claroty.com 33
Kiến trúc hội tụ IT/OT
Hỗ trợ phân đoạn Purdue
Máy tính từ xa không kết nối trực tiếp với tài sản OT
Phá vỡ các giao thức dọc theo tuyến truyền thông
(communication path)
Tính năng yêu cầu quyền truy cập cho các tài sản OT
quan trọng
Tuân thủ các yêu cầu về GDPR
Tường lửa OT ít lỗ hổng hơn
Hỗ trợ làm việc từ xa với các giao thức / ứng dụng ICS
Tích hợp với OT Monitoring
Clientless, agentless, OOTB password vault
Facility 1
SRA Secure
Access Center
(SAC)
SRA Site
SRA Site
SRA Site
Remote Users
Local User
Local User
Local User
OT Asset
PLC
OT Asset
Facility 2
Facility 3
BẢO MẬT TRUY CẬP TỪ XA cần được
‘PURPOSE-BUILT’ cho môi trường OT

claroty.com February 13, 2023 34
Copyright © 2020 Claroty Ltd. All rights reserved
OT Asset
SRA Site
SRA SAC
Remote User
Secure Web
(HTTPS)
SSH Reverse
Tunnel
SSH Reverse
Tunnel
OT Asset
SRA Site
SRA SAC
Remote User
VPN Over
SSL
SSH Reverse
Tunnel
SSH Reverse
Tunnel
OT Asset
SRA Site
SRA SAC
Remote User
Secure Web
(HTTPS)
SSH Reverse
Tunnel
SSH Reverse
Tunnel
SRA HỖ TRỢ CÁC TRƯỜNG HỢP SỬ DỤNG TRUY CẬP TỪ XA CHO MÔI
TRƯỜNG CÔNG NGHIỆP

claroty.com
Chương trình bảo mật an toàn thông tin
Những trọng tâm chính
35

claroty.com Claroty Confidential
Tóm tắt - Các trọng tâm chính cần tập trung!
 Hiển thị hệ thống OT và IIOT
 Xác định các lỗ hổng bảo mật
 Hiểu rõ rủi ro
 Theo dõi các mối đe dọa
 Tính toán cách tiếp cận của các tác nhân tấn công
 Tạo chính sách phân đoạn (Segmentation)
 Bảo mật quyền truy cập từ xa
 Kết nối sự cố OT & IIOT với Kiểm soát bảo mật CNTT / SOC

claroty.com Claroty Confidential
Cảm ơn!
Vijay Vaidyanathan – RVP Solutions Engineering, APJ