制造业数字化转型过程中,产线物联网(IoT)设备、工控机的引入极大提高了生产效率的同时,也埋下了不容忽视的安全隐患。尤其制造业已成为勒索软件攻击的重灾区,利用物联网设备漏洞进行恶意攻击的事件不胜枚举,如2018年台积电遭遇WannaCry勒索事件,2021年5月美国最大的成品油管道运营商Colonial Pipeline受勒索攻击致输油管道瘫痪事件。为保障产线业务持久稳定,企业应加强对工业互联网中IoT设备、工控终端的接入管控。
一次认证事故引起CIO对产线设备接入认证的重视
某电器龙头企业为保障公司内网安全,在办公部门采用802.1X接入认证方式。不久前,一次接入认证事故导致全体办公人员无法入网。CIO(信息安全负责人)考虑到生产线的设备如果出现认证事故,连不了网,生产中断,将会给公司造成重大财产损失。因此,生产网放弃使用802.1X接入认证,以业务连续性为第一准绳。
生产网内有大量IoT物联网设备、工控机,如PDA(手持终端)、机械臂、监控摄像头等,类型复杂、数量众多,甚至安全管理人员对于生产网的IoT资产清单也不十分清楚。单纯依赖手动管理设备的MAC地址做接入认证,并不是一个智能和高效的方法。
如果依赖网络设备自带的MAB认证,难点在于:
- 审计难:只有MAC地址,没有其他信息;
- 一刀切:只能放行或不放行,无法叠加其他策略;
- 维护难:手动录入,手动管理。
是否有更适合产线/工业互联网IoT设备的网络准入方案,来保障产线的业务连续性?
超轻量终端准入方案,无Agent部署护航业务连续
宁盾泛终端敏捷准入产品针对制造业特有的网络环境和客户需求,提供了针对性的解决方案:超轻量准入无Agent部署方案。这一方案采用旁路镜像部署,无需安装任何Agent。产线设备的网络接入采用MAB认证方式,超轻量准入方案通过智能设备指纹及策略实现IoT设备的自动发现和加白,摒弃了传统手动录入、管理的流程,大大提升管理水平。
此外,超轻量准入方案提供了灵活的自定义策略,在低代码策略引擎的加持下,过去的命令代码场景已经转变为一分钟即可设置出多条策略,简单易上手,灵活匹配各类生产、办公、研发环境准入需求。利用叠加策略绑定设备与厂商、类型等对应关系,还可以用来防止恶意仿冒MAC地址的行为,确保在网IoT设备的安全。
使用超轻量终端准入方案,让在网IoT资产可视化,为运维管理减少手动操作流程,让管理更加智能高效,管控措施更加柔性灵活,既满足了客户对于网络安全和业务连续性的要求,也超预期底降低了客户的部署和实施成本,真正做到了降本、提效、安全。