随着远程操作成为常态,组织正从"安全连接"转向"安全操作",并配备适合目的的网络物理系统安全远程访问产品。本说明概述了这一快速增长市场的趋势和代表性供应商。
主要发现
- 网络安全领导者发现"shadow访问"是一个关键盲点:绕过企业防火墙的未公开远程连接渗透在CPS环境中,远程访问已成为新的运营现实。
- 攻击者越来越多地攻击弱或易受攻击的传统远程访问,如VPN和跳线盒,以获取CPS环境,促使组织采用专门设计的CPS远程访问以降低风险。
- 部署来自不同厂商的多个远程访问产品以访问网络物理系统(CPS)资产,会带来这些产品的管理和集成的显著复杂性。这是由于配置多样化、加密协议不同以及会话日志模式不一致,从而增加了安全风险。
- 组织正在从"安全连接"转向"安全运营"。这一转变源于管理复杂分布式环境的运营需求,创新者将产品推向市场,这些产品都蕴含CPS环境知识,以及传统以IT为中心的工具缺乏关键任务安全所需的上下文细度。
建议
- 立即审计"影子访问";不要假设你当前的远程连接清单已经完整。积极部署如CPS保护平台等工具,能够发现未管理的OEM、承包商和员工关联,并将其整合进集中治理框架(包含针对OEM、承包商和员工的政策),以关闭后门。
- 替换通用VPN,避免在没有验证的情况下将以IT为中心的PAM工具扩展到CPS环境中。相反,应优先考虑提供深度协议检测的平台,以阻止数据包层级的未经授权更改,并符合CPS运营中对安全至关重要的性质。
- 通过DMZ或以下级别的单一集中管理硬件/软件网关标准化所有CPS远程访问。在该网关实施协议和会话终止,以防止与受保护的CPS资产直接通信。这可能包括可编程逻辑控制器(PLC)、人机界面(HMI)以及监控控制与数据采集(SCADA)系统。
- 选择能够提升安全和安全运营的产品,并理解生产工程师的需求,而不是仅专注于网络安全的产品访问管理:要求遗留资产采用无代理架构;允许工程师进行"肩膀"监督,使本地运营商能够实时监督第三方供应商,并在安全受损时保留"断线开关",以实现连接的即时终止;通过采用准时访问(JIT)消除站立权限。避免使用需要启用入站连接的产品。
战略规划假设
到2029年,利用远程访问向量攻击CPS的比例将从微不足道增长到超过20%。
市场定义
Gartner 定义了网络物理系统(CPS)安全远程访问产品作为使员工、承包商或原设备制造商(OEM)能够安全且可靠地远程操作、维护或更新CPS的产品进行市场推广。这些产品提供了验证远程用户真实性和授权的强大机制,执行用户和系统的细致访问策略,确保通信安全,并跟踪用户行为的完整性。组织可以在云端、本地部署或混合环境中部署这些产品。
Gartner将网络物理系统(CPS)安全远程访问解决方案市场定义为能够使员工、承包商或原厂制造商(OEM)能够安全且可靠地远程操作、维护或更新CPS的产品。这些解决方案提供了验证远程用户真实性和授权的强大机制,对用户和系统执行细致访问策略,确保通信安全,并跟踪用户行为的完整性。组织可以在云端、本地部署或混合环境中部署这些解决方案。
传统的远程访问方法,如VPN、跳线盒或IT远程特权访问管理(RPAM)解决方案,缺乏生产环境或关键任务环境中所需的细度性和上下文知识。CPS安全远程访问解决方案通过提供专业功能来解决这些限制,包括:无代理访问、在高延迟或间歇性连接环境中的可靠运行,以及对特定设备的细粒访问,通常使用专有网络协议而非广泛的网络访问。
部署CPS安全远程访问解决方案的核心用例是实现安全和安全的运营。这一用例也称为CPS安全远程操作。
不当或恶意访问CPS可能导致严重的现实后果,包括安全隐患、环境破坏和运营失败。CPS的安全远程访问产品通过防止远程连接的滥用、维护系统的完整性、安全性,以及仅限制即使是已验证的用户只能使用其任务所需的特定设备或应用,从而降低这些风险。
CPS安全远程访问解决方案市场的存在原因包括:
- **安全考虑:**有些公司在恶劣环境中作业或处理危险物质,因此远程管理比实体在场更有利于保护人体健康和环境。
- **合同义务:**OEM常在销售合同中强制要求远程访问以支持服务水平协议(SLA),因为在每个地点全天候配备现场支持团队并不切实际。这些OEM还必须确保员工只能访问授权系统。
- 地理分散**的配置:**在公用事业等垂直领域,变电站可能分布在全国各地,导致无法亲自维护。
- **成本/生产力压力:**组织通过远程支持多个运营环境,优化劳动力资源并降低差旅成本,这对成本控制和生产力至关重要。
- **竞争压力:**自动化和提升产出质量与数量的推动使远程资产管理成为市场的关键差异化因素。
- **生产运行时间和设备维护/升级:**保持生产和关键任务环境的运行不受干扰的能力是保持竞争力的关键因素。
- **技术劳动力压力:**全球生产工程师和工业维护专业人员的稀缺和高成本常常需要远程操作。
- **新工程师和维护人员的培训:**为应对熟练劳动力的不足,组织越来越依赖虚拟培训,使用CPS的安全远程访问解决方案来支持这些工作。
必备功能
CPS安全远程访问解决方案的强制性功能包括:
- **认证与验证:**在授予访问权限前,对每个用户、设备、资产和连接进行身份验证和验证。
- **审批工作流程:**只有在通过特定工作流程获得相关利益相关者的事先批准后,才允许远程访问。
- **密码保管:**在不直接分享密码的情况下,允许访问锁定设备。
- **基于最小权限的细粒访问控制:**定义精确的访问策略,明确用户可以访问哪些内容(例如特定设备、应用程序和数据)、何时可以访问(基于时间的访问)以及在何种条件下。
- **支持第三方访问:**促进外部供应商、承包商和员工的安全访问。
- 时间**敏感功能:**仅允许在预定时间内连接,且持续时间特定,和/或自动超时/暂停闲置过久的会话。
- **全面的监控、日志和审计:**实时跟踪、记录和记录会话;审计用户活动和连接,提供可视性、问责性以及合规和安全管理的完整审计轨迹。使生产工程师能够根据需要监控和终止会话。
- **法规合规支持:**帮助组织满足各种行业标准和法规要求或框架,如IEC 62443、NIST SP 800-82 Rev3、NIS2、NERC-CIP、NIST CSF或ISO 27001。
- **身份与访问管理(IAM)集成:**通过包含或集成现有身份提供者(如 Microsoft Azure Active Directory、Okta 和 Ping Identity)来管理用户身份和访问,以加强安全性并集中控制。
- **多因素认证(MFA):**要求多种认证方式来验证用户身份。
- **无代理访问:**无需在CPS资产或远程终端安装软件即可访问,简化部署并减少干扰。
- **网关终止与检查:**在安全网关处终止所有CPS协议会话,例如Modbus、DNP3和开放平台通信统一架构(OPC UA),以实现深度数据包检查并执行安全策略。
- **兼容多种环境:**连接任何CPS(如PLC、HMI、SCADA或DCS),并支持现有工业机器的原生协议。
- **灵活部署模式:**提供本地、云或混合模式以满足运营需求。
共同特征包括:
- 带恶意软件扫描的安全文件传输
- 增强的多重身份验证功能,如生物识别验证、动态上下文或连续自适应多重身份验证以及支持国防部(DOD)通用访问卡(CACs)的单点登录(SSO)代理功能。
- 存储在一次写入、仅附加存储库(WORM)或硬件安全模块支持系统中的防篡改审计日志,并通过日志完整性检查确保真实性。
- 通过第三方或服务提供商账户的独立保险库和策略实现OEM和供应商账户隔离,访问权限有限且时间限制。
市场描述
传统的远程访问方法,如VPN、跳线盒,或新兴的IT远程访问方式 特权访问管理(RPAM)产品缺乏生产或关键任务环境中所需的细致性和上下文知识。 CPS安全远程访问产品通过提供专业功能来解决这些限制,包括:无代理访问、在高延迟或间歇性连接环境中的可靠运行,以及对特定设备的细粒访问,通常使用专有网络协议而非广泛的网络访问。
不当或恶意访问CPS可能导致严重的现实后果,包括安全隐患、环境破坏和运营失败。CPS的安全远程访问产品通过防止远程连接的滥用、维护系统的完整性、安全性和保障,并限制即使是已验证的用户只能使用其任务所需的特定设备或应用(甚至特定任务)来降低这些风险。
随着市场成熟,能够解决具体的运营痛点,而不仅仅是"远程访问",用例也在不断演变:
- **第三方/OEM支持("厂商"问题):**这是主要的使用场景。组织必须向OEM(如西门子或霍尼韦尔)提供支持SLA的访问权限,但不授予其全部网络访问权限。解决方案必须强制执行即时配置(JIT),即仅在特定维护窗口内授予访问权限,并在维护后立即撤销。组织还希望整合每个OEM想要推销的众多产品。
- **"远程操作员"与劳动力灵活性:**受全球熟练工业劳动力短缺的推动,组织利用这些工具让高级工程师远程管理多个实体站点。这需要高保真、低延迟的连接,支持复杂的工程软件。
- **安全监督与培训:**与IT远程访问不同,CPS远程访问通常需要会话的"数字孪生"。本地操作员实时监控远程供应商的操作(会话影子),并保留一个"断线开关",以便在安全受到威胁时立即终止会话。这也用于线上培训新员工。
- **安全文件传输:**将固件更新或补丁文件迁移到隔离的OT区域,同时避免引入恶意软件。越来越多的解决方案将恶意软件扫描嵌入文件传输流程,作为核心功能。
市场方向
CPS安全远程访问市场正准备经历从临时连接转变的关键转变------这种连接常依赖于高风险的VPN、非管理跳跃 服务器,或者像TeamViewer这样的简单远程控制产品------朝向定制化、协议感知型平台。网络安全领导者必须预期,采用速度不仅因安全要求,更因管理复杂分布式工业环境的运营需求而加速。
随着组织认识到传统以IT为中心的远程访问工具缺乏关键任务操作所需的上下文,采用速度将加快。市场正从"安全连接"转向"安全运营"。这种增长源于传统VPN提供的广泛网络访问,这种访问日益被利用,以及企业对更多远程运营的需求。
最受关注的能力是围绕CPS作战现实设计的:
- **协议层级的粒度:**超越网络分段,解析本地工业协议(如Modbus、Profinet、CIP)的解决方案正在取得优势。买家更倾向于能够区分"只读"诊断命令和"写入"命令的工具,从而阻止数据包层级的未经授权更改。
- **会话管理与影子监督:**提供实时监督的技术------生产工程师可以"跟踪"会话并在安全受损时立即终止该程序------正成为标准要求。这种"肩后"能力对于在生产环境中保持安全至关重要。
- **无代理架构:**由于在遗留PLC或RTU上安装软件代理通常不可能或运营风险较高,通过网关或代理运行的无代理产品采用率最高。同样,远程运营商端点使用代理既是安全负担,也是必须避免的行政负担。
- **准时(JIT)配置:**目前正强力推进到临时访问,即仅在特定维护窗口内授予权限,并在之后立即撤销,消除了常驻权限的风险。
市场趋势:
- 竞争: 市场既分裂又整合。我们预计纯游戏之间的竞争将更加激烈 CPS安保厂商(如Claroty、Xage、Cyolo、Dispel)和传统IT业内PAM厂商(如BeyondTrust、Wallix)试图转向CPS安全。 随着厂商寻求将远程访问与更广泛的资产发现和威胁检测平台整合,并购活动可能会增加。
- **买家的需求与行为:**采购中心正在变化且常常不明确。虽然IT安全通常掌握着预算,但运营和工程团队越来越多地扮演"否决票"的角色。买家要求支持混合部署的产品(本地部署用于数据驻留/正常运行时间,云计算实现可扩展性),以及能够在中断或低带宽(DDIL)环境中运行的工具。一个重大行为变化是重点关注"影子访问"发现------识别并保护目前绕过企业防火墙的未公开连接。
- **外部力量:**监管压力是主要的外部驱动力。遵循NERC CIP、IEC 62443和NIS2指令等标准,迫使组织实施严格的审计追踪和会话录制,而这些功能是传统VPN无法高效提供的。此外,运营上需要在多个实体站点整合稀缺人才,迫使组织将远程访问常规化为标准操作程序,而非紧急例外。
市场分析
CPS安全远程访问产品市场的存在原因如下:
- **安全考虑:**部分CPS在恶劣环境中作业或处理危险物质,因此远程管理比实体在场更有利于保护人体健康和环境。
- **合同义务:**OEM常在销售合同中强制要求远程访问以支持服务水平协议(SLA),因为在每个地点全天候配备现场支持团队并不切实际。这些OEM还必须确保员工只能访问授权系统。
- 地理分散**的配置:**在公用事业等垂直领域,变电站可能分布在全国各地,导致无法亲自维护。
- **成本/生产力压力:**组织通过远程支持多个运营环境,优化劳动力资源并降低差旅成本,这对成本控制和生产力至关重要。
- **竞争压力:**自动化和提升产出质量与数量的推动使远程资产管理成为市场的关键差异化因素。
- **生产运行时间和设备维护/升级:**保持生产和关键任务环境的运行不受干扰的能力是保持竞争力的关键因素。
- **技术劳动力压力:**全球生产工程师和工业维护专业人员的稀缺和高成本常常需要远程操作。
- 新**工程师和维护人员培训:**为应对熟练劳动力短缺,组织越来越依赖虚拟培训,使用CPS的安全远程访问产品支持这些工作。
市场正处于快速演变和碎片化的状态,因为以IT为中心的特权访问管理(PAM)厂商,零信任网络访问(ZTNA(国家电邮局))提供者和纯CPS安全初创公司都在争夺职位。
市场正从VPN的广泛网络级连接,转向细粒度、以身份为中心且协议感知的设备级访问连接。它正在以下宏观趋势中演变:
- **摆脱"跳板服务器"架构:**历史上对VPN和跳板服务器的依赖正变得越来越不安全且操作复杂。一个关键趋势是向无代理、反向代理架构的转变,无需在脆弱的遗留CPS资产(如PLC或RTU)上安装软件或重新设计防火墙。
- **"影子访问"的发现:**一个主要的新兴领域涉及"访问发现"。组织意识到,未公开的远程连接(通常由OEM或员工在缺乏政策和治理的情况下安装)渗透到他们的现场站点。供应商越来越多地将访问功能与资产发现捆绑在一起,以便在保障这些"影子"连接之前对这些"影子"连接进行盘点。
- 协议层级细度:市场在提供通用网络隧道(以IT为中心的PAM)和提供工业协议深度包检测(DPI)的产品之间分裂。主流产品现在可以解析命令(例如Modbus的"写"与"read")以强制执行安全,防止远程用户发出危险指令。
- 战略整合: 我们观察到合作伙伴关系和并购能力的趋势。 CPS保护平台(如Claroty和Armis)正在整合安全访问,提供统一的"评估与保护"仪表盘,而传统IT厂商(如BeyondTrust和Zscaler)则调整其平台以支持工业协议和"准时"访问模式。
代表性供应商
本市场指南中列出的供应商并不意味着一份详尽的名单。本节旨在更好地理解市场及其产品。
供应商选择
CPS安全远程访问市场由众多拥有独特技术传承的供应商支持,为买家提供基于平台广度、物理安全和创新的选择。
- SASE供应商利用云原生架构,将其企业级零信任网络接入策略(ZTNA)扩展到工厂车间。
- IT传统PAM厂商通过采用成熟的凭证保管和会话录制引擎来满足行业合规需求,进入市场。
- 基于CPS的本地和以资产为中心的供应商利用其CPS保护平台中的资产可视化能力,将连接策略与CPS资产的风险态势连接起来。
- 连接和硬件专家源于机器制造商(OEM)对简洁性的需求,提供为非IT人员设计的"即插即用"硬件和软件生态系统,或来自"基于物理"的细分领域,利用硬件强制的单向网关访问外部威胁的空中间隙关键资产。
- 创新者和架构颠覆者正在重新定义边界本身,利用移动目标防御(MTD)持续循环基础设施,采用"网络隐形"技术使资产隐形,依赖去中心化网格架构在干扰环境中增强韧性,强调"无信任"架构以保持身份在本地,或专注于完全消除静态密钥。
