Mô hình Zero Trust trong Công nghệ Vận hành: Những yêu cầu của Hướng dẫn mới từ CISA đối với kiến trúc bảo mật của bạn

Mô hình Zero Trust cho OT (công nghệ vận hành) là một kiến trúc bảo mật loại bỏ sự tin cậy ngầm định trong các mạng công nghiệp, yêu cầu mọi người dùng, thiết bị và quá trình truyền dữ liệu phải được xác thực liên tục dựa trên danh tính, bối cảnh và mức độ rủi ro trước khi được cấp quyền truy cập vào bất kỳ hệ thống vận hành hoặc quy trình vật lý nào. Khác với lĩnh vực CNTT, mô hình Zero Trust cho OT phải hoạt động mà không làm gián đoạn các hoạt động liên tục, hệ thống an toàn hoặc thiết bị cũ không thể chạy các phần mềm bảo mật hiện đại.

Năm cơ quan chính phủ Hoa Kỳ: CISA (Cơ quan An ninh Mạng và Cơ sở Hạ tầng), Bộ Quốc phòng, Bộ Năng lượng, Cục Điều tra Liên bang (FBI) và Bộ Ngoại giao, đã công bố tuyên bố có tính chất chính thức nhất từ trước đến nay về an ninh mạng trong lĩnh vực công nghiệp: “Áp dụng các nguyên tắc Zero Trust vào Công nghệ Vận hành”. Thông điệp này rất rõ ràng. Zero Trust không còn là một khung làm việc dành riêng cho môi trường CNTT. Giờ đây, đây là tư thế an ninh được kỳ vọng đối với mọi tổ chức vận hành các hệ thống OT, từ lưới điện đến các cơ sở xử lý nước và các cơ sở của chính phủ.

Nếu bạn là một nhà lãnh đạo an ninh CNTT đang đọc bài viết này, câu hỏi không phải là liệu mô hình Zero Trust có phải là hướng đi đúng đắn hay không. Mà là làm thế nào để bạn thu hẹp khoảng cách giữa các yêu cầu tuân thủ và kiểm toán theo quy định của chính phủ với thực trạng của một cơ sở đang vận hành thiết bị đã cũ kỹ hàng chục năm, một đội ngũ nhân sự quá tải, và ban lãnh đạo đang chất vấn về những biện pháp bạn đang thực hiện để giải quyết vấn đề này. Bài viết này sẽ giải đáp điều đó: những yêu cầu cụ thể mà hướng dẫn của CISA đặt ra cho từng trụ cột, và nền tảng OPSWAT đáp ứng từng yêu cầu đó như thế nào.

Hướng dẫn này nêu ra ba trụ cột mà mọi chương trình OT Zero Trust đều phải tập trung vào: khả năng quan sát toàn diện các tài sản, hệ thống IAM (quản lý danh tính và quyền truy cập) vững chắc, và quản lý rủi ro chuỗi cung ứng chủ động. Hướng dẫn cũng chỉ ra các đối tượng đe dọa đang tạo ra sự cấp bách — đó là các nhóm liên quan đến nhà nước như Volt Typhoon, mà CISA đã phát hiện đang cài đặt sẵn các điểm truy cập bên trong các mạng OT nhằm duy trì sự hiện diện lâu dài và chờ đợi thời điểm kích hoạt.

Trong lĩnh vực CNTT, mô hình Zero Trust được triển khai thông qua phần mềm — bao gồm các nhà cung cấp dịch vụ xác thực, các trình điều khiển đầu cuối và các chính sách truy cập có thể cập nhật chỉ trong vài giờ. Môi trường OT hoạt động trong những điều kiện hạn chế khiến các phương pháp CNTT trực tiếp trở nên không khả thi: các PLC (Bộ điều khiển logic lập trình) cũ với vòng đời 20 năm không thể chạy các tác nhân xác thực hiện đại, các yêu cầu nghiêm ngặt về thời gian hoạt động liên tục trong đó một gói tin phát hiện có thể gây ra sự ngừng hoạt động ngoài kế hoạch, và mối liên hệ trực tiếp giữa an ninh mạng và an toàn vật lý mà CNTT đơn giản là không có.

Hướng dẫn của CISA đã thẳng thắn đề cập đến những hạn chế này. Việc triển khai mô hình Zero Trust trên các hệ thống cơ sở hạ tầng công nghiệp đã cũ kỹ đòi hỏi nhiều năm và nguồn đầu tư đáng kể. Sự mâu thuẫn đó là có thật.

Điều mà hướng dẫn này làm rõ là môi trường đe dọa sẽ không chờ đợi cho đến khi các kế hoạch đó hoàn thiện. Khi các hệ thống OT ngày càng được kết nối chặt chẽ với mạng IT và được giám sát từ xa, giả định truyền thống về “khoảng cách cách ly” (air-gap) không còn phù hợp nữa. Những kẻ tấn công đã kịp thích nghi. Các biện pháp kiểm soát mà các tổ chức triển khai ngay từ hôm nay — dù chỉ là những bước nhỏ — sẽ quyết định mức độ phơi bày của diện tích tấn công trong khi quá trình chuyển đổi dài hạn vẫn đang diễn ra. Câu hỏi không phải là liệu có nên bắt đầu hay không, mà là bắt đầu từ đâu.

Hướng dẫn của CISA xác định ba ưu tiên hàng đầu cho mô hình Zero Trust trong lĩnh vực OT: khả năng theo dõi toàn diện các tài sản, hệ thống quản lý danh tính và quyền truy cập vững chắc, cùng với việc quản lý rủi ro chuỗi cung ứng chủ động. Tài liệu này cũng chỉ ra các tác nhân đe dọa cụ thể — Volt Typhoon và các nhóm có liên kết với nhà nước — đang lợi dụng những lỗ hổng mà các biện pháp kiểm soát này được thiết kế để khắc phục.

Nền tảng OPSWAT được xây dựng chính xác để phục vụ mục đích này. Khả năng phát hiện tài sản OT một cách thụ động mà không cần chạm vào bất kỳ thiết bị nào. Cơ chế cách ly Hardware, khiến toàn bộ các loại hình tấn công từ xa trở nên hoàn toàn bất khả thi về mặt vật lý. Công nghệ Deep CDR™ được áp dụng tại mọi điểm truyền tệp — mạng, USB, truyền dữ liệu. Việc thực thi chính sách xác thực và quyền truy cập được thực hiện ngay tại cấp độ phiên làm việc trước khi bất kỳ kết nối nào tiếp cận hệ thống điều khiển.

Trong môi trường OT, khả năng hiển thị tài sản có nghĩa là duy trì một danh mục đầy đủ và được cập nhật liên tục về mọi thiết bị trên mạng công nghiệp — bao gồm các PLC thế hệ cũ, RTU (Thiết bị đầu cuối từ xa) và HMI (Giao diện người-máy) — cùng với các phiên bản phần mềm nhúng và giao thức, thông qua các phương pháp giám sát thụ động không tạo ra lưu lượng có thể gây gián đoạn cho các hệ thống điều khiển nhạy cảm.

Đây chính là nơi mà hầu hết các chương trình bảo mật OT đều tồn tại lỗ hổng lớn nhất chưa được khắc phục; và nguyên nhân nằm ở kiến trúc hệ thống, chứ không phải do tổ chức. Industrial được xây dựng dựa trên một tập hợp thiết bị hoàn toàn khác biệt so với môi trường CNTT. Một mạng OT điển hình bao gồm PLC, RTU, bộ điều khiển DCS, cảm biến, rơle, HMI, máy trạm kỹ thuật và một lớp thiết bị IIoT ngày càng phát triển, mỗi thiết bị giao tiếp theo giao thức chính xác mà nó được thiết kế: Modbus, EtherNet/IP, DNP3, PROFINET, OPC-UA và hàng chục biến thể độc quyền. Các công cụ phát hiện CNTT tiêu chuẩn không thể phân tích các giao thức này. Chúng không hiểu ngữ nghĩa của mã chức năng Modbus, không thể giải thích đối tượng dữ liệu DNP3 và không có mô hình để phân biệt hành vi bình thường với hành vi bất thường trong trao đổi tin nhắn ngầm EtherNet/IP. Khi các công cụ đó gặp phải các thiết bị OT, chúng sẽ trả về dữ liệu không đầy đủ hoặc tạo ra lưu lượng truy cập bất ngờ mà thiết bị nhận không được thiết kế để xử lý.

Kết quả thứ hai này không phải là giả định. Việc quét chủ động trong môi trường OT đã gây ra các sự cố gián đoạn quy trình không mong muốn và tình trạng khóa thiết bị tại các cơ sở sản xuất. Đây chính là lý do tại sao hướng dẫn của CISA khuyến nghị sử dụng giám sát thụ động như phương pháp phù hợp để phát hiện tài sản OT, và tại sao khuyến nghị này là không thể thương lượng trong các môi trường có yêu cầu nghiêm ngặt về thời gian hoạt động liên tục. Việc thu thập dữ liệu thụ động, được triển khai qua các TAP mạng hoặc cổng SPAN, lắng nghe lưu lượng truy cập mà không đưa vào các truy vấn có thể làm gián đoạn các hệ thống điều khiển nhạy cảm. Phương pháp này quan sát những gì đang được truyền tải, cách thức truyền tải và tình trạng bình thường trông như thế nào, mà không cần chạm vào bất kỳ thiết bị nào trên mạng được giám sát.

Vấn đề về phạm vi giám sát mà phương pháp này phải giải quyết càng trở nên phức tạp do bản chất của các mô hình giao tiếp OT. Nhiều thiết bị chỉ giao tiếp trong các sự kiện vận hành cụ thể: một PLC có thể chỉ truyền dữ liệu trong chu kỳ sản xuất, một rơle có thể chỉ báo cáo khi xảy ra sự cố, còn cảm biến hiện trường có thể tạo ra lưu lượng dữ liệu theo đợt ngắt quãng, xen kẽ với những khoảng thời gian im lặng kéo dài. Một cửa sổ giám sát không tính đến toàn bộ các chế độ hoạt động sẽ tạo ra một danh mục không đầy đủ — và các tài sản bị thiếu trong danh mục đó chính là những tài sản không thể được bảo vệ, phân đoạn hoặc giám sát. Theo dữ liệu SANS 2025 về tình trạng an ninh mạng ICS/OT, khả năng hiển thị tài sản vẫn là ưu tiên hàng đầu về đầu tư an ninh cho các tổ chức công nghiệp, nhưng chỉ có ít hơn 1/8 báo cáo có khả năng hiển thị đầy đủ trên toàn bộ môi trường của họ, từ truy cập mạng ban đầu cho đến tác động tiềm ẩn lên các quy trình vật lý. Khoảng cách này không phải là vấn đề về tài chính. Đó là vấn đề về phương pháp luận.

Volt Typhoon chính xác là đã khai thác lỗ hổng này. Phương thức hoạt động đã được ghi nhận của nhóm này bao gồm việc ngụy trang thành các hoạt động mạng bình thường — bằng cách sử dụng các giao thức hợp pháp, các đường dẫn được phép và các công cụ quản trị tiêu chuẩn — để thiết lập quyền truy cập lâu dài bên trong các môi trường OT. Nếu không có cái nhìn toàn diện về những gì đang diễn ra trên mạng và hành vi bình thường trông như thế nào, những kỹ thuật này thực tế là không thể phát hiện được.

MetaDefender Security™, nền tảng bảo mật OT OPSWAT, giải quyết vấn đề này thông qua tính năng phát hiện tài sản thụ động và phân tích sâu các giao thức OT. Bằng cách theo dõi lưu lượng mạng thay vì tạo ra lưu lượng đó, nền tảng này xây dựng danh mục tài sản đầy đủ và cơ sở dữ liệu hành vi mà không cần can thiệp vào các thiết bị đang được giám sát — đồng thời cung cấp các tính năng quản lý lỗ hổng và bản vá, cùng báo cáo tuân thủ trong một giao diện chuyên dụng cho OT. Các phiên kết nối bất thường, giao tiếp thiết bị không mong đợi và các tương tác giao thức trái phép đều có thể được phát hiện — trước khi chúng leo thang gây ảnh hưởng đến hoạt động.

Thách thức lớn nhất về Quản lý Danh tính và Quyền truy cập (IAM) trong lĩnh vực Công nghiệp (OT) là việc các kẻ tấn công ngày càng sử dụng các đường dẫn truy cập hợp pháp — thông tin đăng nhập hợp lệ, các phiên làm việc từ xa được ủy quyền và các công cụ kỹ thuật tiêu chuẩn — thay vì khai thác lỗ hổng phần mềm. Các đối tượng có liên quan đến Iran được đề cập trong một thông báo chung gần đây của FBI và CISA đã kết nối với các bộ điều khiển logic lập trình (PLC) kết nối internet thông qua các cổng giao tiếp công nghiệp tiêu chuẩn và tương tác với các hệ thống điều khiển như thể chúng là các nhà điều hành được ủy quyền.

Giải pháp truy cập từ xa được triển khai rộng rãi nhất trong các môi trường OT – VPN – mang đến một loại rủi ro mang tính cấu trúc, chứ không phải do cấu hình. VPN thiết lập kết nối trực tiếp ở cấp độ mạng, phá vỡ sự cách ly theo thứ bậc của Mô hình Purdue, đưa các nhà cung cấp bên thứ ba vào các phân đoạn mạng điều khiển mà không có kiểm soát phiên chi tiết cũng như không có cơ chế để thực thi nguyên tắc đặc quyền tối thiểu. Bất kỳ thiết bị nào bị xâm phạm hoặc an toàn ở đầu nhà cung cấp của đường hầm đó đều kế thừa một đường dẫn mạng trực tiếp đến các hệ thống sản xuất. Đối với các thiết bị đầu cuối OT cũ không có khả năng xác thực gốc, mức độ rủi ro càng gia tăng. Các thiết bị này không thể ghi lại các sự kiện truy cập, không thể thực thi các chính sách phiên và không thể chấm dứt các kết nối trái phép. Bất kỳ biện pháp thực thi nào tồn tại cũng phải nằm hoàn toàn ở phía thượng nguồn của thiết bị, nếu không thì nó không tồn tại. MetaDefender Industrial , tường lửa công nghiệp OPSWAT dành cho mạng OT, giải quyết trực tiếp vấn đề phân đoạn — thực thi phân đoạn dựa trên vùng và kiểm soát chuyển động ngang ngay cả khi phiên nhà cung cấp đã ở trong mạng.

Hướng dẫn của CISA đã chỉ ra rõ ràng hậu quả của việc bỏ qua vấn đề này. Các tác nhân đe dọa có liên quan đến nhà nước đã tiếp cận và điều khiển các PLC kết nối với internet thông qua các cổng giao tiếp công nghiệp tiêu chuẩn, không phải bằng cách khai thác lỗ hổng phần mềm, mà chỉ đơn giản là kết nối theo cách mà một người vận hành được ủy quyền sẽ thực hiện. Thông tin đăng nhập trông hoàn toàn hợp lệ. Các giao thức cũng diễn ra như dự kiến. Không có dấu hiệu nào báo động về phiên kết nối này, bởi vì không có cơ chế nào được triển khai để đánh giá tính hợp lệ của phiên kết nối ở lớp truy cập.

MetaDefender OT Access Zero Trust ở cấp độ phiên làm việc, trước khi bất kỳ kết nối nào tiếp cận tài sản OT. Mỗi phiên làm việc từ xa, dù là kỹ sư nội bộ, khung thời gian bảo trì theo lịch trình của nhà sản xuất (OEM) hay nhà thầu bên thứ ba kết nối lần đầu tiên, đều được xác thực riêng biệt, giới hạn phạm vi truy cập ở mức tối thiểu cần thiết, có thời hạn và được ghi lại đầy đủ. Các phiên làm việc được ghi lại, giám sát liên tục và có thể bị ngắt kết nối ngay lập tức nếu hành vi vượt ra ngoài các thông số dự kiến. Không có quyền truy cập mạng thường trực, đường hầm hoặc đường dẫn liên tục đến các tài sản ngoài những gì phiên làm việc cụ thể đó yêu cầu rõ ràng. Đối với các thiết bị cũ không thể tham gia xác thực hiện đại, MetaDefender OT Access việc thực thi tại lớp quản lý kết nối, do đó, việc kiểm soát vẫn tồn tại bất kể thiết bị đó có khả năng gì.

Trong lĩnh vực OT, rủi ro chuỗi cung ứng bao gồm cả các sự kiện truyền tải dữ liệu dưới dạng kỹ thuật số và vật lý: các bản cập nhật phần mềm được phân phối qua mạng, máy tính xách tay của nhà cung cấp được mang vào cơ sở, phần mềm cơ sở được cài đặt từ USB , và các tệp kỹ thuật được chuyển từ bộ phận CNTT sang các mạng điều khiển cách ly hoàn toàn. Mỗi trường hợp này đều tiềm ẩn nguy cơ đưa nội dung độc hại vào hệ thống; một khi hệ thống bị xâm nhập, điều này có thể ảnh hưởng trực tiếp đến các quy trình vật lý.

Trước khi bất kỳ thành phần phần mềm nào tiếp cận ranh giới OT, tính toàn vẹn của nó phải đã được xác minh. MetaDefender Software Chain™ giải quyết vấn đề này ở phía CNTT của chuỗi chuyển giao — xác thực các công cụ kỹ thuật, gói phần mềm nhúng và bản cập nhật phần mềm công nghiệp do nhà cung cấp cung cấp dựa trên dữ liệu SBOM, xác nhận các thành phần chưa bị can thiệp trong quá trình truyền tải, đồng thời phát hiện các thành phần chưa xác định trước khi chúng được phép chuyển giao. Khi một tệp đến điểm Kiosk hoặc quy trình MFT , nó đã vượt qua kiểm tra tính toàn vẹn ở lớp IT. Do đó, các biện pháp kiểm soát tại ranh giới chỉ củng cố một quyết định đã được đưa ra, chứ không phải bù đắp cho một quyết định chưa bao giờ được thực hiện.

Đây là diện tích tấn công mà các biện pháp kiểm soát dựa trên mạng không thể giải quyết triệt để — nhưng việc thực thi ở lớp mạng vẫn đóng vai trò quan trọng một khi nhà cung cấp đã xâm nhập vào hệ thống.Firewall Industrial MetaDefender Firewall then chốt trong việc kiểm tra nội dung thực tế của giao thức công nghiệp trong mỗi phiên kết nối của nhà cung cấp. Ngay cả khi kết nối của bên thứ ba đã được ủy quyền, tường lửa vẫn xác thực xem các lệnh có nằm trong phạm vi mã chức năng và giá trị dự kiến cho phiên đó hay không — từ đó chặn các lệnh độc hại từ công cụ của nhà cung cấp bị xâm nhập hoặc bản cập nhật bị can thiệp ngay lập tức. Nó cũng thực thi các đường truyền thông tin nghiêm ngặt: một thiết bị được kết nối với nhà cung cấp chỉ có thể truy cập vào các hệ thống cụ thể mà nó được chỉ định, ngăn chặn mọi sự xâm nhập vào chuỗi cung ứng trước khi nó có thể di chuyển ngang qua các vùng OT. Và đối với các CVE đã biết trong các thành phần OT mà bản vá của nhà cung cấp chưa được phát hành — điều thường mất vài tháng trong OT —Firewall Industrial Firewall các bản vá ảo ở cấp độ mạng, chặn các hành vi khai thác mà không cần chạm vào thiết bị.

MetaDefender , giải pháp bảo mật phương tiện lưu trữ di động OPSWAT, chặn và kiểm tra mọi phương tiện lưu trữ di động trước khi chúng được đưa vào khu vực an toàn. Mỗi tệp đều được quét qua Metascan™ Multiscanning hơn 30 công cụ chống phần mềm độc hại, được đánh giá bởi Predictive Alin AI để phát hiện zero-day trước khi thực thi và được xử lý qua Deep CDR™ Technology, công nghệ này tái cấu trúc tệp về trạng thái an toàn đã biết — loại bỏ các mối đe dọa ẩn trong khi vẫn giữ nguyên nội dung hợp pháp mà kỹ thuật viên cần để thực hiện công việc của mình. MetaDefender Media Firewall, giải pháp thực thi quét phương tiện lưu trữ di động OPSWAT, mở rộng khả năng thực thi này đến USB ở cấp độ điểm cuối — áp dụng xác thực dựa trên phần cứng để đảm bảo chỉ các phương tiện lưu trữ di động đã được quét và phê duyệt bởi MetaDefender Kiosk kết nối với máy trạm được bảo vệ, bất kể vị trí của nó trong cơ sở. MetaDefender , giải pháp bảo vệ điểm cuối tiên tiến OPSWAT, được triển khai trên các điểm cuối quan trọng để xác thực xem các tệp từ thiết bị phương tiện di động có được MetaDefender Kiosk quét và xử lý trước hay không. Điều này đảm bảo rằng chỉ các tệp đã được xác thực mới có thể được mở, sao chép hoặc truy cập bởi điểm cuối, và các tệp trái phép hoặc chưa được quét sẽ bị chặn không cho xâm nhập vào các môi trường quan trọng.

Đối với các luồng dữ liệu vượt qua ranh giới mạng — từ mạng CNTT sang mạng OT, hoặc từ các hệ thống kết nối đám mây sang các môi trường điều khiển cách ly — MetaDefender Diode™, giải pháp "data diode" OPSWAT, cung cấp luồng dữ liệu một chiều được bảo đảm bằng phần cứng. Điều này bao gồm các dữ liệu vận hành như giá trị lịch sử, dữ liệu từ xa của cảm biến, dữ liệu quy trình được truyền từ mạng OT ra các hệ thống CNTT, nền tảng phân tích hoặc hạ tầng đám mây nhằm mục đích giám sát và báo cáo. Không có lệnh đến, yêu cầu kết nối, cập nhật phần mềm hoặc tải trọng nào có thể vượt qua ranh giới theo hướng ngược lại. Đảm bảo an ninh không phụ thuộc vào cấu hình chính xác, phần mềm được vá lỗi thường xuyên hoặc tính toàn vẹn của thông tin đăng nhập, bởi vì không có yếu tố nào ở lớp phần mềm có thể vượt qua hạn chế của phần cứng. Đối với các tổ chức vận hành các hệ thống điều khiển cũ không thể nâng cấp, không thể chạy các tác nhân điểm cuối và không thể chấp nhận thời gian ngừng hoạt động do bảo mật, đây là kiến trúc mà hướng dẫn của CISA và cộng đồng bảo mật công nghiệp rộng lớn hơn đã thống nhất là câu trả lời kỹ thuật thích hợp.

MetaDefender File Transfer™ (MFT) đáp ứng nhu cầu chuyển tệp có cấu trúc cho các tổ chức cần di chuyển tệp hoạt động giữa các vùng với khả năng kiểm tra toàn diện, ghi nhật ký kiểm toán và kiểm soát quy trình làm việc. Giải pháp này thực thi việc xác minh nội dung tại mỗi lần chuyển tệp, đảm bảo rằng chính đường dẫn chuyển tệp không trở thành một điểm xâm nhập không được giám sát.

Không phải mọi ranh giới đều có thể được bảo vệ bằng chính sách. Một số ranh giới đòi hỏi phải có biện pháp vật lý. Giải pháp Cross-Domain Solutions (CDS) thiết lập các ranh giới ở cấp độ phần cứng giữa mạng OT và IT, nơi mà không có sai sót cấu hình phần mềm, thông tin đăng nhập bị đánh cắp hay lỗ hổng zero-day nào có thể mở ra đường dẫn xâm nhập. MetaDefender Optical Diode MetaDefender Security Gateway™ đều được chứng nhận Common Criteria EAL4+ và [hỗ trợ tuân thủ các tiêu chuẩn NERC CIP, IEC 62443, NRC 5.71, NIST 800-82 và ISO 27001](opswat) — bộ khung quy định đầy đủ về cơ sở hạ tầng trọng yếu năng lượng, hạt nhân, hóa chất và quốc phòng.

Hướng dẫn của CISA tuân thủ các chức năng của Khung An ninh mạng (CSF) 2.0 của NIST — Quản trị, Xác định, Bảo vệ, Phát hiện, Ứng phó, Phục hồi. Bảng dưới đây đối chiếu từng yêu cầu với OPSWAT tương ứng OPSWAT :

Mô hình Zero Trust trong OT không phải là một sản phẩm mà bạn có thể mua. Hướng dẫn của CISA đã nêu rõ điểm này — các công cụ và công nghệ là cần thiết nhưng không đủ nếu chỉ dựa vào chúng. Điều các tổ chức cần là một nền tảng được xây dựng cho các môi trường nơi tính sẵn sàng, an toàn và tuân thủ là những yếu tố không thể thương lượng. Nền tảng MetaDefender™ OPSWAT cung cấp kiến trúc đó trên toàn bộ phạm vi yêu cầu của CISA — từ hộp thư đến nơi truy cập ban đầu bắt đầu, cho đến ranh giới được bảo vệ bằng phần cứng nơi các lệnh đến các hệ thống quan trọng kết thúc.

Như bảng trên cho thấy, OPSWAT mọi danh mục biện pháp kiểm soát phù hợp với CISA trên tất cả sáu chức năng của NIST CSF 2.0 trong một nền tảng duy nhất — một phạm vi mà không nhà cung cấp chuyên về OT nào có thể sánh kịp. Quý vị đã sẵn sàng đánh giá mức độ tuân thủ của môi trường OT hiện tại so với khung Zero Trust của CISA chưa?

Trò chuyện với chuyên gia →