Acces la distanță fără expunere la riscuri: o companie de utilități energetice își deschide sistemele OT, eliminând totodată riscurile

Asigurarea accesului la distanță într-un mediu OT este, prin natura sa, o sarcină complexă. Era necesar să se găsească un echilibru între disponibilitate, siguranță și viteză, protejând în același timp sistemele de control vechi, care nu au fost concepute pentru conectivitatea modernă. Inginerii interni și furnizorii externi aveau nevoie de acces frecvent pentru configurare, întreținere și gestionarea incidentelor, însă fiecare conexiune la mediul OT mărind suprafața de atac.

Compania se baza pe rețele VPN învechite și pe instrumente generice de acces la distanță care extindeau încrederea la nivel de rețea în zone OT sensibile. Odată conectați, utilizatorii aveau adesea o vizibilitate și un acces mai extinse decât era necesar, creând un risc pe care echipa de securitate nu îl putea controla sau monitoriza cu ușurință.

5 provocări cheie

1. Acces excesiv: conexiunea prin VPN a oferit acces extins la rețea, în loc să limiteze utilizatorii la anumite resurse OT sau ecrane
2. Vizibilitate limitată asupra sesiunilor: echipele de securitate nu puteau vedea ce făceau utilizatorii în timpul sesiunilor RDP active și nu puteau interveni în timp real
3. Riscul de deplasare laterală: odată ajunși în interior, utilizatorii ar putea să se deplaseze între segmentele OT, mărind astfel raza de acțiune a exploziei
4. Porturi deschise în firewall: cerințele privind accesul de intrare au creat puncte de vulnerabilitate permanente în infrastructura critică
5. Provocări legate de audit și conformitate: Demonstrarea identității utilizatorilor care au accesat anumite sisteme, a duratei accesării și a acțiunilor efectuate a necesitat efort manual și jurnale fragmentate

Impactul asupra activității și operațiunilor

• Creșterea riscului cibernetic pentru mediile SCADA, DCS, HMI și PLC

• Răspuns mai lent în timpul intervalelor de întreținere și în cazul incidentelor cauzate de soluțiile alternative de acces

• Presiunea tot mai mare asupra CISO de a demonstra existența unor controale mai stricte și a pregătirii pentru audit

• Încredere redusă în faptul că accesul la distanță respectă principiile drepturilor minime

Compania de utilități avea nevoie de o soluție de acces la distanță special concepută pentru rețeaua OT, care să aplice principiul „privilegiilor minime”, să elimine expunerea la atacuri din exterior și să asigure o auditabilitate completă fără a încetini operațiunile. Echipele de securitate și OT au convenit încă de la început asupra unui principiu clar: accesul la distanță trebuie să sprijine activitatea tehnică de zi cu zi fără a acorda acces neautorizat la rețeaua OT propriu-zisă. Orice soluție trebuia să reducă riscul cibernetic în mod implicit, rămânând în același timp practică pentru ingineri, operatori și furnizori terți care lucrează în mai multe locații.

Pentru a înlocui în siguranță accesul prin VPN, utilitarul a stabilit următoarele criterii:

• Control granular al RDP: Permiteți inginerilor să acceseze interfețele HMI și instrumentele de diagnosticare bazate pe Windows fără a le acorda acces la întreaga rețea sau privilegii nelimitate

• Aplicarea principiului privilegiului minim: utilizatorii ar trebui să poată vizualiza și interacționa numai cu resursele aprobate în mod explicit, fără posibilitatea de a accesa alte resurse

• Trasabilitate riguroasă: fiecare sesiune trebuie înregistrată, arhivată dacă este necesar și asociată unui utilizator, unui activ și unui interval de timp specific

• Fără expunere a firewall-ului la intrare: accesul de la distanță trebuie să funcționeze fără a deschide porturi către rețelele OT

• Compatibilitate operațională pentru OT: Soluția trebuie să fie compatibilă cu sistemele existente, să reducă la minimum modificările arhitecturale și să evite întreruperile de funcționare în timpul implementării

Soluția a redus riscurile asociate accesului la distanță în mediile OT și a îmbunătățit controlul operațional prin trecerea de la accesul la nivel de rețea la o conectivitate RDP bazată pe sesiuni și reglementată prin politici. Accesul la distanță în mediile OT a devenit controlat, auditabil și izolat prin design. Inginerii și furnizorii s-au putut conecta exact la sistemele de care aveau nevoie, atunci când aveau nevoie de ele, fără a expune rețeaua OT în ansamblu și fără a deschide porturi de intrare în firewall.

Compania a implementat MetaDefender Access™ ca o poartă de acces la distanță securizată, concepută special pentru mediile OT. În loc să extindă accesul prin VPN la rețelele de control, platforma a impus un acces la nivel de sesiune, cu controale stricte privind vizibilitatea și politicile, adaptate rolurilor operaționale.

Cele 5 elemente cheie ale soluției

1. Acces RDP granular la sistemele OT d
   Inginerilor li s-a acordat acces RDP numai la interfețele HMI bazate pe Windows, stațiile de lucru de inginerie sau sistemele de diagnosticare aprobate. Politicile au stabilit ce acțiuni erau permise în timpul fiecărei sesiuni, reducând riscul de utilizare abuzivă sau de modificări accidentale.
2. Aplicarea principiilor „line-of-sight” și „privilegiul minim”
   Utilizatorii puteau vedea și interacționa doar cu resursele care le-au fost alocate în mod explicit. Nu existau posibilități de a naviga în rețeaua OT sau de a se deplasa lateral între sisteme.
3. Conectivitate securizată exclusiv în direcția de ieșire
   Poarta de acces OT a inițiat conexiuni TLS exclusiv în direcția de ieșire, eliminând necesitatea de a deschide porturi de intrare în firewall și reducând suprafața de atac a infrastructurii critice.
4. Monitorizarea, înregistrarea și arhivarea sesiunilor
   Toate sesiunile la distanță au fost înregistrate și, acolo unde a fost necesar, arhivate. Echipele OT și de securitate au putut supraveghea sesiunile în timp real sau analiza activitatea ulterior, în scopul sprijinirii auditurilor și investigațiilor.
5. TransferSecure în medii OT
   Atunci când erau necesare fișiere de configurare, scripturi sau patch-uri, transferurile de fișiere erau integrate cu un sistem de transfer gestionat și cu scanarea malware bazată pe mai multe motoare, pentru a împiedica pătrunderea conținutului rău intenționat în sistemele OT.

Compania a dobândit un control operațional efectiv asupra accesului la distanță la rețelele OT, reducând riscurile și făcând în același timp ca auditurile, operațiunile de întreținere și răspunsul la incidente să fie mai rapide și mai previzibile. Îmbunătățirile operaționale au fost imediate și vizibile la nivelul echipelor de securitate, OT și conformitate. Accesul la distanță a încetat să mai fie un punct nevralgic și a devenit un proces reglementat și repetabil.

Îmbunătățiri operaționale

• Reducerea expunerii la atacuri din exterior: eliminarea porturilor de intrare din firewall prin tuneluri TLS destinate exclusiv traficului de ieșire, reducând astfel suprafața de atac externă

• O gestionare mai strictă a accesului: inginerii și furnizorii au avut acces doar la sistemele aprobate, fără posibilitatea de a se deplasa lateral

• Audituri mai rapide: jurnalele de sesiune și înregistrările au înlocuit colectarea manuală a probelor

• Răspuns îmbunătățit la incidente: echipele pot acorda rapid acces limitat în timp, fără a slăbi măsurile de securitate

Impactul asupra echipelor

• Echipele de securitate au dobândit încrederea că accesul la distanță respectă principiile „privilegiilor minime” și „zero-trust”

• Echipele OT au dedicat mai puțin timp gestionării excepțiilor de acces și mai mult timp întreținerii sistemelor

• Conducerea a avut certitudinea că riscurile legate de accesul la distanță erau ținute sub control, fără a afecta timpul de funcționare

Odată cu implementarea accesului la distanță controlat pentru rețeaua operațională (OT), compania de utilități este pregătită să extindă accesul securizat prin RDP și să integreze jurnalele și înregistrările sesiunilor RDP în operațiunile de securitate la scară mai largă. Pe măsură ce compania continuă să-și modernizeze și să-și digitalizeze operațiunile, se preconizează că cerințele privind accesul la distanță vor crește, atât ca volum, cât și ca amploare. În loc să introducă noi soluții punctuale, organizația intenționează să se bazeze pe aceeași structură de control al accesului pentru a menține coerența și a reduce complexitatea operațională.