Zero Trust pentru tehnologia operațională: Ce impune noul ghid al CISA arhitecturii dumneavoastră de securitate

„Zero Trust” pentru OT (tehnologia operațională) este o arhitectură de securitate care elimină încrederea implicită în rețelele industriale, impunând verificarea continuă a fiecărui utilizator, dispozitiv și transfer de date pe baza identității, contextului și riscului, înainte de acordarea accesului la orice sistem operațional sau proces fizic. Spre deosebire de domeniul IT, arhitectura „Zero Trust” pentru OT trebuie să funcționeze fără a perturba operațiunile continue, sistemele de siguranță sau echipamentele vechi care nu pot rula agenți de securitate moderni.

Cinci agenții guvernamentale americane: CISA (Agenția pentru Securitate Cibernetică și Infrastructură), Departamentul Apărării, Departamentul Energiei, FBI și Departamentul de Stat au publicat cea mai autoritară declarație de până acum privind securitatea cibernetică industrială: Adaptarea principiilor Zero Trust la tehnologia operațională. Mesajul este fără echivoc. Zero Trust nu mai este un cadru rezervat mediilor IT. Acum este poziția de securitate așteptată pentru fiecare organizație care operează sisteme OT, de la rețelele energetice la instalațiile de tratare a apei și până la instalațiile guvernamentale.

Dacă sunteți un responsabil cu securitatea OT și citiți aceste rânduri, întrebarea nu este dacă modelul Zero Trust reprezintă direcția corectă. Ci cum puteți reduce decalajul dintre cerințele de conformitate și audit impuse de autorități și o unitate care funcționează cu echipamente vechi de zeci de ani, o echipă suprasolicitată și un consiliu de administrație care vă întreabă ce măsuri luați în acest sens. Acest articol oferă răspunsul: ce prevede de fapt ghidul CISA pentru fiecare pilon și cum se raportează platforma OPSWAT la fiecare dintre acestea.

Ghidul menționează trei piloni pe care orice program OT Zero Trust trebuie să îi abordeze: vizibilitate completă asupra resurselor, un sistem robust de gestionare a identității și accesului (IAM) și gestionarea proactivă a riscurilor din lanțul de aprovizionare. De asemenea, ghidul menționează actorii care determină caracterul urgent al situației — grupuri afiliate statelor naționale, precum Volt Typhoon, pe care CISA le-a observat prepoziționându-se în rețelele OT pentru a-și menține prezența și a aștepta activarea.

În domeniul IT, modelul Zero Trust este implementat prin intermediul software-ului — furnizori de identitate, agenți pentru dispozitive finale și politici de acces care pot fi actualizate în câteva ore. Mediile OT funcționează sub constrângeri care fac ca abordările IT directe să fie imposibil de aplicat: PLC-uri (controlere logice programabile) vechi, cu cicluri de viață de 20 de ani, care nu pot rula agenți de autentificare moderni, cerințe stricte privind timpul de funcționare, în care un pachet de descoperire poate provoca o oprire neplanificată, și o legătură directă între securitatea cibernetică și siguranța fizică pe care IT-ul pur și simplu nu o are.

Ghidul CISA recunoaște deschis aceste constrângeri. Implementarea modelului Zero Trust în cadrul infrastructurii industriale învechite necesită ani de zile și investiții semnificative. Această tensiune este reală.

Ghidul subliniază faptul că mediul de amenințări nu așteaptă ca aceste planuri să se concretizeze. Pe măsură ce sistemele OT devin din ce în ce mai interconectate cu rețelele IT și sunt monitorizate de la distanță, ipoteza tradițională privind izolarea fizică nu mai este valabilă. Atacatorii s-au adaptat deja. Măsurile de control pe care organizațiile le implementează astăzi — chiar și cele incrementale — determină cât de mult din suprafața de atac este expusă pe durata procesului de transformare pe termen lung. Întrebarea nu este dacă să începem, ci de unde.

Ghidul CISA identifică trei priorități pentru modelul Zero Trust în domeniul OT: vizibilitate completă asupra resurselor, gestionarea robustă a identității și a accesului, precum și gestionarea proactivă a riscurilor din lanțul de aprovizionare. De asemenea, ghidul menționează anumiți actori care reprezintă o amenințare — Volt Typhoon, grupuri afiliate statului — care exploatează deja vulnerabilitățile pe care aceste măsuri de control sunt menite să le elimine.

Platforma OPSWAT a fost concepută tocmai pentru acest scop. Identificarea pasivă a resurselor OT fără a atinge niciun dispozitiv. Izolare Hardware, care face ca anumite tipuri de atacuri la distanță să fie fizic imposibile. Tehnologia Deep CDR™ aplicată la fiecare punct de transfer de fișiere — rețea, USB, transfer de date. Controlul identității și al accesului la nivel de sesiune, înainte ca vreo conexiune să ajungă la un sistem de control.

În mediile OT, vizibilitatea activelor înseamnă menținerea unui inventar complet și actualizat în permanență al tuturor dispozitivelor din rețeaua industrială — inclusiv PLC-uri vechi, RTU-uri (unități terminale la distanță) și HMI-uri (interfețe om-mașină) — împreună cu versiunile de firmware și protocoalele, folosind metode de monitorizare pasivă care nu generează trafic ce ar putea perturba sistemele de control sensibile.

Aici se află cea mai mare lacună neadresată a majorității programelor de securitate OT; iar motivele sunt de natură arhitecturală, nu organizațională. Industrial sunt construite în jurul unui set de dispozitive fundamental diferit față de mediile IT. O rețea OT tipică conține PLC-uri, RTU-uri, controlere DCS, senzori, relee, HMI-uri, stații de lucru de inginerie și un strat tot mai mare de dispozitive IIoT, fiecare comunicând în protocolul precis pentru care a fost proiectat: Modbus, EtherNet/IP, DNP3, PROFINET, OPC-UA și zeci de variante proprietare. Instrumentele standard de descoperire IT nu pot analiza aceste protocoale. Ele nu înțeleg semantica unui cod de funcție Modbus, nu pot interpreta un obiect de date DNP3 și nu au un model pentru ceea ce constituie un comportament normal versus unul anormal într-un schimb de mesaje implicit EtherNet/IP. Când aceste instrumente întâlnesc dispozitive OT, ele fie returnează date incomplete, fie generează trafic neașteptat pe care dispozitivul receptor nu a fost niciodată proiectat să îl gestioneze.

Acest al doilea scenariu nu este ipotetic. Scanarea activă în mediile OT a provocat întreruperi neplanificate ale proceselor și blocarea dispozitivelor în unitățile de producție. De aceea, ghidul CISA recomandă monitorizarea pasivă ca metodă adecvată pentru identificarea resurselor OT, iar această recomandare nu este negociabilă în mediile cu cerințe stricte privind disponibilitatea sistemelor. Colectarea pasivă, implementată prin intermediul TAP-urilor de rețea sau al porturilor SPAN, ascultă traficul fără a injecta interogări care ar putea perturba sistemele de control sensibile. Ea observă ce comunică, cum comunică și cum arată o situație normală, fără a atinge niciun dispozitiv din rețeaua monitorizată.

Problema de acoperire pe care această abordare trebuie să o rezolve este agravată de natura modelelor de comunicare din domeniul OT. Multe dispozitive comunică doar în timpul unor evenimente operaționale specifice: un PLC poate transmite doar în timpul unui ciclu de producție, un releu poate transmite date doar în cazul unei defecțiuni, iar un senzor de teren poate genera trafic intermitent, sub formă de rafale, separat de intervale lungi de tăcere. O fereastră de monitorizare care nu ține cont de întreaga gamă de moduri operaționale va produce un inventar incomplet — iar activele care lipsesc din acel inventar sunt exact activele care nu pot fi protejate, segmentate sau monitorizate. Conform datelor SANS 2025 privind starea securității cibernetice ICS/OT, vizibilitatea activelor rămâne prioritatea principală de investiții în securitate pentru organizațiile industriale, însă mai puțin de 1 din 8 raportează vizibilitate completă în mediul lor, de la accesul inițial la rețea până la impactul potențial asupra proceselor fizice. Decalajul nu este o problemă de finanțare. Este o problemă de metodologie.

Volt Typhoon exploatează exact această vulnerabilitate. Abordarea documentată a grupului constă în integrarea în operațiunile normale ale rețelei — folosind protocoale legitime, căi de acces autorizate și instrumente administrative standard — pentru a obține acces persistent în mediile OT. Fără o vizibilitate completă asupra conținutului rețelei și a comportamentului normal al acesteia, aceste tehnici sunt practic invizibile.

MetaDefender Security™, platforma de securitate OT OPSWAT, rezolvă această problemă prin detectarea pasivă a resurselor și analiza aprofundată a protocoalelor OT. Prin monitorizarea traficului de rețea, fără a-l genera, platforma creează un inventar complet al resurselor și un profil comportamental de referință fără a interveni asupra dispozitivelor monitorizate — oferind, totodată, gestionarea vulnerabilităților și a patch-urilor, precum și raportarea conformității, totul într-o singură interfață nativă pentru OT. Sesiunile anomale, comunicațiile neașteptate între dispozitive și interacțiunile neautorizate între protocoale devin detectabile — înainte de a ajunge să afecteze operațiunile.

Cea mai mare provocare în domeniul IAM din sectorul operațional este faptul că atacatorii folosesc din ce în ce mai des căi de acces legitime — date de autentificare valide, sesiuni la distanță autorizate și instrumente tehnice standard — în locul vulnerabilităților software. Actorii afiliați Iranului, descriși într-un aviz comun recent al FBI și CISA, s-au conectat la PLC-uri expuse la internet folosind porturi standard de comunicații industriale și au interacționat cu sistemele de control ca și cum ar fi fost operatori autorizați.

Cea mai utilizată soluție de acces la distanță în mediile OT – VPN-ul – introduce o categorie de risc de natură structurală, nu configurațională. Rețelele VPN stabilesc o conectivitate directă la nivel de rețea care încalcă izolarea ierarhică a modelului Purdue, permițând accesul furnizorilor terți la segmente ale rețelei de control fără un control granular al sesiunilor și fără un mecanism de aplicare a principiului privilegiului minim. Orice dispozitiv compromis sau securizat de la capătul tunelului furnizorului moștenește o cale de rețea directă către sistemele de producție. Pentru terminalele OT vechi, fără capacitate nativă de autentificare, expunerea se agravează și mai mult. Aceste dispozitive nu pot înregistra evenimente de acces, nu pot aplica politici de sesiune și nu pot întrerupe conexiunile neautorizate. Orice măsură de aplicare existentă trebuie să se afle în întregime în amonte de dispozitiv, altfel nu există deloc. MetaDefender Industrial , firewall-ul industrial OPSWAT pentru rețelele OT, abordează direct problema segmentării — aplicând segmentarea bazată pe zone și controlând mișcarea laterală chiar și atunci când o sesiune a furnizorului se află deja în interiorul rețelei.

Ghidul CISA ilustrează în mod concret consecințele neglijării acestei probleme. Actorii răuvoitori afiliați statului au reușit să acceseze și să controleze controlerele logice de proces (PLC) conectate la internet folosind porturi standard de comunicații industriale, nu prin exploatarea unor vulnerabilități software, ci pur și simplu conectându-se la fel cum ar fi făcut-o un operator autorizat. Datele de autentificare păreau corecte. Protocoalele păreau normale. Nimic nu a semnalat nereguli în sesiune, deoarece nu exista nimic configurat pentru a evalua legitimitatea sesiunii la nivelul stratului de acces.

MetaDefender OT Access Zero Trust la nivel de sesiune, înainte ca orice conexiune să ajungă la un activ OT. Fiecare sesiune la distanță – fie că este vorba de un inginer intern, de o fereastră de întreținere programată de către producătorul de echipamente originale (OEM) sau de un contractor extern care se conectează pentru prima dată – este autentificată individual, limitată la accesul minim necesar, are o durată limitată și este înregistrată integral. Sesiunile sunt înregistrate, monitorizate continuu și pot fi întrerupte în timp real dacă comportamentul nu se încadrează în parametrii așteptați. Nu există acces permanent la rețea, tunel persistent sau cale către active în afara a ceea ce solicită în mod explicit acea sesiune specifică. Iar pentru dispozitivele vechi care nu pot participa la autentificarea modernă, MetaDefender OT Access aplicare la nivelul stratului de gestionare a conexiunilor, astfel încât controlul există indiferent de capacitățile dispozitivului în sine.

În domeniul OT, riscurile legate de lanțul de aprovizionare includ atât transferurile digitale, cât și cele fizice: actualizări de software distribuite prin rețele, laptopuri ale furnizorilor aduse la fața locului, firmware încărcat de pe USB și fișiere tehnice transferate de la departamentul IT către rețelele de control izolate fizic. Fiecare dintre acestea reprezintă o posibilă introducere de conținut rău intenționat în sisteme care, odată compromise, pot afecta direct procesele fizice.

Înainte ca orice element software să ajungă la granița OT, integritatea acestuia ar trebui să fie deja confirmată. MetaDefender Software Chain™ abordează această problemă în partea IT a lanțului de transfer — validând instrumentele de inginerie, pachetele de firmware și actualizările de software industrial furnizate de furnizori în raport cu datele SBOM, confirmând că elementele nu au fost alterate în timpul transportului și identificând componentele necunoscute înainte ca acestea să primească aprobarea pentru transfer. Până în momentul în care un fișier ajunge la punctul Kiosk sau la fluxul de lucru MFT , acesta a trecut deja de verificarea integrității la nivel IT. Astfel, controalele de la graniță consolidează o decizie deja luată, nu compensează una care nu a fost luată niciodată.

Aceasta este suprafața de atac pe care măsurile de control bazate pe rețea nu o pot acoperi în totalitate — însă aplicarea măsurilor la nivel de rețea joacă în continuare un rol esențial odată ce un furnizor a pătruns în sistem. MetaDefender Industrial Firewall esențial pentru inspectarea conținutului efectiv al protocolului industrial al fiecărei sesiuni a unui furnizor. Chiar și atunci când o conexiune terță parte este autorizată, firewall-ul verifică dacă comenzile se încadrează în codurile funcționale și intervalele de valori așteptate pentru acea sesiune — blocând în timp real comenzile rău intenționate provenite de la un instrument al furnizorului compromis sau de la o actualizare modificată. De asemenea, impune căi de comunicare stricte: un dispozitiv conectat la un furnizor poate ajunge doar la sistemele specifice pentru care a fost configurat, limitând orice compromitere a lanțului de aprovizionare înainte ca aceasta să se poată răspândi lateral în zonele OT. Iar pentru vulnerabilitățile CVE cunoscute din componentele OT pentru care patch-ul furnizorului nu a fost încă livrat — ceea ce în OT durează adesea luni de zile — Industrial Firewall patch-uri virtuale la nivel de rețea, blocând exploatarea fără a atinge dispozitivul.

MetaDefender , soluția OPSWAT pentru securitatea suporturilor amovibile, interceptează și inspectează fiecare suport amovibil înainte ca acesta să intre într-o zonă securizată. Fiecare fișier este scanat prin Metascan™ Multiscanning peste 30 de motoare anti-malware, evaluat de Predictive Alin AI pentru detectarea zero-day înainte de execuție și procesat prin tehnologia Deep CDR™, care reconstruiește fișierul într-o stare cunoscută ca fiind sigură — eliminând amenințările încorporate, păstrând în același timp conținutul legitim de care un tehnician are nevoie pentru a-și desfășura activitatea. MetaDefender Media Firewall, soluția OPSWAT de aplicare a scanării suporturilor amovibile, extinde această aplicare la USB la nivel de terminal — aplicând o validare bazată pe hardware prin care numai suporturile amovibile deja scanate și aprobate de MetaDefender Kiosk conecta la o stație de lucru protejată, indiferent de locul în care se află aceasta în cadrul facilității. MetaDefender , soluția avansată de protecție a terminalelor OPSWAT, este implementată pe terminalele critice pentru a valida dacă fișierele de pe dispozitivele de stocare amovibile au fost mai întâi scanate și procesate de MetaDefender Kiosk. Acest lucru asigură că numai fișierele validate pot fi deschise, copiate sau accesate de terminal și că fișierele neautorizate sau nescanate sunt blocate să ajungă în medii critice.

Pentru transferurile care traversează zonele de rețea — de la IT către OT sau de la sistemele conectate la cloud către medii de control izolate — MetaDefender Diode™, soluția de diodă de date OPSWAT, asigură un flux de date unidirecțional impus la nivel hardware. Aceasta include date operaționale precum valorile din istoricul de date, telemetria senzorilor și datele de proces care circulă din rețeaua OT către sistemele IT, platformele de analiză sau infrastructura cloud în scopul monitorizării și raportării. Nicio comandă de intrare, cerere de conexiune, actualizare de software sau sarcină utilă nu poate traversa granița în direcția inversă. Garanția de securitate nu depinde de configurarea corectă, de software-ul actualizat periodic sau de integritatea credențialelor de acces, deoarece niciunul dintre acești factori la nivel de software nu are nicio cale de a trece peste constrângerea hardware. Pentru organizațiile care operează sisteme de control vechi care nu pot fi actualizate, nu pot rula agenți de terminal și nu pot tolera perioadele de nefuncționare cauzate de probleme de securitate, aceasta este arhitectura asupra căreia ghidul CISA și comunitatea mai largă de securitate industrială au convenit ca fiind răspunsul tehnic adecvat.

MetaDefender File Transfer™ (MFT) răspunde cerințelor de transfer structurat ale organizațiilor care au nevoie să transfere fișiere operaționale între zone, asigurând o inspecție completă, înregistrarea evenimentelor de audit și controlul fluxului de lucru. Sistemul impune verificarea conținutului la fiecare operațiune de transfer, garantând că traseul de transfer al fișierelor nu devine un punct de intrare nesupravegheat.

Nu toate granițele pot fi protejate prin politici. Unele necesită măsuri fizice. Soluțiile Cross-Domain (CDS) impun granițe la nivel hardware între rețelele OT și IT, unde nicio configurare greșită a software-ului, nicio credențială furată și nicio vulnerabilitate de tip zero-day nu pot deschide o cale de acces către interior. MetaDefender Optical Diode MetaDefender Security Gateway™ sunt ambele certificate Common Criteria EAL4+ și [asigură conformitatea cu NERC CIP, IEC 62443, NRC 5.71, NIST 800-82 și ISO 27001](opswat) — setul complet de cadre care reglementează infrastructura critică din domeniile energiei, nuclear, chimic și al apărării.

Ghidul CISA se aliniază la funcțiile NIST CSF (Cadrul de securitate cibernetică) 2.0 — Guvernanță, Identificare, Protecție, Detectare, Răspuns, Recuperare. Tabelul de mai jos corelează fiecare cerință cu OPSWAT relevantă OPSWAT :

„Zero Trust” în domeniul OT nu este un produs pe care îl achiziționați. Ghidul CISA este clar în această privință — instrumentele și tehnologiile sunt necesare, dar insuficiente în sine. Organizațiile au nevoie de o platformă concepută pentru medii în care disponibilitatea, siguranța și conformitatea sunt ne negociabile. Platforma MetaDefender™ OPSWAT oferă această arhitectură pe întreaga durată a mandatului CISA — de la căsuța de e-mail unde începe accesul inițial, până la limita impusă de hardware unde se termină comenzile către sistemele critice.

După cum se poate observa din tabelul de mai sus, OPSWAT toate categoriile de controale aliniate la standardele CISA, pentru toate cele șase funcții ale NIST CSF 2.0, într-o singură platformă — un domeniu de acoperire pe care niciun furnizor specializat exclusiv în OT nu îl poate egala. Sunteți gata să evaluați nivelul de conformitate al mediului dumneavoastră OT cu cadrul Zero Trust al CISA?

Discutați cu un expert →