为何在运营技术(OT)环境中难以实现Secure 访问
最大的风险并非远程访问本身,而是用户一旦进入运营技术(OT)网络后,便难以进行管控和监控
在运营技术(OT)环境中支持远程访问本身就相当复杂。该解决方案需要在保障正常运行时间、安全性和速度之间取得平衡,同时保护那些从未为现代连接性而设计的传统控制系统。内部工程师和第三方供应商需要频繁访问系统以进行配置、维护和事件响应,但每次连接到OT环境都会扩大攻击面。
VPN 和通用远程访问工具在 OT 网络中失效的 5 大原因
该公用事业公司依赖于传统的VPN和通用远程访问工具,这些工具将网络级别的信任延伸到了敏感的运营技术(OT)区域。一旦连接,用户往往拥有超出实际所需的更广泛可见性和访问权限,从而产生了安全团队难以有效控制或监控的风险。
5大关键挑战
- 权限过高:基于 VPN 的连接被授予了广泛的网络访问权限,而非将用户限制在特定的运营技术(OT)资产或界面内
- 会话可见性受限:安全团队无法查看用户在活跃的RDP会话期间的操作,也无法进行实时干预
- 横向移动风险:一旦入侵成功,攻击者可能在运营技术(OT)网络段之间横向移动,从而扩大攻击范围
- 开放防火墙端口:入站访问需求在关键基础设施中引入了持续的暴露点
- 审计与合规压力:要证明谁访问了哪些系统、访问了多长时间以及执行了哪些操作,过去需要人工操作且日志分散
对业务和运营的影响
- SCADA、DCS、HMI 和 PLC 环境面临的网络安全风险加剧
- 在维护窗口期间及因访问变通方案导致的故障期间,响应速度较慢
- 首席信息安全官(CISO)面临越来越大的压力,需要证明其具备更强大的管控能力并做好审计准备
- 对远程访问是否符合最小权限原则的信心有所减弱
Secure 远程访问解决方案需要具备哪些功能?
我们需要 RDP 访问权限,同时避免因 暴露 OT网络所带来的风险。
该公用事业公司需要一套专为运营技术(OT)设计的远程访问解决方案,该方案需贯彻最小权限原则、消除入站风险,并在不影响运营效率的前提下提供全面的审计追踪能力。安全团队与运营技术团队在早期就达成了一项明确原则:远程访问必须支持日常工程工作,同时不得对运营技术网络本身授予信任。任何解决方案都必须在默认情况下降低网络安全风险,同时确保对跨多个站点工作的工程师、操作员和第三方供应商而言切实可行。
Core
为了安全地替代基于VPN的访问,该工具定义了以下标准:
- 精细的 RDP 控制:允许工程师访问基于 Windows 的 HMI 和诊断工具,同时不授予其全网访问权限或无限制的权限
- 最小权限原则的实施:用户仅应能够查看和操作明确批准的资产,且无横向移动的能力
- 强大的可审计性:每次会话都必须进行日志记录,必要时进行录音,并关联到特定的用户、资产和时间段
- 无需开放入站防火墙端口:远程访问必须在不向运营技术(OT)网络开放端口的情况下正常工作
- 运营适配性(针对运营技术):该解决方案必须支持现有系统,尽量减少架构变更,并在部署期间避免系统停机
他们想避免的是
过往的经验决定了该公用事业公司不愿重蹈覆辙:
- 将通用IT远程访问工具改造用于OT
- 网络级访问扩大了影响范围
- 利用零散日志进行手动审计准备
- 导致维护或事件响应效率降低的安全控制措施
对管理层而言,转折点在于认识到远程访问本身并不是问题。问题在于访问权限是如何授予、执行和监控的。
在不暴露网络的情况下Secure 对 OT 系统进行Secure 访问的方法
转折点在于,在不影响正常运营的情况下,将网络访问转变为受控会话。
该公用事业公司通过将访问方式从网络级访问转变为基于会话且受策略约束的RDP连接,有效降低了运营技术(OT)环境的远程访问风险,并提升了运营管控能力。对OT环境的远程访问因此变得可控、可审计,并在设计上实现了隔离。工程师和供应商可以在需要时连接到确切的系统,而无需暴露更广泛的OT网络或打开入站防火墙端口。
他们是如何做到的
该公用事业公司部署了MetaDefender Access™,将其作为专为运营技术(OT)环境设计的安全远程访问网关。该平台并未将 VPN 访问扩展至控制网络,而是通过针对运营角色量身定制的严格可视化及策略控制,实施了基于会话级别的访问管理。
解决方案的5个关键要素
- 对 OT 系统的精细化 RDP 访问
工程师仅被授予对经批准的基于 Windows 的 HMI、工程工作站或诊断系统的 RDP 访问权限。相关策略明确规定了每次会话期间允许执行的操作,从而降低了误用或意外更改的风险。 - 视线范围与最小权限原则的实施
用户只能查看和操作明确分配给他们的资产。无法浏览OT网络,也无法在系统之间横向移动。 - 仅出站的安全连接
该 OT 访问网关发起仅出站的 TLS 连接,从而无需打开入站防火墙端口,并降低了关键基础设施的攻击面。 - 会话监控、日志记录和录制
所有远程会话均被记录,并在必要时进行录制。运维和安全团队可以实时监督会话,或事后查看活动记录,以支持审计和调查工作。 - 向 OT 环境Secure 传输Secure
当需要配置文件、脚本或补丁时,文件传输功能已与受管文件传输及多引擎恶意软件扫描集成,以防止恶意内容进入 OT 系统。
为什么这种方法奏效
该解决方案并未要求运维团队改变工作方式,而是顺应了运维的实际情况,同时在后台以透明的方式实施安全控制。访问权限不再基于对网络的信任,而是基于根据既定角色和策略授权的用户。
从高风险访问到可量化的控制
远程访问已从一种不得不承担的风险转变为一种可控的运营能力
该公用事业公司对 OT 远程访问获得了切实的运营控制权,在降低风险的同时,使审计、维护和事件响应变得更快、更可预测。这些运营改进立竿见影,并在安全、OT 和合规团队中显而易见。远程访问不再是盲点,而是变成了一个受管控、可重复的流程。
运营改进
- 减少 OT 暴露:通过仅出站 TLS 隧道关闭入站防火墙端口,从而缩小外部攻击面
- 更严格的访问治理:工程师和供应商仅可访问经批准的系统,且不得进行横向移动
- 更高效的审计:会话日志和录音取代了人工证据收集
- 改进的事件响应:团队能够快速授予限时访问权限,同时不降低安全控制力度
对团队的影响
- 安全团队确信,远程访问符合“最小权限”和“零信任”访问策略的实施要求
- 运维团队花在处理访问异常上的时间减少了,而花在系统维护上的时间增加了
- 管理层更加确信,远程访问风险已得到控制,且不会影响系统正常运行时间
启用远程OT Access前与启用后
之前 | 之后 |
基于VPN的网络访问 | 基于会话的 RDP 访问 |
连接后即可获得广泛覆盖 | 仅限与经批准的资产建立视线连接 |
活动可见性有限 | 完整的会话日志记录和录音 |
打开入站防火墙端口 | 仅出站的安全连接 |
手动审计准备 | 默认提供符合审计要求的访问记录 |
在不断扩展的运营技术环境中扩展Secure
随着业务规模的扩大,公用事业公司如何实现安全运营技术(OT)远程访问的扩展?
随着受控的OT远程访问系统的部署,该公用事业公司已具备条件,可扩展安全的RDP访问,并将RDP会话日志和录像整合到更广泛的安全运营中。随着该公用事业公司持续推进运营现代化和数字化,预计远程访问的需求将在数量和范围上不断增长。该组织计划基于现有的访问控制基础进行扩展,而非引入新的点解决方案,以此保持一致性并降低运营复杂性。
正在考虑的扩张机会
- 在运营技术(OT)资产中实现更广泛的 RDP 覆盖
将安全的 RDP 访问扩展至更多基于 Windows 的系统,例如历史数据服务器、工程工作站和边缘控制器,同时保持相同的最小权限和视线范围强制执行机制。
- 更深入的安全运维集成
将 RDP 会话日志和录屏与 SIEM 和 SOAR 平台进行关联分析,以便在调查过程中提供更丰富的背景信息,并加快事件响应速度。
- 支持未来的数字化计划
利用相同的访问框架,确保与云端分析平台或运营技术(OT)数字化网关之间的安全连接,并在架构演进过程中保持策略的一致性。
弥合“可及性”与“保障”之间的差距
保障关键业务运行的,是受控访问,而非网络连接。
通过重新审视 OT 远程访问方案,该公用事业公司降低了网络安全风险,提升了审计准备度,并使工程师能够在不影响关键基础设施的情况下高效开展工作。通过部署MetaDefender OT Access该组织实现了从网络级信任模式向受控、基于策略的 RDP 会话模式的转变。
远程访问变得可隔离、可审计,并符合最小权限原则,且不会造成运营摩擦。其结果是形成了一种更安全、更可预测的远程访问模式,有助于保障系统正常运行时间、符合合规要求,并增强长期运营韧性。
最终要点
- OT远程访问无需增加风险即可支持运营
- 基于会话的控制比网络级信任提供更强的安全性
- 当访问行为默认被记录并受到管控时,审计准备工作将得到改善
- 专为运营技术(OT)访问设计的解决方案,其可扩展性优于改用信息技术(IT)工具
如果您正在为SCADA、DCS、HMI或其他OT系统配置远程访问安全措施,且在风险管控、可视化及合规性方面面临类似挑战,请咨询OPSWAT ,了解MetaDefender OT Access 您实现OT连接的现代化。
