Acesso remoto sem exposição: empresa de energia abre os sistemas OT enquanto elimina os riscos

A gestão do acesso remoto num ambiente OT é, por natureza, complexa. Era necessário encontrar um equilíbrio entre o tempo de atividade, a segurança e a velocidade, ao mesmo tempo que se protegiam os sistemas de controlo legados, que nunca foram concebidos para a conectividade moderna. Os engenheiros internos e os fornecedores externos precisavam de acesso frequente para fins de configuração, manutenção e resposta a incidentes, mas cada ligação ao ambiente OT aumentava a superfície de ataque.

A empresa de serviços públicos dependia de VPNs antigas e de ferramentas genéricas de acesso remoto que estendiam a confiança a nível da rede a zonas OT sensíveis. Uma vez conectados, os utilizadores tinham frequentemente uma visibilidade e um acesso mais amplos do que o necessário, criando um risco que a equipa de segurança não conseguia conter ou monitorizar facilmente.

5 Desafios Principais

1. Acesso excessivamente privilegiado: a conectividade baseada em VPN concedeu acesso alargado à rede, em vez de limitar os utilizadores a recursos ou ecrãs específicos de OT
2. Visibilidade limitada das sessões: as equipas de segurança não conseguiam ver o que os utilizadores estavam a fazer durante as sessões RDP ativas nem intervir em tempo real
3. Risco de propagação lateral: uma vez no interior, os utilizadores poderiam potencialmente deslocar-se entre segmentos de TI, aumentando o raio de ação
4. Portas de firewall abertas: os requisitos de acesso de entrada introduziram pontos de exposição persistentes na infraestrutura crítica
5. Dificuldades em matéria de auditoria e conformidade: comprovar quem acedeu a que sistemas, durante quanto tempo e quais as ações realizadas exigia um esforço manual e registos fragmentados

Impacto nos negócios e nas operações

• Aumento do risco cibernético em ambientes SCADA, DCS, HMI e PLC

• Resposta mais lenta durante as janelas de manutenção e incidentes decorrentes de soluções alternativas de acesso

• Pressão crescente sobre o CISO para demonstrar controlos mais rigorosos e preparação para auditorias

• Menor confiança de que o acesso remoto está em conformidade com os princípios do privilégio mínimo

A empresa de serviços públicos necessitava de uma solução de acesso remoto à OT especificamente concebida para o efeito, que aplicasse o princípio do privilégio mínimo, eliminasse a exposição de entrada e garantisse uma auditabilidade total sem comprometer a velocidade das operações. As equipas de segurança e de OT chegaram rapidamente a um consenso sobre um princípio claro: o acesso remoto deve apoiar o trabalho de engenharia do dia-a-dia sem conceder acesso privilegiado à própria rede OT. Qualquer solução tinha de reduzir o risco cibernético por defeito, mantendo-se ao mesmo tempo prática para engenheiros, operadores e fornecedores externos que trabalham em vários locais.

Para substituir o acesso baseado em VPN de forma segura, o utilitário definiu os seguintes critérios:

• Controlo granular do RDP: Permita que os engenheiros acedam a IHMs e ferramentas de diagnóstico baseadas em Windows sem conceder visibilidade em toda a rede nem privilégios ilimitados

• Aplicação do princípio do privilégio mínimo: os utilizadores só devem ver e interagir com recursos explicitamente aprovados, sem qualquer capacidade de movimentação lateral

• Elevada capacidade de auditoria: todas as sessões devem ser registadas, gravadas se necessário, e associadas a um utilizador, recurso e intervalo de tempo específicos

• Sem exposição da firewall de entrada: o acesso remoto deve funcionar sem a necessidade de abrir portas nas redes OT

• Adequação operacional para OT: A solução deve ser compatível com sistemas legados, minimizar as alterações arquitetónicas e evitar tempos de inatividade durante a implementação

A empresa de serviços públicos reduziu os riscos associados ao acesso remoto aos sistemas OT e melhorou o controlo operacional ao passar de um acesso ao nível da rede para uma conectividade RDP baseada em sessões e regida por políticas. O acesso remoto aos ambientes OT passou a ser controlado, auditável e isolado por definição. Os engenheiros e fornecedores podiam ligar-se exatamente aos sistemas de que necessitavam, quando precisavam, sem expor a rede OT em geral nem abrir portas de entrada no firewall.

A empresa de serviços públicos implementou MetaDefender Access™ como um gateway de acesso remoto seguro, concebido especificamente para ambientes OT. Em vez de alargar o acesso VPN às redes de controlo, a plataforma impôs um acesso ao nível da sessão, com visibilidade rigorosa e controlos de políticas adaptados às funções operacionais.

5 elementos-chave da solução

1. Acesso RDP granular aos sistemas OT
   Os engenheiros receberam acesso RDP apenas a IHMs, estações de trabalho de engenharia ou sistemas de diagnóstico baseados em Windows aprovados. As políticas definiram quais as ações permitidas durante cada sessão, reduzindo o risco de utilização indevida ou alterações acidentais.
2. Aplicação do princípio da linha de visão e do privilégio mínimo
   Os utilizadores só podiam ver e interagir com os recursos que lhes fossem explicitamente atribuídos. Não era possível navegar na rede OT nem deslocar-se lateralmente entre sistemas.
3. Conectividade segura apenas de saída
   O gateway de acesso OT iniciou ligações TLS apenas de saída, eliminando a necessidade de abrir portas de entrada na firewall e reduzindo a superfície de ataque da infraestrutura crítica.
4. Monitorização, registo e gravação de sessões
   Todas as sessões remotas foram registadas e, quando necessário, gravadas. As equipas de TI e de segurança podiam supervisionar as sessões em tempo real ou analisar a atividade posteriormente, para apoiar auditorias e investigações.
5. TransferênciaSecure para ambientes OT
   Quando eram necessários ficheiros de configuração, scripts ou patches, as transferências de ficheiros eram integradas com a transferência gerida de ficheiros e a verificação de malware com vários motores, para impedir que conteúdos maliciosos entrassem nos sistemas OT.

A empresa de serviços públicos passou a exercer um controlo operacional efetivo sobre o acesso remoto à OT, reduzindo os riscos e tornando as auditorias, a manutenção e a resposta a incidentes mais rápidas e previsíveis. As melhorias operacionais foram imediatas e visíveis nas equipas de segurança, OT e conformidade. O acesso remoto deixou de ser um ponto cego e passou a ser um processo regulamentado e repetível.

Melhorias operacionais

• Menor exposição ao tempo de atividade: eliminação das portas de entrada do firewall através de túneis TLS exclusivamente de saída, reduzindo a superfície de ataque externa

• Gestão de acesso mais rigorosa: os engenheiros e fornecedores só tinham acesso a sistemas aprovados, sem possibilidade de movimentação lateral

• Auditorias mais rápidas: os registos e gravações das sessões substituíram a recolha manual de provas

• Resposta a incidentes melhorada: as equipas podem conceder rapidamente acesso por um período limitado sem comprometer os controlos de segurança

Impacto nas equipas

• As equipas de segurança ficaram convencidas de que o acesso remoto estava em conformidade com a aplicação dos princípios do privilégio mínimo e da confiança zero

• As equipas de TI dedicaram menos tempo à gestão de exceções de acesso e mais tempo à manutenção dos sistemas

• A direção ficou mais segura de que os riscos do acesso remoto estavam sob controlo, sem afetar o tempo de atividade

Com o acesso remoto controlado à OT já implementado, a empresa de serviços públicos está preparada para expandir o acesso RDP seguro e integrar os registos e gravações das sessões RDP nas operações de segurança mais amplas. À medida que a empresa continua a modernizar e a digitalizar as suas operações, prevê-se que os requisitos de acesso remoto aumentem, tanto em volume como em âmbito. Em vez de introduzir novas soluções pontuais, a organização planeia basear-se na mesma base de controlo de acesso para manter a consistência e reduzir a complexidade operacional.