Accesso remoto senza esposizione: un'azienda energetica rende accessibili i sistemi OT, eliminando al contempo i rischi

Garantire l'accesso remoto in un ambiente OT è intrinsecamente complesso. Era necessario trovare un equilibrio tra tempo di attività, sicurezza e velocità, proteggendo al contempo i sistemi di controllo legacy che non erano stati progettati per la connettività moderna. I tecnici interni e i fornitori esterni necessitavano di un accesso frequente per la configurazione, la manutenzione e la gestione degli incidenti, ma ogni connessione all'ambiente OT ampliava la superficie di attacco.

L'azienda si affidava a VPN obsolete e a strumenti generici di accesso remoto che estendevano la fiducia a livello di rete a zone OT sensibili. Una volta connessi, gli utenti disponevano spesso di una visibilità e di un accesso più ampi del necessario, creando un rischio che il team di sicurezza non era in grado di contenere o monitorare facilmente.

5 sfide principali

1. Accesso eccessivamente privilegiato: la connettività basata su VPN ha consentito un accesso esteso alla rete, anziché limitare gli utenti a specifiche risorse OT o schermate
2. Visibilità limitata delle sessioni: i team di sicurezza non erano in grado di monitorare le attività degli utenti durante le sessioni RDP attive né di intervenire in tempo reale
3. Rischio di propagazione laterale: una volta all'interno, gli utenti potrebbero potenzialmente spostarsi tra i segmenti OT, aumentando il raggio d'azione
4. Apertura delle porte del firewall: i requisiti di accesso in entrata hanno introdotto punti di vulnerabilità permanenti nelle infrastrutture critiche
5. Il peso delle attività di audit e conformità: dimostrare chi ha effettuato l'accesso a quali sistemi, per quanto tempo e con quali operazioni richiedeva un intervento manuale e registri frammentati

Impatto commerciale e operativo

• Aumento dei rischi informatici per gli ambienti SCADA, DCS, HMI e PLC

• Risposta più lenta durante le finestre di manutenzione e gli incidenti dovuti a soluzioni alternative per l'accesso

• Cresce la pressione sul CISO affinché dimostri l'efficacia dei controlli e la preparazione alle verifiche

• Minore fiducia nel fatto che l'accesso remoto rispetti i principi del privilegio minimo

L'azienda aveva bisogno di una soluzione di accesso remoto dedicata all'OT che garantisse il principio del privilegio minimo, eliminasse l'esposizione in entrata e assicurasse una completa tracciabilità senza rallentare le operazioni. I team di sicurezza e OT si sono accordati fin dall'inizio su un principio chiaro: l'accesso remoto deve supportare il lavoro quotidiano dei tecnici senza estendere la fiducia alla rete OT stessa. Qualsiasi soluzione doveva ridurre il rischio informatico per impostazione predefinita, pur rimanendo pratica per i tecnici, gli operatori e i fornitori terzi che operano in più sedi.

Per sostituire in modo sicuro l'accesso basato su VPN, l'utilità ha definito i seguenti criteri:

• Controllo granulare dell'RDP: consente ai tecnici di accedere alle interfacce HMI basate su Windows e agli strumenti di diagnostica senza concedere visibilità a livello di rete né privilegi illimitati

• Applicazione del principio del privilegio minimo: gli utenti dovrebbero poter visualizzare e interagire solo con le risorse espressamente autorizzate, senza alcuna possibilità di spostarsi lateralmente

• Elevata tracciabilità: ogni sessione deve essere registrata, archiviata se necessario, e associata a un utente, a una risorsa e a un intervallo di tempo specifici

• Nessuna esposizione del firewall in entrata: l'accesso remoto deve funzionare senza aprire porte verso le reti OT

• Adeguatezza operativa per l'OT: la soluzione deve supportare i sistemi esistenti, ridurre al minimo i cambiamenti architetturali ed evitare tempi di inattività durante l'implementazione

L'azienda ha ridotto i rischi legati all'accesso remoto agli ambienti OT e migliorato il controllo operativo passando da un accesso a livello di rete a una connettività RDP basata su sessioni e regolata da criteri. L'accesso remoto agli ambienti OT è diventato controllato, verificabile e isolato per impostazione predefinita. I tecnici e i fornitori potevano connettersi esattamente ai sistemi di cui avevano bisogno, quando ne avevano bisogno, senza esporre la rete OT più ampia né aprire porte in entrata sul firewall.

L'azienda ha implementato MetaDefender Access™ come gateway di accesso remoto sicuro, progettato appositamente per gli ambienti OT. Anziché estendere l'accesso VPN alle reti di controllo, la piattaforma ha applicato un controllo degli accessi a livello di sessione, con rigorosi controlli di visibilità e politiche di sicurezza su misura per i ruoli operativi.

I 5 elementi chiave della soluzione

1. Accesso RDP granulare ai sistemi OT
   Agli ingegneri è stato concesso l'accesso RDP solo a interfacce HMI, workstation di progettazione o sistemi diagnostici basati su Windows approvati. Le politiche definivano quali azioni erano consentite durante ciascuna sessione, riducendo il rischio di uso improprio o modifiche accidentali.
2. Applicazione dei principi di "line-of-sight" e "privilegi minimi"
   Gli utenti potevano visualizzare e interagire solo con le risorse loro esplicitamente assegnate. Non era possibile navigare nella rete OT né spostarsi lateralmente tra i sistemi.
3. Connettività sicura solo in uscita
   Il gateway di accesso OT ha avviato connessioni TLS solo in uscita, eliminando la necessità di aprire porte in entrata sul firewall e riducendo la superficie di attacco delle infrastrutture critiche.
4. Monitoraggio, registrazione e archiviazione delle sessioni
   Tutte le sessioni remote sono state registrate e, ove necessario, archiviate. I team OT e di sicurezza potevano supervisionare le sessioni in tempo reale o esaminare le attività in un secondo momento a supporto di audit e indagini.
5. TrasferimentoSecure negli ambienti OT
   Quando erano necessari file di configurazione, script o patch, i trasferimenti di file venivano integrati con soluzioni di trasferimento file gestito e scansione antimalware multi-motore per impedire l'ingresso di contenuti dannosi nei sistemi OT.

L'azienda ha acquisito un controllo operativo effettivo sull'accesso remoto ai sistemi OT, riducendo i rischi e rendendo al contempo più rapidi e prevedibili gli audit, la manutenzione e la risposta agli incidenti. I miglioramenti operativi sono stati immediati e tangibili per i team addetti alla sicurezza, ai sistemi OT e alla conformità. L'accesso remoto ha smesso di essere un punto cieco ed è diventato un processo regolamentato e ripetibile.

Miglioramenti operativi

• Riduzione dell'esposizione OT: eliminazione delle porte in entrata del firewall tramite tunnel TLS solo in uscita, con conseguente riduzione della superficie di attacco esterna

• Una gestione più rigorosa degli accessi: ingegneri e fornitori hanno avuto accesso solo ai sistemi approvati, senza possibilità di spostamenti laterali

• Verifiche più rapide: i registri delle sessioni e le registrazioni hanno sostituito la raccolta manuale delle prove

• Migliore gestione degli incidenti: i team possono concedere rapidamente un accesso temporaneo senza allentare i controlli di sicurezza

Ripercussioni sui team

• I team di sicurezza hanno acquisito la certezza che l'accesso remoto fosse in linea con l'applicazione dei principi del "privilegio minimo" e dello "zero-trust"

• I team OT hanno dedicato meno tempo alla gestione delle eccezioni di accesso e più tempo alla manutenzione dei sistemi

• La dirigenza aveva la certezza che i rischi legati all'accesso remoto fossero sotto controllo senza compromettere la disponibilità del sistema

Grazie all'implementazione di un sistema di accesso remoto controllato per le reti OT, l'azienda è ora in grado di ampliare l'accesso RDP sicuro e di integrare i registri e le registrazioni delle sessioni RDP nelle operazioni di sicurezza più generali. Man mano che l'azienda prosegue nel processo di modernizzazione e digitalizzazione delle proprie operazioni, si prevede un aumento delle esigenze in materia di accesso remoto, sia in termini di volume che di portata. Anziché introdurre nuove soluzioni puntuali, l'azienda intende basarsi sulla stessa infrastruttura di controllo degli accessi per garantire la coerenza e ridurre la complessità operativa.