假設在瓦斯壓縮站進行例行遠端維護。承包商透過 VPN 登入,更新韌體並重新配置壓縮機控制面板上的 PID 環路參數。這是一項相當常見的任務,可確保壓縮站順利運作。 他之前至少做過十幾次。
但這一次,有些不對勁。
承包商並不知道,但他的筆記型電腦已感染惡意軟體。一旦連線,扁平化的網路架構和缺乏通訊協定層級的保護,就為攻擊者開闢了橫跨 OT 環境的路徑。在幾分鐘內,攻擊者就會使安全警報失效,並存取控制瓦斯流量的核心 PLC。 隨著威脅不斷擴大,氣站被迫斷線 36 小時,暫停營運、啟動緊急系統和應變小組,並招致龐大的財務損失。
這只是假設的情況,但卻反映出依賴傳統 VPN 來遠端存取關鍵 OT 和網路物理系統的實際風險。
VPN 是為 IT 而建,而非 OT
VPN 專為 IT 環境而設計,允許受信任的使用者透過網際網路連線至企業資源。其運作方式是在使用者與內部網路之間建立加密隧道。雖然這聽起來很安全,但它假設使用者是值得信任的,而且一旦進入網路,他們的存取應該是不受限制的,或最多是受控制的。
這種信任模式在 OT 環境中存在極大缺陷。與 IT 系統不同,OT 環境對中斷極為敏感,通常包括安全能力有限的舊式設備,而且通常全天候運作以控制實體流程。對這些網路進行廣泛、無管理的存取,尤其是來自承包商或 OEM 供應商等第三方的存取,可能會造成嚴重的漏洞。
當 VPN 成為 OT 的負擔時
以下是 VPN 不適用於 OT 環境的幾個原因:
- 過度權限存取
VPN 通常提供網路層級存取,這表示使用者一旦連線,就可以在 OT 網路中橫向移動。這違反了最小權限原則。 - 持續連線
VPN 通道可以長時間保持開啟,形成持續的攻擊面。如果攻擊者入侵端點或憑證,他們就可以維持未被察覺的存取。 - 缺乏會話控制
VPN 不提供針對使用者動作的細粒度控制,也缺乏使用者進入隧道後的監控功能。沒有通訊協定過濾、沒有指令檢查、沒有會話記錄,也沒有警示。如果惡意行為者或疏忽的技術人員進行變更,在造成損害之前通常無法得知。對於使用者在 OT 環境中的活動沒有可視性,也沒有會話記錄或稽核追蹤的原生支援。 - 不安全的端點
VPN 將網路邊界延伸至遠端裝置,而遠端裝置可能並不安全。被入侵的承包商筆記型電腦會成為進入關鍵系統的入口。 - 無法與 OT 通訊協定原生整合
傳統 VPN 不瞭解或管理 OT 特定通訊協定。這限制了它們執行通訊協定層級過濾或指令限制的能力。此外,VPN 無法保護或隔離本質上不安全的工業通訊協定,例如 Modbus、DNP3 或 BACnet。這些通訊協定缺乏內建加密或驗證功能,一旦透過 VPN 通道暴露,就很容易被挾持。 - 高營運負擔
VPN 和跳躍伺服器的管理複雜、稽核困難,而且擴充成本高昂,特別是涉及多個承包商和網站時。
更安全、更聰明的替代方案:MetaDefender OT Access
MetaDefender OT Access專為工業環境打造的安全、政策驅動遠端存取解決方案。與傳統的 VPN 不同,它不會預設信任端點。相反,它會執行嚴格的存取規則、會話控制,以及專為 OT 量身打造的通訊協定檢查。
MetaDefender OT Access 的主要功能包括
細緻的 RBAC(基於角色的存取控制)
只有授權使用者才能存取特定資產、協定或會話。不再有開放的隧道或不必要的權限。
互動會議批准
每個存取階段都可以由核准工作流程授予,確保在授予存取權之前有人工監督。
完整的會議記錄和審計
MetaDefender OT Access 提供完整的遠端會話稽核記錄,這對於合規性和鑑識調查非常重要。
通訊協定層級控制
與 VPN 不同,MetaDefender OT Access 能理解 OT 通訊協定,並允許深度封包檢查、指令過濾和強制執行通訊邊界。
無直接網路接觸
終端使用者絕不會直接連線至 OT 網路。取而代之的是,會話透過安全跳轉點中介,大幅降低攻擊面。
VPN 打開大門。MetaDefender OT Access 保護它。
Industrial 組織再也無法承受 VPN 在其 OT 環境中所造成的風險。攻擊面不斷擴大,而攻擊者正在利用最弱的連結 - 通常是透過遠端存取。NERC CIP、IEC 62443 和 NIST 800-82 等法規框架已經強調對遠端存取路徑進行更嚴格的控制。
MetaDefender OT Access 提供現代化的選擇,符合零信任原則和工業網路的現實。透過以安全、可觀察及政策驅動的遠端存取解決方案取代 VPN,OT 環境可在不犧牲作業效率的情況下保持彈性。
