為何在 OT 環境中難以實現Secure 存取
最大的風險並非遠端存取本身,而是一旦使用者進入 OT 網路後,便缺乏管控與可視性
在營運技術(OT)環境中支援遠端存取,本質上是一項複雜的任務。相關工具必須在確保系統正常運作時間、安全性與速度之間取得平衡,同時保護那些從未為現代連線能力所設計的舊式控制系統。內部工程師與第三方供應商需要頻繁存取系統以進行配置、維護及事件應變,但每次連入 OT 環境的連線,都會擴大攻擊面。
VPN 與通用遠端存取工具在 OT 網路中無法奏效的 5 大原因
該公用事業公司依賴傳統的 VPN 及通用遠端存取工具,將網路層級的信任延伸至敏感的營運技術(OT)區域。一旦連線,使用者往往擁有超出必要範圍的檢視權限與存取權限,從而產生了安全團隊難以有效控制或監控的風險。
5 大關鍵挑戰
- 過度寬鬆的存取權限:基於 VPN 的連線被授予廣泛的網路存取權限,而非將使用者限制在特定的營運技術資產或畫面
- 會話可見性有限:資安團隊無法查看使用者在進行中的 RDP 會話期間的行為,也無法即時介入
- 橫向移動風險:一旦入侵成功,使用者便可能在 OT 區段間移動,從而擴大攻擊範圍
- 開啟防火牆埠:入站存取需求在關鍵基礎設施中引入了持續性的安全漏洞
- 稽核與合規壓力:要證明誰存取了哪些系統、存取時間長短以及執行了哪些操作,過去必須仰賴人工處理,且日誌記錄零散
對業務與營運的影響
- SCADA、DCS、HMI 及 PLC 環境面臨的網路風險日益增加
- 在維護時段及發生事件期間,因需採用存取替代方案而導致回應速度較慢
- 資訊安全長面臨日益增大的壓力,須展現更強有力的管控措施及審計準備度
- 對遠端存取是否符合最小權限原則的信心有所減弱
Secure 遠端存取解決方案需要具備哪些功能?
我們需要 RDP 存取權限,同時避免承擔 暴露 OT 網路所帶來的風險。
該公用事業公司需要一套專為操作技術(OT)環境設計的遠端存取解決方案,該方案須能落實最小權限原則、消除外來入侵風險,並提供完整的稽核追蹤能力,同時不影響營運效率。資安團隊與 OT 團隊在初期便達成共識,確立了一項明確原則:遠端存取必須能支援日常工程作業,但不得將信任延伸至 OT 網路本身。任何解決方案都必須預設具備降低網路安全風險的能力,同時對在多個據點工作的工程師、操作人員及第三方供應商而言,仍須具備實用性。
Core
為了安全地取代基於 VPN 的存取方式,該工具定義了以下標準:
- 細粒度的 RDP 控制:讓工程師能夠存取基於 Windows 的 HMI 和診斷工具,同時無需授予全網可見性或無限制的權限
- 最小權限原則的執行:使用者僅應能查看及操作經明確批准的資產,且不得進行橫向移動
- 強大的可稽查性:每次會話都必須進行記錄,必要時須進行錄製,並與特定使用者、資產及時間區間相關聯
- 無需開啟入站防火牆端口:遠端存取必須能在不向 OT 網路開啟任何端口的情況下運作
- 營運適配性(針對 OT):該解決方案必須支援既有系統、將架構變更降至最低,並避免在部署期間發生系統停機
他們想避免的是
過往的經驗讓這家公用事業公司明白,哪些事情是他們不願重蹈覆轍的:
- 將通用 IT 遠端存取工具重新應用於 OT
- 網路層級的存取權限,擴大了攻擊範圍
- 利用零散的日誌進行手動稽核準備
- 導致維護或事件應變作業延遲的安全控制措施
對管理層而言,轉捩點在於意識到遠端存取本身並非問題所在。真正的問題在於存取權限的授予、執行與監控方式。
在不暴露網路的情況下,Secure 對 OT 系統進行Secure 存取的方法
轉捩點在於,在不影響營運的情況下,將系統從網路存取模式轉為受控連線模式。
該公用事業公司透過將存取方式從網路層級轉為基於工作階段且受政策約束的 RDP 連線,有效降低了 OT 環境的遠端存取風險,並強化了營運管控。對 OT 環境的遠端存取因此變得可控、可稽核,且在設計上實現了隔離。工程師與供應商得以在需要時,精確連線至所需的系統,無需暴露更廣泛的 OT 網路,亦無需開啟入站防火牆埠。
他們是如何做到的
該公用事業公司導入了MetaDefender Access™,作為專為 OT 環境設計的安全遠端存取閘道。該平台並未將 VPN 存取延伸至控制網路,而是透過嚴格的可視性與政策控制,依據營運角色量身打造,實施基於連線層級的存取管控。
解決方案的 5 大關鍵要素
- 針對 OT 系統的細粒度 RDP 存取權限
工程人員僅被授予對經核准的 Windows 基礎 HMI、工程工作站或診斷系統的 RDP 存取權限。相關政策明確規定了每個連線期間允許執行的操作,從而降低了遭濫用或意外變更的風險。 - 視線範圍與最低權限原則的實施
使用者僅能查看並操作明確指派給他們的資產。無法瀏覽 OT 網路,亦無法在系統之間進行橫向移動。 - 僅限外發的安全連線
該 OT 存取閘道器會主動建立僅限外發的 TLS 連線,無需開啟防火牆的入站埠,從而降低關鍵基礎設施的攻擊面。 - 會話監控、記錄與錄製
所有遠端會話均已記錄,並在必要時進行錄製。營運技術(OT)與資安團隊可即時監控會話,或事後檢視活動紀錄,以協助稽核與調查工作。 - Secure 傳輸至 OT 環境
當需要傳輸設定檔、指令碼或修補程式時,檔案傳輸功能已整合受管檔案傳輸與多引擎惡意軟體掃描機制,以防止惡意內容進入 OT 系統。
為什麼這種方法行得通
與其要求運維團隊改變工作方式,該解決方案選擇適應實際運作狀況,同時在後台透明地執行安全管控措施。存取權限不再基於對網路的信任,而是依據已定義的角色與政策,授予授權使用者權限。
從高風險的存取到可量化的管控
遠端存取已從一種不得不承擔的風險,轉變為一種可控的營運能力
該公用事業公司成功對 OT 遠端存取取得實質的營運控制權,不僅降低了風險,同時也使稽核、維護及事件應變作業更加迅速且可預測。這些營運上的改善立竿見影,並在資安、OT 及合規團隊中顯而易見。遠端存取不再是盲點,而是轉變為一個受管控且可重複執行的流程。
營運改善
- 減少 OT 系統的暴露風險:透過僅限外發的 TLS 隧道,關閉所有入站防火牆埠,從而縮小外部攻擊面
- 更嚴格的存取治理:工程師和供應商僅能存取經核准的系統,且不得進行橫向移動
- 更快速的稽核:會話日誌與錄影取代了手動蒐集證據
- 提升事件應變能力:團隊能夠迅速授予有限期的存取權限,同時不降低安全管控標準
對團隊的影響
- 安全團隊確信,遠端存取已符合「最小權限」與「零信任」存取原則的實施要求
- 運維團隊花在處理存取異常上的時間減少了,而花在系統維護上的時間則增加了
- 管理層更確信遠端存取的風險已受到控制,且不會影響系統正常運作時間
遠端OT Access前後對比
之前 | 之後 |
基於 VPN 的網路存取 | 基於工作階段的 RDP 存取 |
一經連接,即可享有廣泛的可見度 | 僅限與經核准資產保持視線範圍內 |
活動可見度有限 | 完整的會話記錄與錄製 |
開啟入站防火牆埠 | 僅限外連的安全連線 |
手動審計準備 | 預設即具備稽核就緒的存取記錄 |
在不斷擴展的 OT 環境中實現Secure
隨著營運規模擴大,公用事業公司該如何擴展安全的 OT 遠端存取服務?
隨著受控的 OT 遠端存取系統就緒,該公用事業公司已具備條件,可擴展安全的 RDP 存取功能,並將 RDP 連線日誌與錄影整合至更廣泛的安全運作中。隨著該公用事業公司持續推動營運現代化與數位化,預期遠端存取的需求將在數量與範圍上雙雙增長。該組織不打算導入新的點解決方案,而是計畫在現有的存取控制基礎上進行擴展,以維持一致性並降低營運複雜度。
正在考慮的擴展機會
- 擴大 RDP 對 OT 資產的覆蓋範圍
將安全的 RDP 存取權限擴展至其他基於 Windows 的系統,例如歷史資料伺服器、工程工作站和邊緣控制器,同時維持相同的「最低權限」原則與「直視範圍」強制執行機制。
- 更深入的安全運作整合
將 RDP 連線記錄與錄影與 SIEM 及 SOAR 平台進行關聯分析,以便在調查過程中提供更豐富的背景資訊,並加速事件應變。
- 支援未來的數位化計畫
透過相同的存取框架,確保與雲端託管分析平台或營運技術(OT)數位化閘道之間的連線安全,並在架構演進過程中維持政策的一致性。
縮短「存取」與「保障」之間的差距
保護關鍵運作的關鍵在於「受控存取」,而非「連通性」。
透過重新構思 OT 遠端存取機制,該公用事業公司不僅降低了網路安全風險、提升了稽核準備度,更讓工程師能在不危及關鍵基礎設施的前提下高效工作。藉由導入MetaDefender OT Access該組織成功從網路層級的信任機制,轉變為受控且基於政策的 RDP 連線。
遠端存取變得既能被隔離、可稽核,又符合最小權限原則,且不會造成營運上的阻礙。其結果是建立了一個更安全、更可預測的遠端存取模式,有助於維持系統正常運作時間、符合法規要求,並確保長期營運韌性。
最終重點
- OT 遠端存取無需增加風險即可支援營運
- 基於會話的控制比網路層級的信任更能提供更強的安全性
- 當存取行為預設會被記錄並受到管控時,稽核準備度便會提升
- 專為營運技術(OT)存取設計的解決方案,其擴展性優於經改裝的資訊技術(IT)工具
如果您正在為 SCADA、DCS、HMI 或其他 OT 系統的遠端存取建立安全防護,並面臨風險、可視性及合規性方面的類似挑戰,歡迎諮詢OPSWAT 了解MetaDefender OT Access 如何OT Access OT 連線現代化。
