0
0
Até agora, temos uma boa compreensão do que é o acesso remoto seguro (SRA) e por que as organizações podem optar por habilitá-lo para seus ambientes OT. Também sabemos que garantir a colaboração IT-OT,aproveitar a orientação das estruturas de práticas recomendadas e usar uma solução automatizada pode ajudar as organizações a implementar esse tipo de acesso. Mesmo assim, ainda não temos uma visão detalhada de como implementar o acesso remoto industrial na prática.
SRA Em todo o Ambiente Industrial
Não é possível que as organizações garantam acesso remoto seguro em seus ambientes industriais em apenas um passo. Um acesso remoto industrial eficaz exige que as organizações incorporem medidas de segurança em três zonas de seus ambientes OT: a zona da máquina, a zona corporativa e a zona externa. Usaremos o ProSoft para investigar isso abaixo.
Zona da Máquina
A zona da máquina é uma seção dos ambientes industriais de uma organização que consiste no equipamento de controle de máquinas, na rede que conecta essas peças de máquinas e em módulos de acesso remoto (se implantados). Muitas organizações maiores têm diferentes zonas de máquinas para manter diferentes áreas de seus processos industriais separadas. Quando combinadas, essas zonas criam a zona de planta.
Pode ser tentador simplesmente usar um PC com uma conexão remota de desktop para permitir o acesso remoto a uma zona de máquina. Mas isso cria três problemas. Primeiro, um ator mal-intencionado poderia usar os recursos avançados de rede do PC para contornar o DMZ da organização se eles tivessem sucesso em comprometer o dispositivo. Eles poderiam então acessar partes da rede que de outra forma estariam fora dos limites e, posteriormente, aproveitar esse acesso para lançar ataques digitais.
Em segundo lugar, o PC vem com um sistema operacional completo cujos componentes sofrerão de vulnerabilidades no futuro. O problema é que o construtor de máquinas ou integrador de sistemas é frequentemente responsável pela emissão deste dispositivo, o que significa que ele pode não se enquadrar na estratégia de gerenciamento de patches do departamento de TI. Na ausência dessas correções, os invasores digitais poderiam usar essas vulnerabilidades para ter acesso à rede.
Em terceiro lugar, os PCs tradicionais não vêm com os componentes necessários para a gestão de equipamentos de controle industrial. As organizações devem, portanto, comprar licenças para esse software, criando assim mais programas que o pessoal de segurança deve monitorar.
Um gateway de acesso remoto dedicado não sofre com as deficiências identificadas acima. Conecta-se diretamente à rede de máquinas local e à rede de áreas de ampla área celular, proibindo assim o acesso a partes sensíveis do ambiente industrial da organização. O gateway de acesso remoto também não vem com todas as capacidades de um PC; indivíduos nefastos, portanto, não podem usá-lo como uma plataforma para lançar ataques digitais. Por fim, esses tipos de soluções podem estar sujeitas a testes contínuos de penetração e varreduras regulares de vulnerabilidade que ajudam a eliminar as fraquezas de segurança, dependendo de seu provedor.
Zona Empresarial
A zona corporativa tende a ser mais complicada do que a zona da máquina. Esta seção contém computadores pessoais da organização, sistemas de e-mail, bancos de dados de clientes e outros ativos de TI. Como tal, geralmente contém soluções de segurança como um meio de defender esses ativos de TI contra instâncias de acesso malicioso.
As organizações poderiam teoricamente usar uma VPN corporativa ou um portal de fornecedores dedicado para proteger esses recursos. Mas uma ferramenta VPN convidada pode dar ao usuário remoto mais acesso do que eles precisam. Isso pode ameaçar os dados da organização se um invasor for capaz de comprometer a conta do usuário remoto. Não só isso, mas os engenheiros precisarão criar uma nova conexão entre a zona corporativa e a zona da máquina. Eles poderiam inadvertidamente deixar alguns dos ativos corporativos da organização abertos para atacar fazendo isso.
Em contraste com uma VPN, uma fuga de acesso remoto permite acesso remoto apenas à rede da máquina e não lhes concede muita visibilidade sobre a zona corporativa. Ele também usa criptografia para conectar a máquina à Internet, tudo isso ajudando a manter a máquina e a rede corporativa da organização separadas.
Zona Externa
Por último, mas não menos importante, as organizações devem tomar as medidas necessárias para proteger a zona externa. Este segmento do ambiente industrial inclui o computador do usuário remoto, o serviço de conectividade em nuvem e outras infraestruturas de comunicação. Em outras palavras, consiste em elementos-chave que existem fora da zona empresarial.
Algumas soluções para acesso remoto só funcionam se usuários remotos instalarem software correspondente em seu PC. Este cenário apresenta alguns riscos à segurança, no entanto. Atores mal-intencionados podem tentar enganar esse usuário remoto para instalar uma versão falsa ou trojanizada desse software em sua máquina, por exemplo. Enquanto isso, a TI não pode ter certeza de que o usuário remoto está regularmente mantendo esse software atualizado.
Os engenheiros também podem pensar em fornecer acesso remoto seguro instalando ferramentas VPN gratuitas em um servidor com um endereço IP público estático em vez de usar o 2FA. Fazer isso criaria mais trabalho para eles. Eles precisarão ser extremamente cuidadosos com suas configurações para que possam mitigar todos os vários vetores de ataque que atores mal-intencionados poderiam aproveitar para abusar do software VPN. Eles também precisarão verificar constantemente se há atualizações de vulnerabilidade e segurança.
Tudo isso equivale a muito mais trabalho do que um gateway de acesso remoto pode exigir. Muitos desses tipos de soluções não exigem nenhum software instalado pelo usuário, por exemplo. Eles também geralmente dependem de recipientes que executam apenas os componentes de microsserviço que são necessários pelo aplicativo. Neste tipo de implantação, é menos viável que uma falha de segurança em um componente do SO comprometa o serviço de forma mais ampla.
Implementação de acesso remoto seguro em sua organização
Como indicado acima, os gateways de acesso remoto oferecem benefícios claros para as organizações que buscam implementar a SRA em seus ambientes industriais. As organizações só precisam ter certeza de que trabalham com um provedor de soluções confiável e experiente se decidirem seguir esse caminho.
Tripwire entende esse fato. É por isso que decidiu fazer uma parceria com a ProSoft para revender as soluções de ACESoft Secure Remote Access (SRA). Essas soluções conversam diretamente com dispositivos de automação. Ao fazer isso, eles permitem que os clientes configurem dois tipos de conexões de acesso remoto, o SEGURO De acesso remoto (SRA) sob demanda, que é para um propósito específico e uma PDN (Persistent Data Network, rede de dados persistente) sempre em dia, mantendo controles fundamentais de segurança.
FONTE: TRIPWIRE