שליחת יומנים, התראות ונתוני טלמטריה באמצעות דיודה נתונים

גלו כיצד
אנו משתמשים בבינה מלאכותית לתרגום האתר, ועל אף שאנו שואפים לדיוק מרבי, ייתכן שהתרגומים אינם מדויקים במאת האחוזים. אנו מודים לך על ההבנה.
דף הבית/ בלוג / גישה מרחוק ללא חשיפה: חברת אנרגיה...
אנרגיה | סיפורי לקוחות

גישה מרחוק ללא חשיפה: חברת אנרגיה פותחת את מערכות ה-OT שלה תוך שהיא סוגרת את הדלת בפני סיכונים

גישה Secure וניתנת לביקורת באמצעות RDP למערכות OT קריטיות עם MetaDefender Access™
מאת ויויאן ורצקי
שתף את הפוסט הזה

אודות החברה: חברת אנרגיה אזורית בצמיחה, המפעילה נכסי ייצור, הולכה וחלוקה במספר מדינות בדרום-מזרח אסיה. עם כ-5,000 עובדים ויותר מ-20 אתרי פעילות, החברה מספקת שירות למיליוני לקוחות וממלאת תפקיד חיוני ביציבות הרשת האזורית. סביבת העבודה שלה כוללת חדרי בקרה ותחנות משנה המפעילים מערכות SCADA, DCS, HMI ו-PLC, הנתמכות על ידי מהנדסים פנימיים וספקים חיצוניים.

מה הסיפור? בעבר הסתמכה חברת התשתיות הזו על רשתות VPN מיושנות וכלי גישה מרחוק כלליים כדי לאפשר למהנדסים ולספקים חיצוניים להתחבר למערכות חדרי הבקרה במספר אתרים. גישה זו גרמה לצוותי ה-IT וה-OT להתמודד עם נראות מוגבלת, הרשאות גישה מוגזמות, יציאות חומת אש פתוחות ולחץ גובר מצד גופי הביקורת בנוגע לשאלה מי ניגש למערכות ה-OT, מתי ואיך. באמצעות הטמעת שער גישה מרחוק מאובטח ל-OT עם בקרה מדויקת על RDP, הארגון צמצם את החשיפה, אכף את עקרון "הרשאות מינימליות" (Least Privilege) והעניק לצוותי התפעול גישה מהירה ובטוחה יותר, מבלי לשבש את שירותי האנרגיה הקריטיים.

בשל אופי העסק, שם הארגון המופיע בכתבה זו נשמר אנונימי על מנת להגן על שלמות עבודתו.

תַעֲשִׂיָה:

אנרגיה ושירותים

מִקוּם:

דרום מזרח אסיה

גוֹדֶל

כ-5,000 עובדים

מוצרים בשימוש:

MetaDefender OT Access

מדוע גישה Secure היא אתגר בסביבות OT

ציטוט אייקון

הסיכון הגדול ביותר לא היה הגישה מרחוק עצמה, אלא היעדר השליטה והשקיפות ברגע שהמשתמשים נכנסו לרשת ה-OT

תמיכה בגישה מרחוק בסביבת OT היא מטבעה מורכבת. נדרשה יכולת לאזן בין זמן פעולה, בטיחות ומהירות, תוך הגנה על מערכות בקרה ישנות שמעולם לא תוכננו לקישוריות מודרנית. מהנדסים פנימיים וספקים חיצוניים נדרשו לגישה תכופה לצורך תצורה, תחזוקה ותגובה לתקריות, אך כל חיבור לסביבת ה-OT הרחיב את שטח החשיפה לתקיפות.

5 סיבות מדוע רשתות VPN וכלי גישה מרחוק כלליים נכשלים ברשתות OT

החברה הסתמכה על רשתות VPN ישנות וכלי גישה מרחוק כלליים, שהרחיבו את רמת האמון ברמת הרשת לאזורי OT רגישים. לאחר ההתחברות, למשתמשים הייתה לעתים קרובות נראות וגישה נרחבות יותר מהנדרש, מה שיצר סיכון שצוות האבטחה לא הצליח להכיל או לפקח עליו בקלות.

5 אתגרים מרכזיים

  1. גישה מוגזמת: קישוריות מבוססת VPN העניקה גישה רחבה לרשת, במקום להגביל את המשתמשים לנכסי OT או למסכים ספציפיים
  2. נראות מוגבלת של הפעלות: צוותי האבטחה לא יכלו לראות מה המשתמשים עושים במהלך הפעלות RDP פעילות או להתערב בזמן אמת
  3. סיכון לתנועה רוחבית: לאחר חדירתם למערכת, המשתמשים עלולים לנוע בין קטעי OT שונים, ובכך להגדיל את טווח הפגיעה
  4. יציאות חומת אש פתוחות: דרישות הגישה הנכנסת יצרו נקודות חשיפה קבועות בתשתיות קריטיות
  5. העומס הכרוך בביקורת ובציות לתקנות: הוכחת זהות המשתמשים שנכנסו למערכות השונות, משך הזמן שבו שהו בהן והפעולות שביצעו דרשה מאמץ ידני ורישומי יומן מקוטעים

ההשפעה העסקית והתפעולית

  • עלייה בסיכוני הסייבר בסביבות SCADA, DCS, HMI ו-PLC
  • תגובה איטית יותר במהלך חלונות תחזוקה ובמקרים של תקלות עקב פתרונות עוקפים לגישה
  • הלחץ הגובר על מנהל אבטחת המידע (CISO) להוכיח כי קיימים אמצעי בקרה מחמירים יותר ומוכנות לביקורת
  • ירידה בביטחון כי הגישה מרחוק תואמת את עקרונות "הרשאות מינימליות"

מה צריך לספק פתרון Secure לגישה מרחוק Secure ?

ציטוט אייקון

היינו זקוקים לגישה באמצעות RDP מבלי להיחשף לסיכון הכרוך חשיפת רשת ה-OT.

חברת התשתיות נזקקה לפתרון גישה מרחוק ייעודי לתשתית תפעולית (OT), שיאכוף את עקרון "הרשאות מינימליות", יבטל את החשיפה הנכנסת ויספק יכולת ביקורת מלאה מבלי להאט את הפעילות. צוותי האבטחה וה-OT הסכימו כבר בשלב מוקדם על עיקרון ברור: הגישה מרחוק חייבת לתמוך בעבודת ההנדסה השוטפת מבלי להעניק הרשאות לרשת ה-OT עצמה. כל פתרון נדרש להפחית את הסיכון הסייבר כברירת מחדל, תוך שמירה על פרקטיות עבור מהנדסים, מפעילי מערכות וספקים חיצוניים העובדים במספר אתרים.

Core

כדי להחליף את הגישה המבוססת על VPN בצורה בטוחה, התוכנה הגדירה את הקריטריונים הבאים:

  • בקרה מדויקת על RDP: מאפשרת למהנדסים לגשת לממשקי HMI וכלי אבחון מבוססי Windows מבלי להעניק להם נראות ברשת כולה או הרשאות בלתי מוגבלות
  • אכיפת "זכויות מינימליות": על המשתמשים לראות ולפעול רק עם נכסים שאושרו במפורש, ללא יכולת לנוע לרוחב
  • יכולת ביקורת חזקה: יש לתעד כל הפעלה, להקליט אותה במידת הצורך, ולקשר אותה למשתמש, לנכס ולפרק זמן ספציפיים
  • אין חשיפה של חומת האש הנכנסת: הגישה מרחוק חייבת לפעול מבלי לפתוח יציאות לרשתות OT
  • התאמה תפעולית ל-OT: הפתרון חייב לתמוך במערכות קיימות, לצמצם ככל האפשר שינויים בארכיטקטורה ולמנוע השבתות במהלך הפריסה

מה שהם רצו למנוע

הניסיון העבר קבע מה החברה לא רצתה לחזור עליו:

  • כלי גישה מרחוק כלליים מתחום ה-IT שהוסבו לשימוש בתחום ה-OT
  • גישה ברמת הרשת שהרחיבה את טווח הפגיעה
  • הכנה ידנית של ביקורת באמצעות יומני רישום מקוטעים
  • אמצעי אבטחה שהאטו את תהליכי התחזוקה או את התגובה לתקריות

מבחינת ההנהלה, נקודת המפנה הייתה ההבנה שהגישה מרחוק כשלעצמה אינה הבעיה. הבעיה הייתה האופן שבו הוענקה הגישה, נאכפה ונערכה בקרה עליה.

דרכים Secure גישה Secure למערכות OT מבלי לחשוף את הרשת

ציטוט אייקון

נקודת המפנה הייתה המעבר מגישה לרשת למפגשים מבוקרים, מבלי לשבש את הפעילות.

הפתרון צמצם את הסיכונים הכרוכים בגישה מרחוק לתשתיות תפעוליות (OT) ושיפר את השליטה התפעולית באמצעות מעבר מגישה ברמת הרשת לקישוריות RDP מבוססת-הפעלה, המנוהלת על פי מדיניות. הגישה מרחוק לסביבות OT הפכה למבוקרת, ניתנת לביקורת ומבודדת מעצם תכנונה. מהנדסים וספקים יכלו להתחבר למערכות הספציפיות שנדרשו להם, בדיוק מתי שנדרשו, מבלי לחשוף את רשת ה-OT הרחבה יותר או לפתוח יציאות נכנסות בחומת האש.

איך הם הצליחו בכך

החברה יישמה MetaDefender Access™ כשער גישה מרחוק מאובטח, שתוכנן במיוחד עבור סביבות OT. במקום להרחיב את הגישה באמצעות VPN לרשתות הבקרה, הפלטפורמה אכפה גישה ברמת ההפעלה, תוך שימוש בבקרות נראות ומדיניות קפדניות המותאמות לתפקידים התפעוליים.

5 מרכיבים מרכזיים של הפתרון

  1. גישה RDP מפורטת למערכות OT
    למהנדסים הוענקה גישה RDP אך ורק לממשקי HMI מבוססי Windows, לתחנות עבודה הנדסיות או למערכות אבחון שאושרו. המדיניות הגדירה אילו פעולות מותרות במהלך כל הפעלה, ובכך צמצמה את הסיכון לשימוש לא נאות או לשינויים בשוגג.
  2. אכיפת "קו ראייה" ו"הרשאות מינימליות"
    המשתמשים יכלו לראות ולבצע פעולות רק עם נכסים שהוקצו להם במפורש. לא הייתה כל אפשרות לגלוש ברשת ה-OT או לנוע לרוחב בין מערכות.
  3. קישוריות מאובטחת ליציאה בלבד
    שער הגישה ל-OT יזם חיבורי TLS ליציאה בלבד, ובכך ביטל את הצורך בפתיחת יציאות נכנסות בחומת האש והפחית את שטח החשיפה לתקיפות של התשתית הקריטית.
  4. ניטור, תיעוד והקלטה של הפעלות
    כל ההפעלות המרוחקות תועדו, ובמידת הצורך הוקלטו. צוותי ה-OT והאבטחה יכלו לפקח על הפעלות בזמן אמת או לעיין בפעילות מאוחר יותר לצורך תמיכה בביקורות ובחקירות.
  5. העברתSecure לסביבות OT
    כאשר נדרשו קבצי תצורה, סקריפטים או תיקונים, העברת הקבצים שולבה עם העברת קבצים מנוהלת וסריקת תוכנות זדוניות באמצעות מספר מנועים, כדי למנוע מתוכן זדוני לחדור למערכות OT.

מדוע גישה זו הצליחה

במקום לבקש מצוותי ה-OT לשנות את אופן עבודתם, הפתרון התאים את עצמו למציאות התפעולית, תוך אכיפה שקופה של בקרות אבטחה ברקע. הגישה כבר לא התבססה על אמון ברשת, אלא על משתמשים מורשים בהתאם לתפקידים ולמדיניות שהוגדרו.

מגישה מסוכנת לשליטה מדידה

ציטוט אייקון

הגישה מרחוק הפכה מסיכון הכרחי ליכולת תפעולית מבוקרת

החברה השיגה שליטה תפעולית אמיתית על הגישה מרחוק לתשתיות OT, ובכך צמצמה את הסיכונים והפכה את תהליכי הביקורת, התחזוקה והתגובה לתקריות למהירים וצפויים יותר. השיפורים התפעוליים היו מיידיים וניכרים בקרב צוותי האבטחה, ה-OT והתאימות. הגישה מרחוק חדלה מלהיות נקודת תורפה והפכה לתהליך מבוקר וניתן לשחזור.

שיפורים תפעוליים

  • צמצום החשיפה לשעות נוספות: ביטול יציאות חומת האש הנכנסות באמצעות מנהרות TLS המיועדות ליציאה בלבד, ובכך צמצום שטח החשיפה להתקפות חיצוניות
  • פיקוח מחמיר יותר על הגישה: מהנדסים וספקים ניגשו רק למערכות שאושרו, ללא תנועה רוחבית
  • ביקורות מהירות יותר: יומני הפעלה והקלטות החליפו את איסוף הראיות הידני
  • תגובה משופרת לאירועים: צוותים יכלו להעניק גישה לזמן מוגבל במהירות מבלי להקל את אמצעי האבטחה

ההשפעה על הצוותים

  • צוותי האבטחה השתכנעו כי הגישה מרחוק תואמת את עקרונות אכיפת הגישה של "הרשאות מינימליות" ו"אמון אפס"
  • צוותי ה-OT השקיעו פחות זמן בטיפול בחריגות גישה ויותר זמן בתחזוקת המערכות
  • להנהלה הייתה ודאות ברורה יותר כי הסיכון הכרוך בגישה מרחוק נמצא תחת שליטה, מבלי לפגוע בזמינות המערכת

לפני ואחרי OT Access מרחוק OT Access

לפני כן

לאחר

גישה לרשת באמצעות VPN

גישה ל-RDP מבוססת-הפעלה

נראות רחבה לאחר החיבור

קו ראייה לנכסים מאושרים בלבד

נראות מוגבלת של הפעילות

תיעוד והקלטה מלאים של כל הפגישה

לפתוח יציאות נכנסות בחומת האש

חיבורים מאובטחים ליציאה בלבד

הכנה ידנית לביקורת

רישומי גישה המותאמים לבדיקה כברירת מחדל

הרחבת Secure בסביבת OT ההולכת וגדלה

ציטוט אייקון

כיצד יכולים ארגוני תשתיות להרחיב את הגישה המרוחקת המאובטחת לתשתיות תפעוליות (OT) ככל שהתפעול מתרחב?

עם הטמעת הגישה המרוחקת המבוקרת ל-OT, החברה נמצאת בעמדה המאפשרת לה להרחיב את הגישה המאובטחת באמצעות RDP ולשלב יומני הפעלה והקלטות של הפעלות RDP במסגרת פעילות האבטחה הרחבה יותר. ככל שהחברה תמשיך במודרניזציה ובדיגיטליזציה של פעילותה, צפויות דרישות הגישה המרוחקת לגדול, הן בהיקפן והן בהיקפן. במקום להטמיע פתרונות נקודתיים חדשים, הארגון מתכנן להמשיך ולבנות על אותה תשתית בקרת גישה כדי לשמור על עקביות ולהפחית את המורכבות התפעולית.

אפשרויות הרחבה הנמצאות בבחינה

  • כיסוי RDP נרחב יותר על נכסי OT
    הרחב את הגישה המאובטחת באמצעות RDP למערכות נוספות המבוססות על Windows, כגון שרתים לאחסון נתונים היסטוריים, תחנות עבודה הנדסיות ובקרי קצה, תוך שמירה על אותה מדיניות של "הרשאות מינימליות" ואכיפת "קו ראייה".
  • שילוב מעמיק יותר של פעולות אבטחה
    : קישור בין יומני והקלטות של הפעלות RDP לפלטפורמות SIEM ו-SOAR, כדי לספק הקשר עשיר יותר במהלך חקירות ותגובה מהירה יותר לאירועים.
  • תמיכה ביוזמות דיגיטליות עתידיות
    השתמש באותה תשתית גישה כדי להבטיח קישוריות מאובטחת לפלטפורמות ניתוח נתונים המארחות בענן או לשערי דיגיטליזציה של OT, ובכך להבטיח עקביות במדיניות ככל שהארכיטקטורות מתפתחות.

צמצום הפער בין נגישות לאמינות

ציטוט אייקון

גישה מבוקרת, ולא קישוריות, היא זו שמגנה על פעולות קריטיות.

באמצעות חשיבה מחודשת על הגישה מרחוק למערכות OT, הצליחה חברת התשתיות להפחית את הסיכון הסייבר, לשפר את המוכנות לביקורת ולאפשר למהנדסים לעבוד ביעילות מבלי לפגוע בתשתית הקריטית. באמצעות הטמעת MetaDefender OT Access, עברה הארגון משיטת אמון ברמת הרשת לשימוש בהפעלות RDP מבוקרות ומבוססות מדיניות.

הגישה מרחוק הפכה למבודדת, ניתנת לביקורת ותואמת לעקרונות "הרשאות מינימליות", ללא חיכוכים תפעוליים. התוצאה הייתה מודל גישה מרחוק בטוח יותר וצפוי יותר, שתמך בזמינות, בתאימות ובחוסן תפעולי לטווח ארוך.

מסקנות סופיות

  • גישה מרחוק ל-OT אינה צריכה להגדיל את הסיכון כדי לתמוך בפעילות
  • בקרה מבוססת-הפעלה מספקת אבטחה חזקה יותר מאשר אמון ברמת הרשת
  • המוכנות לביקורת משתפרת כאשר הגישה מתועדת ומפוקחת כברירת מחדל
  • פתרונות גישה ל-OT שתוכננו במיוחד למטרה זו ניתנים להרחבה בצורה טובה יותר מאשר כלי IT שהוסבו למטרה זו

אם אתם מאבטחים גישה מרחוק למערכות SCADA, DCS, HMI או מערכות OT אחרות, ומתמודדים עם אתגרים דומים בתחום הסיכונים, הנראות והתאימות לתקנות, פנו OPSWAT כדי ללמוד כיצד MetaDefender OT Access לסייע לכם במודרניזציה של קישוריות ה-OT שלכם.

דבר עם מומחה
תגיות:

פוסטים אחרונים

הירשמו ל- OPSWAT ניוזלטר

קבלו את העדכונים האחרונים OPSWAT עדכוני חברה יחד עם מידע על אירועים וחדשות שמניעות את התעשייה קדימה.
הירשם

עקבו אחרינו ברשתות החברתיות Media

לַעֲקוֹב OPSWAT בלינקדאין, בפייסבוק, בטוויטר וביוטיוב שלכם לעוד!

סיפורים דומים

18 במאי 2026 | חדשות החברה

יצרנית רכב מחזקת את אבטחת המפעל באמצעות OPSWAT מתקפת "יום אפס"  

קרא עוד
14 במאי 2026 | חדשות החברה

האוניברסיטה סוגרת את הפער בנראות הרשת שבו הסתתרו התוקפים

קרא עוד
13 במאי 2026 | חדשות החברה

ארגון תקשורת מבטל נקודות מתות ברשת כדי לעצור איומים לפני שהם גורמים לשיבושים

קרא עוד

הישאר מעודכן עם OPSWAT !

הירשמו עוד היום כדי לקבל את העדכונים האחרונים של החברה, סיפורים, מידע על אירועים ועוד.
הירשם