El acceso remoto seguro para los sistemas OT comienza con la confianza cero

Acelere la digitalización de sus redes industriales y ayude a su negocio a maximizar el tiempo de actividad, aumentar la productividad y mantener seguros a los trabajadores.

El acceso a los sistemas de tecnología operativa (OT) es demasiado amplio.

Muchas empresas han sido víctimas de violaciones de seguridad debido a que los atacantes aprovechan las vulnerabilidades de las VPN tradicionales y otras soluciones de seguridad basadas en dispositivos que se utilizan para proporcionar acceso remoto a sistemas de tecnología operativa (OT) o sistemas de control industrial (ICS). Tanto si se debe a ransomware, malware o terceros maliciosos, los resultados son los mismos: costosas violaciones de seguridad que ponen en riesgo las líneas de producción y tienen un impacto negativo en los ingresos de la empresa y la reputación de la marca.

Con la mayoría de las soluciones de acceso remoto, los empleados, contratistas y socios externos obtienen acceso completo a la red de OT. En la mayor parte de los casos, las soluciones de acceso remoto, como la VPN, ponen en riesgo los sistemas OT o ICS al mantener el acceso disponible las 24 horas del día, los 7 días de la semana en Internet. Estos usuarios con exceso de privilegios introducen un alto riesgo en el entorno de producción porque realmente no están sometidos a control alguno mientras están en la red de OT.

Entonces, ¿cómo puede proporcionar acceso remoto seguro a sus sistemas ICS a la vez que permite el mantenimiento oportuno de sus líneas de producción, sin darles acceso completo a su red OT?

diagrama que muestra la OT tradicional

Los proveedores solo necesitan acceder a sus sistemas ICS específicos, ¿por qué introducirlos en la red OT?

Sabemos que es arriesgado extender el acceso completo y lateral a la red de OT a todos los usuarios, pero es necesario proporcionarles acceso a sus sistemas específicos de OT. La solución consiste en desvincular el acceso al software de gestión de sistemas de OT de la red, al tiempo que se segmenta el acceso basándose en los usuarios y las aplicaciones individuales. La única manera de conseguirlo es mediante la tecnología de acceso a la red de confianza cero (ZTNA).

Mientras que la mayoría de las soluciones de acceso remoto basadas en el modelo de referencia Purdue para redes OT están centradas en la red, ZTNA se centra en proporcionar una conectividad segura entre el usuario (empleado, socio externo o contratista) y las aplicaciones empresariales autorizadas, nunca la red. El resultado es un acceso microsegmentado a los sistemas OT que mantiene la seguridad al tiempo que reduce los riesgos del acceso de terceros con privilegios excesivos.

Seguridad

Antes: a los empleados, proveedores y contratistas se les daba acceso lateral a la red, lo que exponía los sistemas OT a riesgos innecesarios.
Después: el acceso de confianza cero solo da a los usuarios acceso a sistemas ICS autorizados, no a la red OT.

Sencillez

Antes: las soluciones de acceso remoto requerían la descarga de un cliente en un dispositivo gestionado o personal.
Después: independientemente del dispositivo o la ubicación, un usuario puede simplemente utilizar un navegador para obtener acceso a los sistemas ICS autorizados.

Superficie de ataque reducida

Antes: las soluciones de acceso remoto eran propensas a ataques con numerosas vulnerabilidades. El software del sistema OT no reparable amplió este riesgo.
Después: las soluciones ZTNA eliminan esta superficie de ataque al hacer que los sistemas OT sean invisibles. La mejor defensa contra los sistemas OT no parcheable es mantener el mayor espacio posible entre TI y OT.

Eliminar el riesgo de acceso remoto es fácil con un servicio de acceso a la red de confianza cero (ZTNA)

El acceso remoto seguro para los sistemas de OT habilitado por Zscaler Private Access es un servicio de ZTNA que adopta un enfoque centrado en el usuario y la aplicación para la seguridad de OT. Tanto si un usuario es un empleado, contratista o socio externo, ZPA garantiza que solo los usuarios autorizados tengan acceso a sistemas o aplicaciones ICS específicos sin proporcionarles nunca acceso a la red OT. En lugar de depender de dispositivos físicos o virtuales, ZPA utiliza un software ligero y agnóstico para la infraestructura, como los contenedores Docker o las máquinas virtuales, junto con las capacidades de acceso del navegador, para conectar sin problemas a todo tipo de usuarios con los sistemas y aplicaciones de OT a través de conexiones internas que se establecen dentro de Zero Trust Exchange de Zscaler.

Diagrama de OT de Zscaler

El concepto de perímetro definido por software

1.   Servicio de acceso por navegador o acceso basado en el cliente
    • Ambos métodos redirigen el tráfico al IDP para la autenticación y el multifactor
    • El acceso por navegador elimina la necesidad de descargar el cliente en el dispositivo
    • El acceso al navegador aprovecha la transmisión basada en HTML5
    1. ZPA Public Service Edge
    • Protege la conexión de usuario a aplicación
    • Aplica todas las políticas de administración personalizadas
    3.  App Connector
    • Se encuentra delante de los sistemas y aplicaciones de OT en el centro de datos, Azure, AWS y otros servicios de nube pública
    • Proporciona conexiones de dentro afuera TLS 1.2 con el intermediario
    • Hace invisibles los sistemas OT para evitar ataques DDoS
    Siemens
    Siemens y Zscaler:
    Partnering to extend zero trust security to smart factories.

    El acceso mediante navegador permite el acceso seguro de un proveedor externo en cuestión de minutos

    Con el servicio de acceso por navegador ZPA, los socios externos y los usuarios obtienen acceso seguro a los sistemas OT sin necesidad de un cliente. Los socios ya no tienen que superar obstáculos innecesarios para acceder de forma segura a los sistemas de OT: simplemente utilizan su propio dispositivo para acceder sin esfuerzo a través de Internet. El resultado es un acceso de terceros altamente controlado que permite a los usuarios conectarse a los sistemas de OT desde cualquier dispositivo, en cualquier lugar y en cualquier momento.

     

    Ventajas
    • Experiencia fluida para socios y usuarios
    • Acceso seguro al sistema de OT desde dispositivos propios del usuario
    • Limite la exposición de los sistemas ICS no parcheables
    • Integración con los principales IDP
    una mujer que trabaja con un ordenador portátil permite el acceso seguro de socios en cuestión de minutos con el acceso al navegador de zpa
    Nozomi Logo

    Nozomi Networks y Zscaler:

    Extend zero trust security to the industrial OT/IoT edge.

    HISTORIAS DE CLIENTES
    MAN Energy Solutions

    MAN Energy Solutions habilita la transformación de redes y aplicaciones con Zscaler

    ZENITH LIVE

    Explore cómo implementar la confianza cero en la planta de fabricación

    Recursos sugeridos

    ARTÍCULO

    ¿Qué es la seguridad OT?

    BLOG

    Las cinco cosas que los CIO y los CISO deben saber para proteger los sistemas de OT

    Vídeo

    Adaptación de las defensas de ciberseguridad para la convergencia TI - OT con Siemens y Zscaler

    DE-UN-VISTAZO

    Beneficios del acceso remoto seguro de Zscaler para sistemas de OT

    COMUNICADO DE PRENSA:

    Siemens y Zscaler se asocian para proporcionar soluciones de seguridad integrada de confianza cero para OT/TI

    HISTORIA DE CLIENTE:

    Kubota Australia habilita almacenes sin infraestructura con Zscaler