Gửi nhật ký, cảnh báo và dữ liệu đo lường qua bộ Data Diode

Tìm hiểu cách thức
Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và mặc dù chúng tôi luôn cố gắng đảm bảo độ chính xác, nhưng đôi khi bản dịch có thể không đạt độ chính xác tuyệt đối. Mong quý vị thông cảm.
Năng lượng | Câu chuyện của khách hàng

Truy cập từ xa mà không lo rò rỉ thông tin: Công ty điện lực mở rộng hệ thống OT đồng thời ngăn chặn rủi ro

Truy cập RDP an toàn và có thể kiểm tra cho các hệ thống công nghệ vận hành (OT) trọng yếu với MetaDefender OT Access™
Bởi Vivien Vereczki
Chia sẻ bài viết này

Giới thiệu về công ty: Một công ty năng lượng khu vực đang trên đà phát triển, vận hành các tài sản về sản xuất, truyền tải và phân phối điện trên nhiều quốc gia tại Đông Nam Á. Với khoảng 5.000 nhân viên và hơn 20 cơ sở hoạt động, công ty này phục vụ hàng triệu khách hàng và đóng vai trò quan trọng trong việc đảm bảo sự ổn định của lưới điện khu vực. Hệ thống của công ty bao gồm các phòng điều khiển và trạm biến áp vận hành các hệ thống SCADA, DCS, HMI và PLC, được hỗ trợ bởi đội ngũ kỹ sư nội bộ và các nhà cung cấp bên thứ ba.

Đây là câu chuyện như thế nào? Trước đây, doanh nghiệp này sử dụng các giải pháp VPN truyền thống và công cụ truy cập từ xa thông dụng để hỗ trợ đội ngũ kỹ sư và nhà cung cấp bên thứ ba kết nối tới các hệ thống điều khiển tại nhiều cơ sở vận hành. Cách tiếp cận này khiến các nhóm CNTT và OT gặp khó khăn trong việc giám sát hoạt động truy cập, kiểm soát quyền hạn người dùng, quản lý các cổng mở trên tường lửa, đồng thời phải đối mặt với áp lực ngày càng lớn từ các yêu cầu kiểm toán và tuân thủ liên quan đến việc ai đã truy cập hệ thống OT, vào thời điểm nào và bằng phương thức nào. Sau khi triển khai cổng truy cập từ xa OT an toàn với khả năng kiểm soát chi tiết các phiên RDP, doanh nghiệp đã giảm đáng kể bề mặt tấn công, thực thi nguyên tắc đặc quyền tối thiểu và cung cấp cho đội ngũ vận hành khả năng truy cập nhanh chóng, an toàn mà không ảnh hưởng đến tính liên tục của các dịch vụ năng lượng trọng yếu.

Do tính chất của doanh nghiệp, tên của tổ chức được giới thiệu trong câu chuyện này đã được giữ ẩn danh để bảo vệ tính toàn vẹn của công việc của họ.

NGÀNH:

Năng lượng & Tiện ích

VỊ TRÍ:

Đông Nam Á

KÍCH CỠ

khoảng 5.000 nhân viên

SẢN PHẨM ĐƯỢC SỬ DỤNG:

MetaDefender OT Access

Vì sao việc bảo mật truy cập từ xa trong môi trường OT luôn là một thách thức

Trích dẫn biểu tượng

Rủi ro lớn nhất không phải là việc truy cập từ xa, mà là sự thiếu kiểm soát và khả năng theo dõi khi người dùng đã xâm nhập vào mạng OT

Việc hỗ trợ truy cập từ xa trong môi trường OT vốn dĩ đã rất phức tạp. Cần phải cân bằng giữa thời gian hoạt động, an toàn và tốc độ, đồng thời bảo vệ các hệ thống điều khiển cũ vốn không được thiết kế để hỗ trợ kết nối hiện đại. Các kỹ sư nội bộ và nhà cung cấp bên thứ ba cần truy cập thường xuyên để thực hiện cấu hình, bảo trì và xử lý sự cố, nhưng mỗi lần kết nối vào môi trường OT lại làm gia tăng diện tích tấn công.

5 lý do khiến VPN và các công cụ truy cập từ xa thông thường không hiệu quả trong mạng OT

Doanh nghiệp này phụ thuộc vào các giải pháp VPN truyền thống và công cụ truy cập từ xa phổ thông, cho phép mở rộng quyền truy cập dựa trên sự tin cậy ở cấp mạng vào các vùng OT nhạy cảm. Sau khi được cấp kết nối, người dùng thường có khả năng truy cập và quan sát nhiều hệ thống hơn mức cần thiết, làm gia tăng bề mặt tấn công và hạn chế khả năng giám sát, kiểm soát rủi ro của đội ngũ bảo mật.

5 thách thức chính

  1. Quyền truy cập quá rộng: Kết nối dựa trên VPN cho phép truy cập mạng rộng rãi thay vì giới hạn người dùng chỉ truy cập vào các tài sản OT hoặc màn hình cụ thể
  2. Khả năng theo dõi phiên làm việc bị hạn chế: Các nhóm bảo mật không thể theo dõi hoạt động của người dùng trong các phiên RDP đang diễn ra hoặc can thiệp theo thời gian thực
  3. Rủi ro lây lan ngang: Một khi đã xâm nhập vào hệ thống, người dùng có thể di chuyển qua các phân đoạn OT, làm gia tăng phạm vi ảnh hưởng
  4. Mở các cổng tường lửa: Các yêu cầu về truy cập vào đã tạo ra những lỗ hổng an ninh thường trực trong cơ sở hạ tầng trọng yếu
  5. Áp lực từ công tác kiểm toán và tuân thủ: Việc xác minh ai đã truy cập vào hệ thống nào, trong bao lâu và thực hiện những thao tác gì đòi hỏi phải thực hiện thủ công và dựa vào các bản ghi rời rạc

Tác động đến hoạt động kinh doanh và vận hành

  • Rủi ro an ninh mạng gia tăng đối với các môi trường SCADA, DCS, HMI và PLC
  • Tốc độ phản hồi chậm hơn trong các khung giờ bảo trì và khi xảy ra sự cố do phải sử dụng các giải pháp thay thế để truy cập
  • Áp lực ngày càng gia tăng đối với Giám đốc An ninh Thông tin (CISO) trong việc chứng minh các biện pháp kiểm soát chặt chẽ hơn và sự sẵn sàng cho các cuộc kiểm toán
  • Sự tin tưởng vào việc truy cập từ xa tuân thủ các nguyên tắc quyền truy cập tối thiểu đã giảm sút

Một giải pháp truy cập từ xa an toàn cho môi trường OT cần đáp ứng những yêu cầu gì?

Trích dẫn biểu tượng

Chúng tôi cần quyền truy cập RDP mà không phải đối mặt với rủi ro đi kèm với việc việc mạng OT.

Công ty dịch vụ công ích này cần một giải pháp truy cập từ xa dành riêng cho hệ thống OT, có khả năng áp dụng nguyên tắc “quyền truy cập tối thiểu”, loại bỏ các lỗ hổng bảo mật từ phía ngoài và đảm bảo khả năng kiểm toán toàn diện mà không làm chậm trễ hoạt động. Đội ngũ an ninh và đội ngũ OT đã thống nhất ngay từ đầu về một nguyên tắc rõ ràng: truy cập từ xa phải hỗ trợ công việc kỹ thuật hàng ngày mà không mở rộng quyền truy cập vào chính mạng OT. Bất kỳ giải pháp nào cũng phải giảm thiểu rủi ro an ninh mạng theo mặc định, đồng thời vẫn đảm bảo tính thực tiễn cho các kỹ sư, nhân viên vận hành và nhà cung cấp bên thứ ba làm việc tại nhiều địa điểm khác nhau.

Yêu cầu cốt lõi

Để thay thế phương thức truy cập dựa trên VPN một cách an toàn, tiện ích này đã xác định các tiêu chí sau:

  • Kiểm soát RDP chi tiết: Cho phép các kỹ sư truy cập các giao diện người dùng (HMI) và công cụ chẩn đoán chạy trên Windows mà không cần cấp quyền truy cập toàn mạng hoặc các đặc quyền không giới hạn
  • Áp dụng nguyên tắc "quyền truy cập tối thiểu": Người dùng chỉ được phép xem và tương tác với các tài sản đã được phê duyệt rõ ràng, đồng thời không có khả năng di chuyển ngang
  • Khả năng kiểm tra chặt chẽ: Mỗi phiên làm việc phải được ghi nhật ký, ghi lại (nếu cần thiết) và được liên kết với một người dùng, tài sản và khoảng thời gian cụ thể
  • Không để lộ lỗ hổng trên tường lửa đầu vào: Chức năng truy cập từ xa phải hoạt động mà không cần mở cổng vào mạng OT
  • Tính tương thích về mặt vận hành đối với OT: Giải pháp phải hỗ trợ các hệ thống cũ, giảm thiểu sự thay đổi về kiến trúc và tránh thời gian ngừng hoạt động trong quá trình triển khai

Điều họ muốn tránh

Những kinh nghiệm trong quá khứ đã định hình những điều mà công ty điện lực không muốn lặp lại:

  • Các công cụ truy cập từ xa IT thông dụng được điều chỉnh để sử dụng trong lĩnh vực OT
  • Quyền truy cập ở cấp độ mạng đã mở rộng phạm vi ảnh hưởng
  • Chuẩn bị kiểm toán thủ công bằng cách sử dụng các bản ghi rời rạc
  • Các biện pháp kiểm soát an ninh đã làm chậm quá trình bảo trì hoặc ứng phó sự cố

Đối với ban lãnh đạo, bước ngoặt nằm ở việc nhận ra rằng bản thân việc truy cập từ xa không phải là vấn đề. Vấn đề nằm ở cách thức cấp quyền truy cập, thực thi và giám sát.

Cách bảo mật truy cập RDP vào hệ thống OT mà không làm gia tăng rủi ro cho mạng

Trích dẫn biểu tượng

Bước ngoặt quan trọng là việc chuyển từ truy cập mạng sang các phiên làm việc được kiểm soát mà không làm gián đoạn hoạt động.

Doanh nghiệp đã giảm thiểu rủi ro truy cập từ xa vào môi trường OT và tăng cường khả năng kiểm soát vận hành bằng cách chuyển từ mô hình truy cập ở cấp mạng sang kết nối RDP dựa trên phiên làm việc và được thực thi theo chính sách bảo mật. Nhờ đó, mọi hoạt động truy cập từ xa vào hệ thống OT đều được kiểm soát chặt chẽ, có khả năng truy vết đầy đủ và được cô lập ngay từ kiến trúc thiết kế. Các kỹ sư và nhà cung cấp chỉ được truy cập vào đúng hệ thống cần thiết, đúng thời điểm cần thiết, mà không làm gia tăng mức độ phơi nhiễm của mạng OT hoặc yêu cầu mở các cổng inbound trên tường lửa.

Họ đã làm được điều đó như thế nào

Công ty này đã triển khai MetaDefender Access™ như một cổng truy cập từ xa an toàn, được thiết kế chuyên biệt cho các môi trường OT. Thay vì mở rộng quyền truy cập VPN vào các mạng điều khiển, nền tảng này áp dụng cơ chế kiểm soát truy cập ở cấp độ phiên làm việc, đi kèm với khả năng giám sát chặt chẽ và các chính sách được tùy chỉnh phù hợp với từng vai trò vận hành.

5 yếu tố chính của giải pháp

  1. Quyền truy cập RDP được kiểm soát chặt chẽ vào các hệ thống OT
    Các kỹ sư chỉ được cấp quyền truy cập RDP vào các giao diện người dùng (HMI) chạy trên nền tảng Windows, các trạm làm việc kỹ thuật hoặc các hệ thống chẩn đoán đã được phê duyệt. Các chính sách quy định rõ những hành động nào được phép thực hiện trong mỗi phiên làm việc, từ đó giảm thiểu rủi ro lạm dụng hoặc thay đổi vô ý.
  2. Áp dụng nguyên tắc "tầm nhìn trực tiếp" và "quyền truy cập tối thiểu"
    Người dùng chỉ có thể xem và tương tác với các tài sản được chỉ định rõ ràng cho họ. Họ không có khả năng duyệt mạng OT hoặc di chuyển ngang giữa các hệ thống.
  3. Kết nối an toàn chỉ cho phép truy cập ra ngoài
    Cổng truy cập OT đã thiết lập các kết nối TLS chỉ cho phép truy cập ra ngoài, giúp loại bỏ nhu cầu mở các cổng tường lửa cho phép truy cập vào và giảm diện tích tấn công của cơ sở hạ tầng trọng yếu.
  4. Giám sát và truy vết toàn diện các phiên truy cập từ xa
    Tất cả các phiên truy cập từ xa đều được ghi nhận đầy đủ và có thể được ghi lại theo chính sách của tổ chức. Điều này cho phép các đội ngũ OT và bảo mật giám sát hoạt động theo thời gian thực, đồng thời hỗ trợ hiệu quả cho các yêu cầu kiểm toán, điều tra và phân tích sự cố sau này.
  5. Truyền tệp an toàn vào môi trường OT
    Khi cần các tệp cấu hình, tập lệnh hoặc bản vá, quá trình truyền tệp đã được tích hợp với giải pháp truyền tệp được quản lý và tính năng quét phần mềm độc hại đa công cụ nhằm ngăn chặn nội dung độc hại xâm nhập vào các hệ thống OT.

Tại sao phương pháp này lại hiệu quả

Thay vì buộc đội ngũ OT thay đổi cách thức vận hành, giải pháp này được xây dựng để phù hợp với môi trường vận hành thực tế, đồng thời áp dụng các cơ chế kiểm soát an ninh một cách minh bạch và hiệu quả. Quyền truy cập không còn dựa trên sự tin cậy mặc định của mạng, mà được kiểm soát chặt chẽ theo danh tính người dùng, vai trò và các chính sách truy cập đã được xác định.

Từ truy cập tiềm ẩn rủi ro đến khả năng kiểm soát có thể đo lường

Trích dẫn biểu tượng

Truy cập từ xa đã chuyển từ một rủi ro không thể tránh khỏi thành một khả năng vận hành được kiểm soát

Đơn vị này đã giành được quyền kiểm soát thực tế và vận hành đối với việc truy cập từ xa vào hệ thống OT, giúp giảm thiểu rủi ro đồng thời làm cho các hoạt động kiểm toán, bảo trì và ứng phó sự cố trở nên nhanh chóng và dễ dự đoán hơn. Những cải thiện về mặt vận hành đã được thể hiện ngay lập tức và rõ rệt ở các đội ngũ an ninh, OT và tuân thủ. Việc truy cập từ xa không còn là điểm mù mà đã trở thành một quy trình được quản lý chặt chẽ và có thể lặp lại.

Nâng cao hiệu quả vận hành

  • Giảm thiểu rủi ro tiếp xúc với OT: Loại bỏ các cổng tường lửa vào thông qua các đường hầm TLS chỉ cho phép kết nối ra ngoài, từ đó thu hẹp diện tích tấn công từ bên ngoài
  • Quản trị quyền truy cập chặt chẽ hơn: Kỹ sư và nhà cung cấp chỉ được truy cập vào các hệ thống đã được cấp quyền, ngăn chặn nguy cơ di chuyển ngang trong mạng.
  • Kiểm toán nhanh hơn: Nhật ký phiên làm việc và bản ghi âm thay thế cho việc thu thập bằng chứng thủ công
  • Nâng cao khả năng ứng phó sự cố: Các nhóm có thể nhanh chóng cấp quyền truy cập có thời hạn mà không cần nới lỏng các biện pháp kiểm soát an ninh

Tác động đối với các đội

  • Các đội ngũ an ninh đã tin tưởng rằng việc truy cập từ xa tuân thủ nguyên tắc "quyền truy cập tối thiểu" và mô hình "không tin tưởng"
  • Các nhóm OT dành ít thời gian hơn cho việc xử lý các trường hợp ngoại lệ về quyền truy cập và dành nhiều thời gian hơn cho việc bảo trì hệ thống
  • Ban lãnh đạo đã có được sự đảm bảo rõ ràng hơn rằng rủi ro liên quan đến truy cập từ xa đã được kiểm soát mà không ảnh hưởng đến thời gian hoạt động

Trước và sau khi triển khai giải pháp truy cập từ xa cho môi trường OT

Trước đây

Sau đó

Truy cập mạng qua VPN

Truy cập RDP theo phiên

Kết nối rộng rãi ngay sau khi kết nối

Chỉ kết nối trực tiếp với các tài sản đã được phê duyệt

Khả năng hiển thị hoạt động bị hạn chế

Ghi nhật ký và ghi lại toàn bộ phiên làm việc

Mở các cổng tường lửa cho lưu lượng truy cập đến

Kết nối an toàn chỉ cho phép kết nối ra ngoài

Chuẩn bị cho cuộc kiểm toán thủ công

Theo mặc định, các bản ghi truy cập đã sẵn sàng cho việc kiểm toán

Mở rộng khả năng truy cập an toàn trong môi trường OT đang phát triển

Trích dẫn biểu tượng

Làm thế nào để các công ty tiện ích mở rộng quy mô truy cập từ xa an toàn vào hệ thống OT khi hoạt động kinh doanh ngày càng phát triển?

Với hệ thống truy cập từ xa OT được kiểm soát đã được triển khai, đơn vị này đã sẵn sàng mở rộng quyền truy cập RDP an toàn và tích hợp nhật ký cũng như bản ghi phiên RDP vào các hoạt động an ninh mạng tổng thể. Khi đơn vị này tiếp tục hiện đại hóa và số hóa các hoạt động, nhu cầu về truy cập từ xa dự kiến sẽ gia tăng cả về quy mô lẫn phạm vi. Thay vì triển khai các giải pháp riêng lẻ mới, tổ chức này dự định phát triển dựa trên nền tảng kiểm soát truy cập hiện có để duy trì tính nhất quán và giảm thiểu sự phức tạp trong vận hành.

Các cơ hội mở rộng đang được xem xét

  • Mở rộng phạm vi áp dụng RDP cho các tài sản OT
    Mở rộng quyền truy cập RDP an toàn sang các hệ thống chạy Windows khác như máy chủ lưu trữ dữ liệu lịch sử, máy trạm kỹ thuật và bộ điều khiển biên, đồng thời vẫn duy trì nguyên tắc “quyền truy cập tối thiểu” và yêu cầu “tầm nhìn trực tiếp”.
  • Tích hợp sâu hơn các hoạt động bảo mật
    Phân tích mối liên hệ giữa nhật ký và bản ghi phiên RDP với các nền tảng SIEM và SOAR để cung cấp bối cảnh chi tiết hơn trong quá trình điều tra và phản ứng sự cố nhanh chóng hơn.
  • Hỗ trợ các sáng kiến số hóa trong tương lai
    Sử dụng cùng một khung truy cập để đảm bảo kết nối an toàn với các nền tảng phân tích được lưu trữ trên đám mây hoặc các cổng số hóa OT, đồng thời đảm bảo tính nhất quán của chính sách khi kiến trúc phát triển.

Thu hẹp khoảng cách giữa truy cập và kiểm soát

Trích dẫn biểu tượng

Điều bảo vệ các hoạt động trọng yếu không nằm ở khả năng kết nối, mà ở việc kiểm soát quyền truy cập một cách chặt chẽ.

Bằng cách thay đổi cách tiếp cận đối với truy cập từ xa trong môi trường OT, doanh nghiệp đã giảm thiểu rủi ro an ninh mạng, nâng cao mức độ sẵn sàng cho kiểm toán và giúp đội ngũ kỹ sư làm việc hiệu quả hơn mà không ảnh hưởng đến các hệ thống hạ tầng trọng yếu. Thông qua việc triển khai MetaDefender OT Access, tổ chức đã chuyển từ mô hình tin cậy dựa trên mạng sang các phiên truy cập RDP được kiểm soát chặt chẽ và thực thi theo chính sách, qua đó tăng cường khả năng bảo vệ và quản trị truy cập trong môi trường OT.

Việc truy cập từ xa đã trở nên được kiểm soát chặt chẽ, có thể kiểm toán và tuân thủ các nguyên tắc "quyền truy cập tối thiểu", mà không gây ra trở ngại trong hoạt động. Kết quả là một mô hình truy cập từ xa an toàn hơn, dễ dự đoán hơn, góp phần đảm bảo thời gian hoạt động liên tục, tuân thủ quy định và khả năng phục hồi hoạt động lâu dài.

Những điểm chính cần ghi nhớ

  • Việc truy cập từ xa qua OT không cần phải gia tăng rủi ro để đảm bảo hoạt động
  • Kiểm soát dựa trên phiên mang lại mức độ bảo mật cao hơn so với cơ chế tin cậy ở cấp độ mạng
  • Sự sẵn sàng cho việc kiểm toán sẽ được cải thiện khi việc truy cập được ghi lại và quản lý theo mặc định
  • Các giải pháp truy cập OT được thiết kế chuyên dụng có khả năng mở rộng tốt hơn so với các công cụ CNTT được chuyển đổi mục đích sử dụng

Nếu quý vị đang triển khai giải pháp truy cập từ xa cho các hệ thống SCADA, DCS, HMI hoặc các hệ thống OT khác và đang gặp phải những thách thức tương tự liên quan đến rủi ro, khả năng giám sát và tuân thủ, hãy liên hệ với OPSWAT để tìm hiểu cách MetaDefender OT Access giúp hiện đại hóa kết nối OT của quý vị.

Những câu chuyện tương tự

Tháng sáu 25 , 2026 | Tin tức doanh nghiệp

OPSWAT một trong ba nhà sản xuất bán dẫn hàng đầu OPSWAT 1 triệu USD mỗi giờ do thời gian ngừng hoạt động

Tháng sáu 24 , 2026 | Tin tức doanh nghiệp

Visana tăng cường bảo mật khi tải lên tệp tin cho khách hàng mà không gây ra gánh nặng vận hành

Tháng sáu 17 , 2026 | Tin tức doanh nghiệp

Nhà lãnh đạo toàn cầu trong lĩnh vực năng lượng chuyển từ các lỗ hổng bảo mật truyền thống sang Industrial hiện đại

Luôn cập nhật với OPSWAT!

Đăng ký ngay hôm nay để nhận thông tin cập nhật mới nhất về doanh nghiệp, câu chuyện, thông tin sự kiện và nhiều thông tin khác.