A cura di Emanuele Temi, Technical Sales Engineer di Nozomi Networks
Gartner definisce la tecnologia operativa (OT – Operational Technology) come un insieme di sistemi hardware o software che rilevano o provocano un cambiamento attraverso il monitoraggio e/o il controllo diretto di dispositivi fisici, processi ed eventi. Nel pratico, parliamo di impianti che alimentano le infrastrutture critiche e le operazioni essenziali della nostra vita quotidiana, dall’acqua all’energia ai trasporti. Una loro interruzione o danneggiamento può infliggere gravi danni finanziari o addirittura mettere in pericolo la salute e la sicurezza pubblica.
Di conseguenza, disporre di strumenti di sicurezza specifici è oggi una necessità, riconosciuta sia dalle organizzazioni industriali che dai vendor. E per questo, sul mercato sono ormai numerose le soluzioni di cybersecurity industriale.
Ma come individuare quelle più adatte a specifiche necessità? E quali elementi considerare per una scelta ponderata? Ecco qualche consiglio di Nozomi Network per orientarsi con cognizione di causa nel mercato dei dispositivi OT
I principali driver del mercato globale
Prosegue la convergenza IT/OT
Nel passato, la sicurezza non rappresentava per i sistemi OT un problema così stringente in quanto operavano in ambienti separati e “isolati” da quelli IT. La crescente diffusione di dispositivi Internet of Things (IoT) ha reso più facile il controllo e il monitoraggio dei sistemi da remoto, migliorandone accessibilità ed efficienza, ma introducendo una nuova serie di vulnerabilità.
Carenza di competenze in materia di cybersicurezza OT
Il complesso ambiente OT richiede che i professionisti della sicurezza informatica abbiano conoscenze di cybersecurity, ma, soprattutto, sappiano affrontare le sfide poste da sistemi e processi legacy e spesso anacronistici che permeano il settore OT. Con l’escalation e la proliferazione degli attacchi, l’attuale divario sulle conoscenze tecniche degli addetti alla cybersicurezza si sta ampliando e pone le organizzazioni in una posizione più precaria nella lotta contro le minacce e gli attacchi.
I cyberattacchi sono in costante aumento
Il 93% delle aziende OT ha subito una violazione negli ultimi 12 mesi. Tenere il passo con gli avvertimenti è una grande sfida per i professionisti della sicurezza. Gli attaccanti si infiltrano nei sistemi OT per rubare proprietà intellettuali, chiedere riscatti, interrompere le operazioni e danneggiare le apparecchiature.
Le sfide da affrontare per la protezione degli ambienti OT
I sistemi legacy sono vulnerabili agli attacchi
I sistemi OT sono progettati per funzionare 24 ore su 24, 7 giorni su 7, per decenni, fermandosi solo per operazioni di manutenzione, spesso programmate. Ecco perché, in molti casi, in questi ambienti vengono ancora eseguiti firmware o software obsoleti, dando luogo a un ambiente vulnerabile quando si apre verso il mondo IT.
Un intricato ecosistema di terze parti
Oltre la metà delle violazioni ha coinvolto un fornitore terzo, con dati persi o rubati durante il trasporto o a causa di vulnerabilità nel software commerciale. Le organizzazioni OT di oggi utilizzano una grande varietà di soluzioni OT/IoT di terze parti, con software e protocolli di comunicazione propri che rendono più difficile le installazioni di aggiornamenti o patch di sicurezza.
I tempi di inattività sono rischiosi
Molte aziende considerano aggiornamenti e patch come un rischio elevato per la sicurezza e la disponibilità. I sistemi OT operano tipicamente in un ecosistema fortemente integrato dove una piccola interruzione può avere un effetto domino sull’intera infrastruttura. Gli errori commessi nella gestione di una rete OT possono mettere a rischio vite umane, bloccare la produzione o i servizi e mettere l’azienda a serio rischio finanziario.
Gli elementi chiave da considerare quando si è in possesso di una soluzione OT
La sicurezza OT non è più un’opzione
Con la convergenza dei sistemi OT/IT e la crescente dipendenza dall’IoT, la tradizionale misura di sicurezza del “air-gapping” dei sistemi OT non è più sufficiente a mantenerli al sicuro. I cyberattacchi che hanno inizio nell’ambiente IT possono ora facilmente migrare in un sistema OT non protetto, causando interruzioni di operazioni vitali e rischi eccessivi per la salute e la sicurezza pubblica.
Una serie di incidenti ransomware di alto profilo ha innalzato i livelli di attenzione e consapevolezza su quanto le strutture industriali siano impreparate ad affrontare attacchi sofisticati e mirati. D’altra parte, Stati, criminali informatici e gruppi di attivisti sociali continuano a cercare opportunità per sfruttare e monetizzare le debolezze delle organizzazioni.
Le soluzioni IT non sono pensate per gli ambienti OT
Le soluzioni progettate per gli ambienti IT non sono in grado di soddisfare le esigenze degli ambienti OT e industriali per diversi motivi. Innanzitutto, i sistemi OT privilegiano la disponibilità rispetto alla riservatezza. In ambito fisico, disponibilità significa sicurezza e i tempi di inattività non sono un’opzione accettabile quando si tratta di operazioni di vitale importanza. Anche per questo motivo, i sistemi legacy sono una realtà nell’ambiente OT. Le reti industriali comprendono un gran numero di asset e molteplici architetture connesse, che rendono difficile l’applicazione di patch e aggiornamenti.
I sistemi OT supportano una serie di protocolli industriali, spesso determinati dal produttore dell’apparecchiatura. Tali protocolli sono spesso sconosciuti al mondo IT e sono intrinsecamente insicuri.
Si tratta di differenze fondamentali insite nel DNA degli ambienti OT e IT, che rendono difficile l’implementazione di strumenti di sicurezza comuni a entrambi gli ambiti.
Visibilità degli asset
Un criterio primario per la valutazione di una soluzione di sicurezza OT è rappresentato dai dati che è in grado di raccogliere, compresa la qualità delle fonti e l’accuratezza dell’analisi. La soluzione deve essere flessibile nelle modalità di raccolta dei dati per ottimizzare la visibilità necessaria su ogni asset, riducendo al minimo l’impatto sulle reti operative.
Inoltre, alcune opzioni offrono un monitoraggio unificato basato sulla rete e visibilità del traffico dati, con sensori endpoint che forniscono una prospettiva combinata su ciascun dispositivo. Altre offrono le stesse modalità di monitoraggio ponendo, invece, maggiore enfasi su ciò che accade nella rete.
Storicamente, le soluzioni di sicurezza OT/ICS sono state progettate con un monitoraggio passivo. Con l’evoluzione dei requisiti industriali, è necessario un approccio combinato passivo e attivo.
Rilevazione di minacce e anomalie
Con l’aumento degli attacchi informatici agli ambienti OT, il rilevamento delle minacce e delle anomalie diventa una caratteristica essenziale di qualsiasi soluzione di sicurezza OT.
Un requisito fondamentale è la capacità di comprendere il normale comportamento dei device e di analizzare i dettagli dei vari protocolli. Alcune soluzioni vanno oltre il semplice rilevamento delle anomalie di rete per approfondire le modifiche inattese dei processi e le deviazioni dai modelli di base stabiliti, consentendo di diagnosticare rapidamente le condizioni e di fornire informazioni utili per una più rapida correzione.
Quali altri aspetti considerare quando si parla di dati?
Cosa può fare la soluzione con l’enorme quantità di dati raccolti e di avvisi generati?
-
È in grado di fornire una visione più approfondita o di aiutare ad automatizzare l’analisi delle cause principali o di correlare e filtrare un gran numero di avvisi e problemi?
-
Questo sistema si limita a registrare gli avvisi e a evidenziare le anomalie, oppure gestisce i dati relativi ai parametri degli asset e alle vulnerabilità?
-
Il sistema è in grado di fornire un livello di analisi più approfondito che possa semplificare o automatizzare le fasi di risposta agli incidenti per il team di sicurezza?
-
Il sistema è in grado di dare priorità agli sforzi di riduzione del rischio e di concentrarsi sulle segnalazioni a più alta priorità?
-
La piattaforma può aiutare nell’analisi delle cause profonde, oltre a segnalare i sintomi visibili di una violazione o di un’anomalia di processo?
-
È in grado di fornire una visione più approfondita o di aiutare ad automatizzare l’analisi delle cause principali o di correlare e filtrare un gran numero di avvisi e problemi?
Conclusione
Senza ombra di dubbio la sicurezza OT rappresenta una componente vitale della sicurezza aziendale odierna. E la scelta di un prodotto che sia in grado di rispondere a tutte le esigenze dell’organizzazione può aiutare a garantire la continuità operativa, a prevenire gli attacchi ai sistemi OT critici e a proteggere i dati riservati, elevando di fatto la postura di sicurezza complessiva di ogni organizzazione