Paessler: cinque strategie per monitorare la sicurezza nell’OT

I consigli degli esperti di Paessler per includere il monitoraggio nei piani per la cybersecurity

Non c’è dubbio che l’ambiente OT più sicuro sia una rete isolata, che non necessariamente richiede particolari misure di sicurezza. Tuttavia, con la convergenza di IT e OT, molte reti OT oggi devono essere integrate con sistemi e reti esterne, e per queste reti OT è fondamentale adottare strategie di cybersicurezza complete. Come nell’IT, il monitoraggio di infrastrutture, dispositivi e sistemi costituisce una parte vitale di tali strategie.

Paessler, azienda specializzata nel monitoraggio di rete che offre soluzioni, fra cui il software PRTG, per aziende di ogni settore e di tutte le dimensioni, dalle PMI alle grandi imprese, ha individuato cinque ragioni fondamentali per cui il monitoraggio dovrebbe essere parte di una strategia di sicurezza.

1. Monitoraggio dei certificati

Nell’IT, il monitoraggio dei certificati fa parte di ogni buon piano di cybersicurezza e così dovrebbe essere anche nell’OT. Gli standard industriali come OPC UA impiegano la crittografia X.509 basata su certificato e tali certificati devono essere mantenuti aggiornati. Il monitoraggio può essere usato per garantire che i certificati siano sempre validi, così da prevenire downtime o buchi nella sicurezza causati da certificati scaduti.

Lo svantaggio nell’uso dei certificati è che vengono aumentate la complessità e il lavoro amministrativo e, pertanto, in ambienti non criptati potrebbe essere più comodo usare altri approcci.

2. Individuazione delle anomalie

Per anomalia in una rete si intende qualunque deviazione dalla norma: ad esempio, picchi inspiegabili nel consumo di banda, traffico inusuale, nuove connessioni impreviste alla rete. Un’anomalia non sempre è segno di attacco, ma potrebbe esserne un indicatore.

La capacità di riconoscere un’anomalia implica che vi sia uno stato di base, ovvero la “norma”. Il monitoraggio in questo caso ha due funzioni: primo, può essere usato per identificare lo stato di “normalità” su un certo periodo di tempo; secondo, può servire per cercare le deviazioni dalla norma. Con il monitoraggio possiamo definire allerte e notifiche che vengono lanciate quando sono superate determinate soglie, segnalando qualunque tipo di attività sospetta sulla rete.

3. Difesa in profondità

Per proteggere le reti OT sono richiesti diversi livelli di difesa specializzati. Questo concetto, noto come “difesa in profondità”, opera sulla base che se abbiamo molteplici livelli di sicurezza, il cuore della rete è più sicuro. Nell’OT, un livello è generalmente rappresentato dai firewall industriali. Un’altra possibilità è la segmentazione della rete, in cui la rete OT o è separata dalla rete IT per mezzo di una zona demilitarizzata (segmentazione verticale) o in cui la stessa rete OT è separata in diverse zone (segmentazione orizzontale). Il monitoraggio può essere particolarmente utile nella difesa in profondità sorvegliando i firewall industriali, le interfacce tra i segmenti ed elementi come le porte aperte.

4. Deep Packet Inspection (DPI)

Si tratta di un meccanismo in cui il contenuto dei pacchetti dati viene esaminato in tutte le sue componenti, dall’intestazione al payload, per identificare il protocollo e le funzioni associate a quel pacchetto dati. I dati vengono quindi verificati rispetto a un insieme di regole per accertarsi che non siano anomali. Ciò permette di applicare regole più complesse e dettagliate di quelle che possono essere gestite da un firewall.

La DPI costituisce la base di due particolari strategie di cybersicurezza per l’OT: Industrial Intrusion Prevention Systems e Industrial Intrusion Detection Systems. In un ambiente OT, sia IPS sia IDS sono dispositivi o sistemi che operano all’interno di una rete e hanno lo scopo di prevenire o lanciare una notifica quando vengono scoperti dati anomali, in funzione del sistema in uso. Il monitoraggio può essere usato insieme con soluzioni IPS e IDS per fornire un’immagine completa di quanto sta accadendo nella rete OT.

5. Allarmi e notifiche

In caso di attacco, la tempestività della reazione è della massima importanza. Oltre che individuare un cyberattacco, è importante avvisare il team che deve provvedere alla reazione. Gli allarmi vengono avviati quando si superano certe soglie o quando sono rispettati determinati criteri e le notifiche vengono inviate direttamente ai team responsabili.

Monitoraggio dell’IT industriale con PRTG

Il software di monitoraggio PRTG di Paessler può essere parte di una buona strategia di cybersicurezza. Oltre al monitoraggio dei vari elementi dell’IT e dell’OT, può monitorare le attività anomale nelle reti industriali. Inoltre, può lavorare con molte popolari soluzioni di sicurezza, come Rhebo e Moxa, per costituire un tassello vitale di uno scenario, quello della cybersecurity, in continua evoluzione.

Contenuti correlati

• 
  Nuova ricerca di Palo Alto Networks sugli attacchi continui agli ambienti OT

  Il nuovo report “The State of OT Security: a Comprehensive Guide to Trends, Risks, and Cyber Resilience”, di Palo Alto Networks, realizzato in collaborazione con ABI Research, evidenzia che due imprese italiane su cinque subiscono mensilmente attacchi...
• 
  Benefici e rischi dei Large Language Model nel cloud

  Di Tristano Ermini, Manager, Systems Engineering di Palo Alto Networks Qual è la correlazione tra i modelli linguistici di grandi dimensioni (LLM) e la sicurezza cloud? Questi modelli avanzati possono essere pericolosi, ma possono anche essere utilizzati...
• 
  Strumenti OSINT, un’arma efficace al servizio della sicurezza IT

  Di Andy Thompson, Offence Cybersecurity Research Evangelist di CyberArk Sotto il nome di Open Source Intelligence (OSINT) si cela in realtà una disciplina che risale agli albori dell’umanità ed è, in sostanza, uno sforzo per raccogliere e...
• 
  Sicurezza del software: perché formazione e aggiornamento degli sviluppatori devono cambiare

  A cura di Massimo Tripodi, Country Manager di Veracode Italia Quali metodi preferiscono utilizzare gli hacker per colpire le loro vittime dall’esterno? Il 26% colpisce la catena di fornitura del software, il 25% esegue exploit di vulnerabilità...
• 
  Sicurezza Shift-Left: i fattori principali da considerare prima di implementarla

  Gli esperti di Palo Alto Networks analizzano le criticità dell Sicurezza Shift-Left e offrono consigli su e come agire per evitare falle nei sistemi di sicurezza. Il termine “Shift-Left” si riferisce al ciclo di vita dello sviluppo...
• 
  Collaborazione fra RS Italia e PVS S.p.A. per un ambiente di lavoro più sicuro

  RS Italia ha annunciato la sua collaborazione con PVS S.p.A. per tutelare la sicurezza e la salute delle persone. “La priorità assoluta per noi è la salute, la sicurezza e il benessere dei nostri collaboratori”, ha spiegato...
• 
  Sicurezza: un problema volutamente ignorato

  Nel momento in cui le normative e i regolamenti che disciplinano la sicurezza entrano in vigore non solo in Europa, ma in tutto il mondo, le aziende devono necessariamente aggiungere funzioni atte a garantire la sicurezza dei...
• 
  I sistemi wireless utilizzati nelle applicazioni industriali

  Lo scopo di questo articolo è presentare un approccio alle implementazioni di sistemi wireless industriali descrivendone le implicazioni nei vari contesti industriali  Leggi l’articolo completo su EMB 88
• 
  I suggerimenti di Barracuda Networks per difendersi dagli allegati HTML malevoli

  Una recente ricerca degli esperti di Barracuda Networks evidenzia che, nel mese di marzo 2023, quasi la metà (45,7%) del totale degli allegati HTML esaminati era malevola, una quota più che doppia rispetto a quella registrata a...
• 
  Nozomi Networks: proteggere l’approvvigionamento idrico dagli attacchi informatici

  Emanuele Temi, Technical Sales Engineer, Nozomi Networks L’approvvigionamento idrico ha un’importanza cruciale e necessita della migliore protezione possibile contro gli attacchi informatici. L’acqua è – senza timore di esagerare – il nostro elisir di lunga vita. Dopo...