Una nota ai nostri clienti e partner in Medio Oriente
Maggiori informazioni
Un modo semplice per confrontare OT e IT è il seguente: L'IT valuta l'integrità, la riservatezza e la disponibilità dei dati. L OT attribuisce valore ai tempi di attività dei processi, alla sicurezza e all'affidabilità.
L'IT è onnipresente in un'organizzazione ed è utilizzato da quasi tutti i dipendenti, in ogni centro di costo. Pertanto, la sicurezza informatica si concentra sulla protezione dei dati da accessi o modifiche non autorizzati, ponendo l'accento sull'accesso basato sui ruoli e sulla formazione degli utenti, l'anello più debole, a pratiche sicure cybersecurity .
OT e le reti OT gestiscono e controllano in genere gli asset più preziosi che generano ricavi per un'organizzazione (o forniscono servizi pubblici essenziali), spesso in modo autonomo. Se OT o viene attaccata, la posta in gioco è più alta rispetto all'IT, soprattutto per le infrastrutture critiche. Pertanto, OT implica garantire il funzionamento sicuro e affidabile dei processi fisici.
La protezione delle risorse e delle reti OT presenta molte sfide rispetto alle pratiche di cybersecurity IT, che sono strettamente legate alle differenze tra i sistemi OT e IT stessi.
Il volume e la diversità dei dispositivi OT e IoT li rendono più difficili da gestire rispetto ai dispositivi IT. Inoltre, ogni componente di una rete OT fa parte di un processo più ampio in un ambiente molto distribuito. Se una macchina ha un problema, bisogna immediatamente capire da cosa dipende e cosa dipende da essa.
In passato, OT erano isolate fisicamente (air-gapped): non essendo collegate a Internet né alle reti IT aziendali, le minacce informatiche non rappresentavano un problema. Quei tempi sono ormai lontani, ma troppo spesso cybersecurity OT viene ancora considerata un aspetto secondario. Grazie alla digitalizzazione industriale, gli odierni ambienti di produzione includono centinaia di sistemi digitali interconnessi che migliorano l’efficienza ma introducono anche nuovi rischi. Molti OT non sono gestiti e non possono essere aggiornati con patch come i computer e i server IT. Laddove l’applicazione delle patch è possibile, non può essere automatizzata. Con alcune eccezioni, threat detection sull’ispezione approfondita dei pacchetti e su tecniche di rilevamento delle anomalie basate sul comportamento, progettate specificamente per gli ambienti OT.
Gli attacchi ransomware fanno notizia, ma le configurazioni errate della rete o dei processi quotidiani, gli errori operativi, i picchi di utilizzo delle risorse e altre anomalie hanno molte più probabilità di minacciare gli ambienti OT rispetto agli attacchi esterni. Un'anomalia è tutto ciò che si discosta dalle prestazioni di base. Può trattarsi di valori di processo instabili, misurazioni di processo errate e configurazioni errate che potrebbero portare a un malfunzionamento.
I dati che si muovono attraverso le risorse e i processi OT (come i valori dei processi) sono rilevanti solo per un istante e potrebbero essere milioni di questi punti di dati al minuto. Pertanto, lacybersecurity OT si concentra meno sull'esfiltrazione dei dati e più sulla garanzia che i dati si spostino solo tra i dispositivi autorizzati e siano aggiornati in ogni istante.
La maggior parte dell'IT ha un ciclo di vita breve, con obsolescenza incorporata. Il software viene abbandonato o sottoposto a un aggiornamento importante ogni pochi anni e l'hardware deve essere sostituito di frequente. L OT ha generalmente un ciclo di vita lungo, che in alcuni casi può arrivare a diversi decenni. Dispositivi come i PLC sono spesso costruiti appositamente per ambienti di produzione difficili e destinati a durare nel tempo. Molti dispositivi OT si basano ancora su una tecnologia legacy che è "insecure by design", con vulnerabilità ben documentate che troppo spesso rimangono senza patch. Inoltre, possono essere necessari anni per l'autorizzazione in fabbrica e per i test di accettazione in loco, quindi le piccole modifiche non sono incoraggiate.
Alcuni sistemi OT e i loro componenti funzionano ininterrottamente per anni, con brevi periodi di manutenzione programmata. Il funzionamento continuo contribuisce a garantire la sicurezza e l'affidabilità, poiché i tempi di inattività possono portare a guasti critici negli ambienti industriali. Le patch (se disponibili) e altri aggiornamenti sono poco frequenti e devono essere programmati durante le finestre di manutenzione ristrette.
L'IT utilizza sistemi operativi standard e comunica utilizzando protocolli standard. Molti OT dispongono di sistemi operativi proprietari specifici per il loro utilizzo. OT utilizzano inoltre centinaia di protocolli per comunicare, molti dei quali specifici del settore e intrinsecamente insicuri. Questi protocolli sono personalizzati per il monitoraggio e il controllo in tempo reale di processi e dispositivi fisici, dando priorità all'affidabilità, ai tempi di risposta deterministici e alla resilienza rispetto alla velocità e alla flessibilità. I protocolli proprietari come Modbus o Profibus devono essere analizzati attentamente utilizzando l'ispezione approfondita dei pacchetti (DPI) per identificare comportamenti sospetti o anomali. I sistemi di rilevamento delle intrusioni IT (IDS) e i sistemi endpoint e risposta endpoint (EDR) non comprendono i protocolli industriali, quindi non sono in grado di rilevare le minacce OT. Nella migliore delle ipotesi sarebbero inefficaci; nella peggiore potrebbero consumare troppe risorse o causare danni.
In un giorno qualsiasi, i produttori possono avere decine di tecnici di terze parti che si collegano in remoto per monitorare la produzione e risolvere i problemi delle apparecchiature, spesso utilizzando i propri strumenti di accesso remoto. L'uso lassista di credenziali deboli e password predefinite lascia le aziende aperte ad attacchi tramite l'esecuzione di codice remoto.
Soprattuttoper le apparecchiature non presidiate, le password predefinite potrebbero non essere mai cambiate, rendendo facile per i malintenzionati violarle, e l'autenticazione a più fattori (MFA) non è praticabile. Si ricorre invece al monitoraggio continuo per autenticare i dispositivi e garantire l'integrità della comunicazione tra i dispositivi stessi.
La segmentazione è un controllo compensativo essenziale per limitare le comunicazioni e proteggere i dispositivi che possono essere rimediati di rado, se non addirittura mai. Per isolare i gioielli della corona industriale e impedire che gli incidenti informatici sulle reti IT si spostino lateralmente alle reti OT , gli ambienti industriali utilizzano zone e condotti sicuri che controllano e monitorano il traffico tra i segmenti.
La comprensione del rischio cybersecurity , l'introduzione di best practice di sicurezza e la creazione di una cultura di consapevolezza negli ambienti industriali sono cambiamenti culturali importanti. Ad esempio, far accettare agli ingegneri OT la mitigazione del rischio cybersecurity come manutenzione programmata richiede un cambiamento di mentalità. Poiché i CISO abbracciano la gestione del rischio aziendale e l'OT è sempre più sotto la loro autorità, questo cambiamento deve avvenire.
Nonostante lo scetticismo iniziale, gli operatori OT traggono molti vantaggi dal monitoraggio continuo di asset e reti. Raccoglie una grande quantità di informazioni sugli asset e sui processi che monitora, utili per rilevare cambiamenti importanti, sia anomalie rispetto alla linea di base che minacce cybersecurity . Inoltre, una volta avviato il monitoraggio continuo, di solito si scoprono problemi di vecchia data di cui gli operatori non conoscevano l'esistenza.
Non appena la piattaforma Nozomi Networks viene installata, i sensori di rete iniziano ad analizzare il traffico di rete ICS e ne costruiscono una visualizzazione interattiva. Gli operatori e il personale addetto alla sicurezza informatica vedono i nodi della rete industriale visualizzati, spesso per la prima volta. Percepiscono rapidamente aspetti dell'ambiente di cui non erano a conoscenza in precedenza e possono facilmente approfondire le informazioni.
L'aggiunta di sensori endpoint sicuri e non distruttivi, creati appositamente per le risorse OT , fornisce un ulteriore livello di informazioni preziose: gli operatori possono vedere non solo le modifiche alla configurazione e le anomalie, ma anche chi si è collegato a un dispositivo, con quali altri dispositivi sta comunicando e quali protocolli sta utilizzando. Due grandi vantaggi sono la visibilità del traffico est-ovest ai livelli inferiori di Purdue e le connessioni USB non autorizzate.
I centri operativi di sicurezza (SOC) unificati OT sono il punto di incontro tra le due culture. Si stanno diffondendo per ovvie ragioni, come la supervisione centrale del CISO, la convergenza OT , il miglioramento dei tempi di risposta e, naturalmente, il risparmio sui costi. Tuttavia, più che di un SOC unificato, si tratta spesso di un team SOC IT tradizionale che fornisce un servizio a un nuovo cliente, la business unit OT . Spesso si tratta di un esempio da manuale di mancata comprensione del cliente da parte del fornitore di servizi. Deve avvenire un importante trasferimento di conoscenze, ma non avviene.
Un modo semplice per confrontare OT e IT è il seguente: L'IT valuta l'integrità, la riservatezza e la disponibilità dei dati. L OT attribuisce valore ai tempi di attività dei processi, alla sicurezza e all'affidabilità.
L'IT è onnipresente in un'organizzazione ed è utilizzato da quasi tutti i dipendenti, in ogni centro di costo. Pertanto, la sicurezza informatica si concentra sulla protezione dei dati da accessi o modifiche non autorizzati, ponendo l'accento sull'accesso basato sui ruoli e sulla formazione degli utenti, l'anello più debole, a pratiche sicure cybersecurity .
OT e le reti OT gestiscono e controllano in genere gli asset più preziosi che generano ricavi per un'organizzazione (o forniscono servizi pubblici essenziali), spesso in modo autonomo. Se OT o viene attaccata, la posta in gioco è più alta rispetto all'IT, soprattutto per le infrastrutture critiche. Pertanto, OT implica garantire il funzionamento sicuro e affidabile dei processi fisici.
La protezione delle risorse e delle reti OT presenta molte sfide rispetto alle pratiche di cybersecurity IT, che sono strettamente legate alle differenze tra i sistemi OT e IT stessi.
Il volume e la diversità dei dispositivi OT e IoT li rendono più difficili da gestire rispetto ai dispositivi IT. Inoltre, ogni componente di una rete OT fa parte di un processo più ampio in un ambiente molto distribuito. Se una macchina ha un problema, bisogna immediatamente capire da cosa dipende e cosa dipende da essa.
In passato, OT erano isolate fisicamente (air-gapped): non essendo collegate a Internet né alle reti IT aziendali, le minacce informatiche non rappresentavano un problema. Quei tempi sono ormai lontani, ma troppo spesso cybersecurity OT viene ancora considerata un aspetto secondario. Grazie alla digitalizzazione industriale, gli odierni ambienti di produzione includono centinaia di sistemi digitali interconnessi che migliorano l’efficienza ma introducono anche nuovi rischi. Molti OT non sono gestiti e non possono essere aggiornati con patch come i computer e i server IT. Laddove l’applicazione delle patch è possibile, non può essere automatizzata. Con alcune eccezioni, threat detection sull’ispezione approfondita dei pacchetti e su tecniche di rilevamento delle anomalie basate sul comportamento, progettate specificamente per gli ambienti OT.
Gli attacchi ransomware fanno notizia, ma le configurazioni errate della rete o dei processi quotidiani, gli errori operativi, i picchi di utilizzo delle risorse e altre anomalie hanno molte più probabilità di minacciare gli ambienti OT rispetto agli attacchi esterni. Un'anomalia è tutto ciò che si discosta dalle prestazioni di base. Può trattarsi di valori di processo instabili, misurazioni di processo errate e configurazioni errate che potrebbero portare a un malfunzionamento.
I dati che si muovono attraverso le risorse e i processi OT (come i valori dei processi) sono rilevanti solo per un istante e potrebbero essere milioni di questi punti di dati al minuto. Pertanto, lacybersecurity OT si concentra meno sull'esfiltrazione dei dati e più sulla garanzia che i dati si spostino solo tra i dispositivi autorizzati e siano aggiornati in ogni istante.
La maggior parte dell'IT ha un ciclo di vita breve, con obsolescenza incorporata. Il software viene abbandonato o sottoposto a un aggiornamento importante ogni pochi anni e l'hardware deve essere sostituito di frequente. L OT ha generalmente un ciclo di vita lungo, che in alcuni casi può arrivare a diversi decenni. Dispositivi come i PLC sono spesso costruiti appositamente per ambienti di produzione difficili e destinati a durare nel tempo. Molti dispositivi OT si basano ancora su una tecnologia legacy che è "insecure by design", con vulnerabilità ben documentate che troppo spesso rimangono senza patch. Inoltre, possono essere necessari anni per l'autorizzazione in fabbrica e per i test di accettazione in loco, quindi le piccole modifiche non sono incoraggiate.
Alcuni sistemi OT e i loro componenti funzionano ininterrottamente per anni, con brevi periodi di manutenzione programmata. Il funzionamento continuo contribuisce a garantire la sicurezza e l'affidabilità, poiché i tempi di inattività possono portare a guasti critici negli ambienti industriali. Le patch (se disponibili) e altri aggiornamenti sono poco frequenti e devono essere programmati durante le finestre di manutenzione ristrette.
L'IT utilizza sistemi operativi standard e comunica utilizzando protocolli standard. Molti OT dispongono di sistemi operativi proprietari specifici per il loro utilizzo. OT utilizzano inoltre centinaia di protocolli per comunicare, molti dei quali specifici del settore e intrinsecamente insicuri. Questi protocolli sono personalizzati per il monitoraggio e il controllo in tempo reale di processi e dispositivi fisici, dando priorità all'affidabilità, ai tempi di risposta deterministici e alla resilienza rispetto alla velocità e alla flessibilità. I protocolli proprietari come Modbus o Profibus devono essere analizzati attentamente utilizzando l'ispezione approfondita dei pacchetti (DPI) per identificare comportamenti sospetti o anomali. I sistemi di rilevamento delle intrusioni IT (IDS) e i sistemi endpoint e risposta endpoint (EDR) non comprendono i protocolli industriali, quindi non sono in grado di rilevare le minacce OT. Nella migliore delle ipotesi sarebbero inefficaci; nella peggiore potrebbero consumare troppe risorse o causare danni.
In un giorno qualsiasi, i produttori possono avere decine di tecnici di terze parti che si collegano in remoto per monitorare la produzione e risolvere i problemi delle apparecchiature, spesso utilizzando i propri strumenti di accesso remoto. L'uso lassista di credenziali deboli e password predefinite lascia le aziende aperte ad attacchi tramite l'esecuzione di codice remoto.
Soprattuttoper le apparecchiature non presidiate, le password predefinite potrebbero non essere mai cambiate, rendendo facile per i malintenzionati violarle, e l'autenticazione a più fattori (MFA) non è praticabile. Si ricorre invece al monitoraggio continuo per autenticare i dispositivi e garantire l'integrità della comunicazione tra i dispositivi stessi.
La segmentazione è un controllo compensativo essenziale per limitare le comunicazioni e proteggere i dispositivi che possono essere rimediati di rado, se non addirittura mai. Per isolare i gioielli della corona industriale e impedire che gli incidenti informatici sulle reti IT si spostino lateralmente alle reti OT , gli ambienti industriali utilizzano zone e condotti sicuri che controllano e monitorano il traffico tra i segmenti.
La comprensione del rischio cybersecurity , l'introduzione di best practice di sicurezza e la creazione di una cultura di consapevolezza negli ambienti industriali sono cambiamenti culturali importanti. Ad esempio, far accettare agli ingegneri OT la mitigazione del rischio cybersecurity come manutenzione programmata richiede un cambiamento di mentalità. Poiché i CISO abbracciano la gestione del rischio aziendale e l'OT è sempre più sotto la loro autorità, questo cambiamento deve avvenire.
Nonostante lo scetticismo iniziale, gli operatori OT traggono molti vantaggi dal monitoraggio continuo di asset e reti. Raccoglie una grande quantità di informazioni sugli asset e sui processi che monitora, utili per rilevare cambiamenti importanti, sia anomalie rispetto alla linea di base che minacce cybersecurity . Inoltre, una volta avviato il monitoraggio continuo, di solito si scoprono problemi di vecchia data di cui gli operatori non conoscevano l'esistenza.
Non appena la piattaforma Nozomi Networks viene installata, i sensori di rete iniziano ad analizzare il traffico di rete ICS e ne costruiscono una visualizzazione interattiva. Gli operatori e il personale addetto alla sicurezza informatica vedono i nodi della rete industriale visualizzati, spesso per la prima volta. Percepiscono rapidamente aspetti dell'ambiente di cui non erano a conoscenza in precedenza e possono facilmente approfondire le informazioni.
L'aggiunta di sensori endpoint sicuri e non distruttivi, creati appositamente per le risorse OT , fornisce un ulteriore livello di informazioni preziose: gli operatori possono vedere non solo le modifiche alla configurazione e le anomalie, ma anche chi si è collegato a un dispositivo, con quali altri dispositivi sta comunicando e quali protocolli sta utilizzando. Due grandi vantaggi sono la visibilità del traffico est-ovest ai livelli inferiori di Purdue e le connessioni USB non autorizzate.
I centri operativi di sicurezza (SOC) unificati OT sono il punto di incontro tra le due culture. Si stanno diffondendo per ovvie ragioni, come la supervisione centrale del CISO, la convergenza OT , il miglioramento dei tempi di risposta e, naturalmente, il risparmio sui costi. Tuttavia, più che di un SOC unificato, si tratta spesso di un team SOC IT tradizionale che fornisce un servizio a un nuovo cliente, la business unit OT . Spesso si tratta di un esempio da manuale di mancata comprensione del cliente da parte del fornitore di servizi. Deve avvenire un importante trasferimento di conoscenze, ma non avviene.
