Demo dal vivo: La piattaforma Nozomi Networks in 15 minuti
Guarda
Un modo semplice per confrontare OT e IT è il seguente: L'IT valuta l'integrità, la riservatezza e la disponibilità dei dati. L OT attribuisce valore ai tempi di attività dei processi, alla sicurezza e all'affidabilità.
L'IT è onnipresente in un'organizzazione ed è utilizzato da quasi tutti i dipendenti, in ogni centro di costo. Pertanto, la sicurezza informatica si concentra sulla protezione dei dati da accessi o modifiche non autorizzati, ponendo l'accento sull'accesso basato sui ruoli e sulla formazione degli utenti, l'anello più debole, a pratiche sicure cybersecurity .
Le risorse e le reti OT gestiscono e controllano tipicamente i gioielli della corona che generano entrate per un'organizzazione (o forniscono servizi pubblici essenziali), spesso in modo autonomo. Se l OT si guasta o viene attaccato, la posta in gioco è più alta rispetto all'IT, soprattutto per le infrastrutture critiche. Pertanto, la sicurezza OT implica la garanzia di un funzionamento sicuro e affidabile dei processi fisici.
Il volume e la diversità dei dispositivi OT e IoT li rendono più difficili da gestire rispetto ai dispositivi IT. Inoltre, ogni componente di una rete OT fa parte di un processo più ampio in un ambiente molto distribuito. Se una macchina ha un problema, bisogna immediatamente capire da cosa dipende e cosa dipende da essa.
Storicamente, le reti OT erano "air-gapped": senza connettività a Internet o alle reti IT aziendali, le minacce informatiche non erano un problema. Quei tempi sono ormai lontani, ma troppo spesso la cybersecurity negli ambienti OT è ancora un pensiero secondario. Grazie alla digitalizzazione industriale, gli ambienti di produzione odierni comprendono centinaia di sistemi digitali interconnessi che migliorano l'efficienza ma introducono anche nuovi rischi. Molti dispositivi OT non sono gestiti e non possono essere sottoposti a patch come i computer e i server IT. Quando la patch è possibile, non può essere automatizzata. Con alcune eccezioni, il rilevamento delle minacce si basa sull'ispezione profonda dei pacchetti e su tecniche di rilevamento delle anomalie basate sul comportamento, progettate specificamente per gli ambienti OT.
Gli attacchi ransomware fanno notizia, ma le configurazioni errate della rete o dei processi quotidiani, gli errori operativi, i picchi di utilizzo delle risorse e altre anomalie hanno molte più probabilità di minacciare gli ambienti OT rispetto agli attacchi esterni. Un'anomalia è tutto ciò che si discosta dalle prestazioni di base. Può trattarsi di valori di processo instabili, misurazioni di processo errate e configurazioni errate che potrebbero portare a un malfunzionamento.
I dati che si muovono attraverso le risorse e i processi OT (come i valori dei processi) sono rilevanti solo per un istante e potrebbero essere milioni di questi punti di dati al minuto. Pertanto, lacybersecurity OT si concentra meno sull'esfiltrazione dei dati e più sulla garanzia che i dati si spostino solo tra i dispositivi autorizzati e siano aggiornati in ogni istante.
La maggior parte dell'IT ha un ciclo di vita breve, con obsolescenza incorporata. Il software viene abbandonato o sottoposto a un aggiornamento importante ogni pochi anni e l'hardware deve essere sostituito di frequente. L OT ha generalmente un ciclo di vita lungo, che in alcuni casi può arrivare a diversi decenni. Dispositivi come i PLC sono spesso costruiti appositamente per ambienti di produzione difficili e destinati a durare nel tempo. Molti dispositivi OT si basano ancora su una tecnologia legacy che è "insecure by design", con vulnerabilità ben documentate che troppo spesso rimangono senza patch. Inoltre, possono essere necessari anni per l'autorizzazione in fabbrica e per i test di accettazione in loco, quindi le piccole modifiche non sono incoraggiate.
Alcuni sistemi OT e i loro componenti funzionano ininterrottamente per anni, con brevi periodi di manutenzione programmata. Il funzionamento continuo contribuisce a garantire la sicurezza e l'affidabilità, poiché i tempi di inattività possono portare a guasti critici negli ambienti industriali. Le patch (se disponibili) e altri aggiornamenti sono poco frequenti e devono essere programmati durante le finestre di manutenzione ristrette.
L'IT utilizza sistemi operativi standard e comunica con protocolli standard. Molti dispositivi OT hanno sistemi operativi proprietari specifici per il loro utilizzo. Inoltre, i sistemi OT utilizzano centinaia di protocolli per comunicare, molti dei quali specifici per il settore e intrinsecamente insicuri. Questi protocolli sono stati concepiti per il monitoraggio e il controllo in tempo reale di processi e dispositivi fisici, privilegiando l'affidabilità, i tempi di risposta deterministici e la resilienza rispetto alla velocità e alla flessibilità. I sistemi di rilevamento delle intrusioni (IDS) e i sistemi di rilevamento e risposta endpoint (EDR) non comprendono i protocolli industriali e non sono quindi in grado di rilevare le minacce OT. Nel migliore dei casi sarebbero inefficaci; nel peggiore potrebbero consumare troppe risorse o rompere qualcosa.
In un giorno qualsiasi, i produttori possono avere decine di tecnici di terze parti che si collegano in remoto per monitorare la produzione e risolvere i problemi delle apparecchiature, spesso utilizzando i propri strumenti di accesso remoto. L'uso lassista di credenziali deboli e password predefinite lascia le aziende aperte ad attacchi tramite l'esecuzione di codice remoto.
Soprattuttoper le apparecchiature non presidiate, le password predefinite potrebbero non essere mai cambiate, rendendo facile per i malintenzionati violarle, e l'autenticazione a più fattori (MFA) non è praticabile. Si ricorre invece al monitoraggio continuo per autenticare i dispositivi e garantire l'integrità della comunicazione tra i dispositivi stessi.
La segmentazione è un controllo compensativo essenziale per limitare le comunicazioni e proteggere i dispositivi che possono essere rimediati di rado, se non addirittura mai. Per isolare i gioielli della corona industriale e impedire che gli incidenti informatici sulle reti IT si spostino lateralmente alle reti OT , gli ambienti industriali utilizzano zone e condotti sicuri che controllano e monitorano il traffico tra i segmenti.
La comprensione del rischio cybersecurity , l'introduzione di best practice di sicurezza e la creazione di una cultura di consapevolezza negli ambienti industriali sono cambiamenti culturali importanti. Ad esempio, far accettare agli ingegneri OT la mitigazione del rischio cybersecurity come manutenzione programmata richiede un cambiamento di mentalità. Poiché i CISO abbracciano la gestione del rischio aziendale e l'OT è sempre più sotto la loro autorità, questo cambiamento deve avvenire.
Nonostante lo scetticismo iniziale, gli operatori OT traggono molti vantaggi dal monitoraggio continuo di asset e reti. Raccoglie una grande quantità di informazioni sugli asset e sui processi che monitora, utili per rilevare cambiamenti importanti, sia anomalie rispetto alla linea di base che minacce cybersecurity . Inoltre, una volta avviato il monitoraggio continuo, di solito si scoprono problemi di vecchia data di cui gli operatori non conoscevano l'esistenza.
Non appena la piattaforma Nozomi Networks viene installata, i sensori di rete iniziano ad analizzare il traffico di rete ICS e ne costruiscono una visualizzazione interattiva. Gli operatori e il personale addetto alla sicurezza informatica vedono i nodi della rete industriale visualizzati, spesso per la prima volta. Percepiscono rapidamente aspetti dell'ambiente di cui non erano a conoscenza in precedenza e possono facilmente approfondire le informazioni.
L'aggiunta di sensori endpoint sicuri e non distruttivi, creati appositamente per le risorse OT , fornisce un ulteriore livello di informazioni preziose: gli operatori possono vedere non solo le modifiche alla configurazione e le anomalie, ma anche chi si è collegato a un dispositivo, con quali altri dispositivi sta comunicando e quali protocolli sta utilizzando. Due grandi vantaggi sono la visibilità del traffico est-ovest ai livelli inferiori di Purdue e le connessioni USB non autorizzate.
I centri operativi di sicurezza (SOC) unificati OT sono il punto di incontro tra le due culture. Si stanno diffondendo per ovvie ragioni, come la supervisione centrale del CISO, la convergenza OT , il miglioramento dei tempi di risposta e, naturalmente, il risparmio sui costi. Tuttavia, più che di un SOC unificato, si tratta spesso di un team SOC IT tradizionale che fornisce un servizio a un nuovo cliente, la business unit OT . Spesso si tratta di un esempio da manuale di mancata comprensione del cliente da parte del fornitore di servizi. Deve avvenire un importante trasferimento di conoscenze, ma non avviene.
Un modo semplice per confrontare OT e IT è il seguente: L'IT valuta l'integrità, la riservatezza e la disponibilità dei dati. L OT attribuisce valore ai tempi di attività dei processi, alla sicurezza e all'affidabilità.
L'IT è onnipresente in un'organizzazione ed è utilizzato da quasi tutti i dipendenti, in ogni centro di costo. Pertanto, la sicurezza informatica si concentra sulla protezione dei dati da accessi o modifiche non autorizzati, ponendo l'accento sull'accesso basato sui ruoli e sulla formazione degli utenti, l'anello più debole, a pratiche sicure cybersecurity .
Le risorse e le reti OT gestiscono e controllano tipicamente i gioielli della corona che generano entrate per un'organizzazione (o forniscono servizi pubblici essenziali), spesso in modo autonomo. Se l OT si guasta o viene attaccato, la posta in gioco è più alta rispetto all'IT, soprattutto per le infrastrutture critiche. Pertanto, la sicurezza OT implica la garanzia di un funzionamento sicuro e affidabile dei processi fisici.
Il volume e la diversità dei dispositivi OT e IoT li rendono più difficili da gestire rispetto ai dispositivi IT. Inoltre, ogni componente di una rete OT fa parte di un processo più ampio in un ambiente molto distribuito. Se una macchina ha un problema, bisogna immediatamente capire da cosa dipende e cosa dipende da essa.
Storicamente, le reti OT erano "air-gapped": senza connettività a Internet o alle reti IT aziendali, le minacce informatiche non erano un problema. Quei tempi sono ormai lontani, ma troppo spesso la cybersecurity negli ambienti OT è ancora un pensiero secondario. Grazie alla digitalizzazione industriale, gli ambienti di produzione odierni comprendono centinaia di sistemi digitali interconnessi che migliorano l'efficienza ma introducono anche nuovi rischi. Molti dispositivi OT non sono gestiti e non possono essere sottoposti a patch come i computer e i server IT. Quando la patch è possibile, non può essere automatizzata. Con alcune eccezioni, il rilevamento delle minacce si basa sull'ispezione profonda dei pacchetti e su tecniche di rilevamento delle anomalie basate sul comportamento, progettate specificamente per gli ambienti OT.
Gli attacchi ransomware fanno notizia, ma le configurazioni errate della rete o dei processi quotidiani, gli errori operativi, i picchi di utilizzo delle risorse e altre anomalie hanno molte più probabilità di minacciare gli ambienti OT rispetto agli attacchi esterni. Un'anomalia è tutto ciò che si discosta dalle prestazioni di base. Può trattarsi di valori di processo instabili, misurazioni di processo errate e configurazioni errate che potrebbero portare a un malfunzionamento.
I dati che si muovono attraverso le risorse e i processi OT (come i valori dei processi) sono rilevanti solo per un istante e potrebbero essere milioni di questi punti di dati al minuto. Pertanto, lacybersecurity OT si concentra meno sull'esfiltrazione dei dati e più sulla garanzia che i dati si spostino solo tra i dispositivi autorizzati e siano aggiornati in ogni istante.
La maggior parte dell'IT ha un ciclo di vita breve, con obsolescenza incorporata. Il software viene abbandonato o sottoposto a un aggiornamento importante ogni pochi anni e l'hardware deve essere sostituito di frequente. L OT ha generalmente un ciclo di vita lungo, che in alcuni casi può arrivare a diversi decenni. Dispositivi come i PLC sono spesso costruiti appositamente per ambienti di produzione difficili e destinati a durare nel tempo. Molti dispositivi OT si basano ancora su una tecnologia legacy che è "insecure by design", con vulnerabilità ben documentate che troppo spesso rimangono senza patch. Inoltre, possono essere necessari anni per l'autorizzazione in fabbrica e per i test di accettazione in loco, quindi le piccole modifiche non sono incoraggiate.
Alcuni sistemi OT e i loro componenti funzionano ininterrottamente per anni, con brevi periodi di manutenzione programmata. Il funzionamento continuo contribuisce a garantire la sicurezza e l'affidabilità, poiché i tempi di inattività possono portare a guasti critici negli ambienti industriali. Le patch (se disponibili) e altri aggiornamenti sono poco frequenti e devono essere programmati durante le finestre di manutenzione ristrette.
L'IT utilizza sistemi operativi standard e comunica con protocolli standard. Molti dispositivi OT hanno sistemi operativi proprietari specifici per il loro utilizzo. Inoltre, i sistemi OT utilizzano centinaia di protocolli per comunicare, molti dei quali specifici per il settore e intrinsecamente insicuri. Questi protocolli sono stati concepiti per il monitoraggio e il controllo in tempo reale di processi e dispositivi fisici, privilegiando l'affidabilità, i tempi di risposta deterministici e la resilienza rispetto alla velocità e alla flessibilità. I sistemi di rilevamento delle intrusioni (IDS) e i sistemi di rilevamento e risposta endpoint (EDR) non comprendono i protocolli industriali e non sono quindi in grado di rilevare le minacce OT. Nel migliore dei casi sarebbero inefficaci; nel peggiore potrebbero consumare troppe risorse o rompere qualcosa.
In un giorno qualsiasi, i produttori possono avere decine di tecnici di terze parti che si collegano in remoto per monitorare la produzione e risolvere i problemi delle apparecchiature, spesso utilizzando i propri strumenti di accesso remoto. L'uso lassista di credenziali deboli e password predefinite lascia le aziende aperte ad attacchi tramite l'esecuzione di codice remoto.
Soprattuttoper le apparecchiature non presidiate, le password predefinite potrebbero non essere mai cambiate, rendendo facile per i malintenzionati violarle, e l'autenticazione a più fattori (MFA) non è praticabile. Si ricorre invece al monitoraggio continuo per autenticare i dispositivi e garantire l'integrità della comunicazione tra i dispositivi stessi.
La segmentazione è un controllo compensativo essenziale per limitare le comunicazioni e proteggere i dispositivi che possono essere rimediati di rado, se non addirittura mai. Per isolare i gioielli della corona industriale e impedire che gli incidenti informatici sulle reti IT si spostino lateralmente alle reti OT , gli ambienti industriali utilizzano zone e condotti sicuri che controllano e monitorano il traffico tra i segmenti.
La comprensione del rischio cybersecurity , l'introduzione di best practice di sicurezza e la creazione di una cultura di consapevolezza negli ambienti industriali sono cambiamenti culturali importanti. Ad esempio, far accettare agli ingegneri OT la mitigazione del rischio cybersecurity come manutenzione programmata richiede un cambiamento di mentalità. Poiché i CISO abbracciano la gestione del rischio aziendale e l'OT è sempre più sotto la loro autorità, questo cambiamento deve avvenire.
Nonostante lo scetticismo iniziale, gli operatori OT traggono molti vantaggi dal monitoraggio continuo di asset e reti. Raccoglie una grande quantità di informazioni sugli asset e sui processi che monitora, utili per rilevare cambiamenti importanti, sia anomalie rispetto alla linea di base che minacce cybersecurity . Inoltre, una volta avviato il monitoraggio continuo, di solito si scoprono problemi di vecchia data di cui gli operatori non conoscevano l'esistenza.
Non appena la piattaforma Nozomi Networks viene installata, i sensori di rete iniziano ad analizzare il traffico di rete ICS e ne costruiscono una visualizzazione interattiva. Gli operatori e il personale addetto alla sicurezza informatica vedono i nodi della rete industriale visualizzati, spesso per la prima volta. Percepiscono rapidamente aspetti dell'ambiente di cui non erano a conoscenza in precedenza e possono facilmente approfondire le informazioni.
L'aggiunta di sensori endpoint sicuri e non distruttivi, creati appositamente per le risorse OT , fornisce un ulteriore livello di informazioni preziose: gli operatori possono vedere non solo le modifiche alla configurazione e le anomalie, ma anche chi si è collegato a un dispositivo, con quali altri dispositivi sta comunicando e quali protocolli sta utilizzando. Due grandi vantaggi sono la visibilità del traffico est-ovest ai livelli inferiori di Purdue e le connessioni USB non autorizzate.
I centri operativi di sicurezza (SOC) unificati OT sono il punto di incontro tra le due culture. Si stanno diffondendo per ovvie ragioni, come la supervisione centrale del CISO, la convergenza OT , il miglioramento dei tempi di risposta e, naturalmente, il risparmio sui costi. Tuttavia, più che di un SOC unificato, si tratta spesso di un team SOC IT tradizionale che fornisce un servizio a un nuovo cliente, la business unit OT . Spesso si tratta di un esempio da manuale di mancata comprensione del cliente da parte del fornitore di servizi. Deve avvenire un importante trasferimento di conoscenze, ma non avviene.
