Una nota ai nostri clienti e partner in Medio Oriente
Maggiori informazioni
Un modo semplice per confrontare OT e IT è il seguente: L'IT valuta l'integrità, la riservatezza e la disponibilità dei dati. L OT attribuisce valore ai tempi di attività dei processi, alla sicurezza e all'affidabilità.
L'IT è onnipresente in un'organizzazione ed è utilizzato da quasi tutti i dipendenti, in ogni centro di costo. Pertanto, la sicurezza informatica si concentra sulla protezione dei dati da accessi o modifiche non autorizzati, ponendo l'accento sull'accesso basato sui ruoli e sulla formazione degli utenti, l'anello più debole, a pratiche sicure cybersecurity .
OT e le reti OT gestiscono e controllano in genere gli asset più preziosi che generano ricavi per un'organizzazione (o forniscono servizi pubblici essenziali), spesso in modo autonomo. Se OT o viene attaccata, la posta in gioco è più alta rispetto all'IT, soprattutto per le infrastrutture critiche. Pertanto, OT implica garantire il funzionamento sicuro e affidabile dei processi fisici.
La protezione delle risorse e delle reti OT presenta molte sfide rispetto alle pratiche di cybersecurity IT, che sono strettamente legate alle differenze tra i sistemi OT e IT stessi.
Il volume e la varietà dei IoT OT IoT rendono la loro gestione più complessa rispetto a quella dei dispositivi IT. Inoltre, ogni componente di una OT fa parte di un processo più ampio in un ambiente altamente distribuito. Se una macchina presenta un problema, è necessario capire immediatamente da cosa dipende e da cosa dipende a sua volta.
In passato, OT erano isolate fisicamente (air-gapped): non essendo collegate a Internet né alle reti IT aziendali, le minacce informatiche non rappresentavano un problema. Quei tempi sono ormai lontani, ma troppo spesso cybersecurity OT viene ancora considerata un aspetto secondario. Grazie alla digitalizzazione industriale, gli odierni ambienti di produzione includono centinaia di sistemi digitali interconnessi che migliorano l’efficienza ma introducono anche nuovi rischi. Molti OT non sono gestiti e non possono essere aggiornati con patch come i computer e i server IT. Laddove l’applicazione delle patch è possibile, non può essere automatizzata. Con alcune eccezioni, threat detection sull’ispezione approfondita dei pacchetti e su tecniche di rilevamento delle anomalie basate sul comportamento, progettate specificamente per gli ambienti OT.
Gli attacchi ransomware fanno notizia, ma le configurazioni errate della rete o dei processi quotidiani, gli errori operativi, i picchi di utilizzo delle risorse e altre anomalie hanno molte più probabilità di minacciare gli ambienti OT rispetto agli attacchi esterni. Un'anomalia è tutto ciò che si discosta dalle prestazioni di base. Può trattarsi di valori di processo instabili, misurazioni di processo errate e configurazioni errate che potrebbero portare a un malfunzionamento.
I dati che si muovono attraverso le risorse e i processi OT (come i valori dei processi) sono rilevanti solo per un istante e potrebbero essere milioni di questi punti di dati al minuto. Pertanto, lacybersecurity OT si concentra meno sull'esfiltrazione dei dati e più sulla garanzia che i dati si spostino solo tra i dispositivi autorizzati e siano aggiornati in ogni istante.
La maggior parte dell'IT ha un ciclo di vita breve, con obsolescenza incorporata. Il software viene abbandonato o sottoposto a un aggiornamento importante ogni pochi anni e l'hardware deve essere sostituito di frequente. L OT ha generalmente un ciclo di vita lungo, che in alcuni casi può arrivare a diversi decenni. Dispositivi come i PLC sono spesso costruiti appositamente per ambienti di produzione difficili e destinati a durare nel tempo. Molti dispositivi OT si basano ancora su una tecnologia legacy che è "insecure by design", con vulnerabilità ben documentate che troppo spesso rimangono senza patch. Inoltre, possono essere necessari anni per l'autorizzazione in fabbrica e per i test di accettazione in loco, quindi le piccole modifiche non sono incoraggiate.
Alcuni sistemi OT e i loro componenti funzionano ininterrottamente per anni, con brevi periodi di manutenzione programmata. Il funzionamento continuo contribuisce a garantire la sicurezza e l'affidabilità, poiché i tempi di inattività possono portare a guasti critici negli ambienti industriali. Le patch (se disponibili) e altri aggiornamenti sono poco frequenti e devono essere programmati durante le finestre di manutenzione ristrette.
L'IT utilizza sistemi operativi standard e comunica utilizzando protocolli standard. Molti OT dispongono di sistemi operativi proprietari specifici per il loro utilizzo. OT utilizzano inoltre centinaia di protocolli per comunicare, molti dei quali specifici del settore e intrinsecamente insicuri. Questi protocolli sono personalizzati per il monitoraggio e il controllo in tempo reale di processi e dispositivi fisici, dando priorità all'affidabilità, ai tempi di risposta deterministici e alla resilienza rispetto alla velocità e alla flessibilità. I protocolli proprietari come Modbus o Profibus devono essere analizzati attentamente utilizzando l'ispezione approfondita dei pacchetti (DPI) per identificare comportamenti sospetti o anomali. I sistemi di rilevamento delle intrusioni IT (IDS) e i sistemi endpoint e risposta endpoint (EDR) non comprendono i protocolli industriali, quindi non sono in grado di rilevare le minacce OT. Nella migliore delle ipotesi sarebbero inefficaci; nella peggiore potrebbero consumare troppe risorse o causare danni.
In un giorno qualsiasi, i produttori possono avere decine di tecnici di terze parti che si collegano in remoto per monitorare la produzione e risolvere i problemi delle apparecchiature, spesso utilizzando i propri strumenti di accesso remoto. L'uso lassista di credenziali deboli e password predefinite lascia le aziende aperte ad attacchi tramite l'esecuzione di codice remoto.
Soprattuttoper le apparecchiature non presidiate, le password predefinite potrebbero non essere mai cambiate, rendendo facile per i malintenzionati violarle, e l'autenticazione a più fattori (MFA) non è praticabile. Si ricorre invece al monitoraggio continuo per autenticare i dispositivi e garantire l'integrità della comunicazione tra i dispositivi stessi.
La segmentazione è una misura di controllo compensativa essenziale per limitare le comunicazioni e proteggere i dispositivi che possono essere sottoposti a interventi di riparazione solo raramente, se non mai. Per isolare le risorse industriali più preziose e impedire che gli incidenti informatici sulle reti IT si propaghino lateralmente alle OT , gli ambienti industriali ricorrono a zone sicure e canali che controllano e monitorano il traffico tra i segmenti.
La comprensione del rischio cybersecurity , l'introduzione di best practice di sicurezza e la creazione di una cultura di consapevolezza negli ambienti industriali sono cambiamenti culturali importanti. Ad esempio, far accettare agli ingegneri OT la mitigazione del rischio cybersecurity come manutenzione programmata richiede un cambiamento di mentalità. Poiché i CISO abbracciano la gestione del rischio aziendale e l'OT è sempre più sotto la loro autorità, questo cambiamento deve avvenire.
Nonostante lo scetticismo iniziale, gli operatori OT traggono molti vantaggi dal monitoraggio continuo di asset e reti. Raccoglie una grande quantità di informazioni sugli asset e sui processi che monitora, utili per rilevare cambiamenti importanti, sia anomalie rispetto alla linea di base che minacce cybersecurity . Inoltre, una volta avviato il monitoraggio continuo, di solito si scoprono problemi di vecchia data di cui gli operatori non conoscevano l'esistenza.
Non appena la piattaforma Nozomi Networks viene installata, i sensori di rete iniziano ad analizzare il traffico di rete ICS e ne costruiscono una visualizzazione interattiva. Gli operatori e il personale addetto alla sicurezza informatica vedono i nodi della rete industriale visualizzati, spesso per la prima volta. Percepiscono rapidamente aspetti dell'ambiente di cui non erano a conoscenza in precedenza e possono facilmente approfondire le informazioni.
L'integrazione di endpoint sicuri e non invasivi, progettati appositamente per OT , fornisce un ulteriore livello di informazioni preziose. Gli operatori possono vedere non solo le modifiche alla configurazione e le anomalie, ma anche chi ha effettuato l'accesso a un dispositivo, con quali altri dispositivi sta comunicando e quali protocolli sta utilizzando. Due grandi vantaggi sono la visibilità sul traffico est-ovest ai livelli inferiori della rete Purdue e il monitoraggio delle connessioni USB non autorizzate.
I centri operativi di sicurezza (SOC) unificati OT sono il punto di incontro tra le due culture. Si stanno diffondendo per ovvie ragioni, come la supervisione centrale del CISO, la convergenza OT , il miglioramento dei tempi di risposta e, naturalmente, il risparmio sui costi. Tuttavia, più che di un SOC unificato, si tratta spesso di un team SOC IT tradizionale che fornisce un servizio a un nuovo cliente, la business unit OT . Spesso si tratta di un esempio da manuale di mancata comprensione del cliente da parte del fornitore di servizi. Deve avvenire un importante trasferimento di conoscenze, ma non avviene.
