I rischi della convergenza IT e OT

By Giovanni Prinetti

I mondi dell'Information Technology (IT) e dell'Operational Technology (OT) sono rimasti separati per molti anni. Le reti IT sono utilizzate esclusivamente per l'interconnessione di computer, data center e reti pubbliche, mentre le reti OT interconnettono tipicamente i macchinari di produzione industriale.

Questa separazione "a prova di bomba" ha mantenuto le reti OT isolate e lontane dai problemi causati dai cyberattacchi che affliggono le reti IT, ma impedendo le sinergie tra i due mondi.

Negli ultimi anni, tuttavia, si è assistito a un movimento di convergenza delle reti IT e OT su un'unica infrastruttura fisica basata sul protocollo IP. Questa tendenza ha finalmente permesso ai sistemi di produzione di collaborare con altre funzioni aziendali (vendite, marketing, acquisti, ecc.). Questa integrazione comporta una riduzione dei costi e l'opportunità di aumentare l'agilità aziendale, ma ha ancje esposto le reti OT ai cyber-attacchi con conseguenti rischi economici per l'azienda.

Un attacco che colpisce un'area uffici può causare danni significativi, ma i backup e i sistemi di disaster recovery possono essere una mitigazione efficace. Al contratio, gli attacchi che colpiscono le linee di produzione o le infrastrutture critiche causano danni immediati, possono espandersi rapidamente e potrebbero non essere facilmente recuperabili.

Le fonti degli attacchi informatici

Il primo aspetto da considerare quando si costruisce un sistema difensivo è la fonte degli attacchi. Sappiamo che la maggior parte degli attacchi informatici proviene da Internet. Poiché ogni rete aziendale si connette alla rete pubblica, questo apre la porta a innumerevoli tentativi di attacco.

I sistemi di difesa convenzionali basati sull'IT proteggono il confine tra reti private e pubbliche. Pertanto, l'approccio abituale è quello di inserire un firewall, preferibilmente con funzionalità UTM (Unified Threat Management), per evitare che le minacce attraversino il confine e infettino l'interno della rete.

Local virus infection too strong for the firewall at the edge of the network

Diagramma 1: il firewall al confine della WAN non può proteggere dalle infezioni locali e dalle minacce laterali.

Oltre a questi, altri confini della rete possono essere superfici di attacco. Spesso questi confini sono meno protetti e possono esporre la rete a rischi inutili. Ad esempio, le reti wireless possono essere vulnerabili oppure se un malintenzionato ha accesso fisico alla rete, ogni porta di ogni switch di rete rappresenta un potenziale punto di attacco.

In una rete OT, qualsiasi dispositivo connesso, come un sensore IoT o una telecamera IP, può diventare un cavallo di Troia in grado di attaccare la rete dall'interno. Sostituire un sensore o una telecamera remota con un computer effettuando lo spoofing dell'indirizzo MAC del sensore è un modo ovvio per cercare di accedere alla rete di produzione.

Il problema principale degli attacchi informatici dall'interno della rete è che si muovono lateralmente (da un dispositivo all'altro), incontrando il firewall solo quando comunicano con il server di comando e controllo via internet. Questo rende gli attacchi interni molto più pericolosi perché c'è il rischio che si diffondano sulla rete locale per ore o addirittura giorni senza che il firewall sia in grado di rilevarli o intercettarli.

Architetture che minimizzano il rischio

Esistono architetture di sicurezza che superano le capacità di un singolo firewall di confine per aumentare la protezione della rete, anche dagli attacchi interni. Due possibili architetture possono migliorare la protezione, ma non sempre sono praticabili per motivi di costo o di prestazioni:

  1. Utilizzare un unico firewall molto potente attraverso il quale viene reindirizzato tutto il traffico di rete.
  2. Dividere la rete in sottoreti e posizionare un firewall dedicato per proteggere ogni sottorete.
Cyber attack on an added in-line firewalls, IT-based network

Diagramma 2: i firewall in linea con gli switch possono analizzare tutto il traffico ma aggiungono latenza e sono costosi.

Il tempo di risposta è fondamentale

Finora abbiamo parlato dei modi per prevenire un attacco, ma dobbiamo anche considerare la risposta migliore nel caso in cui un attacco riesca a infettare un dispositivo connesso.

A seconda dell'architettura di sicurezza implementata, potrebbe passare del tempo prima che il firewall rilevi l'attacco. Questo perché i firewall impediscono agli attacchi di attraversare un confine, ma non possono fare nulla per evitare che una minaccia si diffonda lateralmente.

Nello scenario tipico, una volta rilevato un attacco, il firewall informa il responsabile IT, che deve agire rapidamente per evitare ulteriori danni, ma non è sempre così.

Le azioni necessarie per identificare la fonte, porre rimedio al problema e ripristinare i dispositivi in uno stato sicuro sono nelle mani del gruppo IT e sono quindi legate ai tempi di risposta della reazione umana. Inoltre. Ogni volta che l'uomo deve rispondere sotto pressione a una situazione in rapida evoluzione, è possibile che si verifichi un errore umano. Spesso questi errori possono causare ritardi e ulteriori danni o lasciare vulnerabilità non rilevate che espongono l'azienda a maggiori rischi in futuro.

I tempi di risposta possono variare in base a una moltitudine di fattori: la complessità della rete, l'esperienza del gruppo IT, la presenza o la disponibilità del personale in ufficio al momento del rilevamento, la capacità di rilevare l'attacco e il tempo necessario per sventare l'attacco e prevenire ulteriori danni. Gli attacchi informatici vengono spesso lanciati la sera o nel fine settimana, quando il team IT non è presente o è più lento a rispondere.

Il danno subito dall'azienda è direttamente proporzionale al tempo necessario per riportare la rete in uno stato sicuro. Pertanto, più tempo passa, più ampio sarà l'impatto e maggiore il danno economico per l'azienda.

Possono essere necessari giorni o addirittura settimane per identificare la fonte di un attacco e porre rimedio alla situazione, il che rende più dannoso qualsiasi attacco informatico. Oltre all'impatto economico, i danni alla reputazione, alle relazioni commerciali e, nel caso di infrastrutture critiche, il rischio per la vita umana possono essere gravi.

Automazione per una risposta immediata

La soluzione è ridurre il più possibile il tempo che intercorre tra il rilevamento dell'attacco e il ripristino della sicurezza. Per poterlo fare occorre affidarsi a risposte automatizzate che consentano alla rete di difendersi da sola ed evitare i ritardi tipici dell'intervento umano. In altre parole, occorre una "rete self-defending".

Affinché una rete self-defending sia in grado di reagire autonomamente, tutti gli elementi coinvolti devono lavorare insieme. Pertanto, i requisiti principali di un sistema di questo tipo sono:

  • Un sistema di rilevamento efficiente basato su un approccio multidisciplinare in cui i firewall con strumenti integrati basati sull'intelligenza artificiale possono rilevare tutte le minacce, compresi gli attacchi "zero-day" non riconosciuti.
  • Un adattatore intelligente in grado di interpretare gli avvisi del sistema di rilevamento e decidere come reagire. AMF-Sec di Allied Telesis si integra con la maggior parte dei firewall in commercio ed è in grado di bloccare la porta cablata o wireless a cui è collegato il dispositivo, reindirizzare il traffico verso una VLAN sicura o avvisare l'amministratore.
  • Una rete programmabile che riceve istruzioni dall'adattatore e le attua immediatamente. Le istruzioni possono utilizzare protocolli standard come OpenFlow, che richiedono uno sviluppo personalizzato, oppure una soluzione di automazione di rete già pronta, Autonomous Management Framework Plus (AMF Plus) che funziona perfettamente con AMF-Sec.

Il diagramma seguente mostra come questi componenti si combinano per rilevare e isolare immediatamente i dispositivi compromessi, riducendo al minimo l'impatto sul resto della rete e sull'azienda.

Cyber attack solution using AMF-Sec in an IT-based network

Diagramma 3: il firewall "one-armed" esegue la scansione di una copia del traffico degli switch e avvisa AMF-Sec se viene rilevata una minaccia.

Questa soluzione è efficace perché gli switch di rete inviano una copia del loro traffico al firewall per ispezionarlo, risolvendo così diversi problemi presenti in altri progetti:

  1. Poiché il firewall ispeziona tutto il traffico proveniente dagli switch, può rilevare le minacce che si spostano lateralmente da un dispositivo all'altro.
  2. Il firewall non introduce latenza poiché ispeziona una copia del traffico, quindi le prestazioni della rete non ne risentono.
  3. Anche quando si utilizzano sottoreti per la sicurezza, è possibile utilizzare un unico firewall per una soluzione più pratica ed economica.

Preparati e rispondi rapidamente

Quando si parla di Cybersecurity, la prevenzione è necessaria, ma è sempre possibile che un attacco possa aggirare le nostre difese. Quindi preparati a reagire prontamente a qualsiasi situazione con sistemi automatizzati che non comportino ritardi. Evita il più possibile l'intervento manuale, perché ritardi ed errori possono causare danni e costi maggiori.

Un sistema automatizzato intelligente che coordini le reazioni e gli interventi è l'unica soluzione per creare una rete self-defending in grado di proteggersi immediatamente e indipendentemente dall'intervento umano.

Potrebbe interessarti anche...

Gestione intelligente degli asset: Cavalcare l'onda della manutenzione predittiva

Le operazioni di manutenzione e riparazione (MRO) sono tra le attività più importanti delle aziende...

L'importanza della sicurezza per l'Edge Computing

Questo articolo descrive la necessità di sicurezza nelle applicazioni di Edge Computing e propone la...

Correlati

Automated Cybersecurity Solution Protects School Network

AMF-Sec cybersecurity provides cutting-edge endpoint security and protection from insider threats for large vocational high school in Taiwan.

Video: rete Self-Defending

La rete self-defending protegge la rete cablata e wireless dalle minacce interne, mettendo automaticamente in quarantena i dispositivi sospetti.

A Scalable Automation System for Large Steel Manufacturer

Allied Telesis delivers a network automation solution to help steelmaker manage its large-scale operational network without increasing costs.