Un approccio alla sicurezza Zero Trust e una corretta segmentazione della rete garantiscono la conformità alla direttiva NIS2 e proteggono le reti OT in caso di accessi da remoto da parte di fornitori terzi
I professionisti della sicurezza informatica si trovano oggi ad affrontare una sfida unica quando si tratta di sicurezza degli ambienti OT (Operation Technology). Perché? Perché in questi ambienti non si tratta solo di proteggere i dati, ma anche di mantenere l’integrità della produzione. Questo è il risultato della rapida crescita di Industria 4.0, che sta rivoluzionando i processi produttivi in molti settori. Gli ambienti OT e IT sono diventati sempre più interconnessi con la digitalizzazione, creando una crescente necessità di solide misure di sicurezza, che si riveleranno essenziali per proteggere dalle minacce informatiche fabbriche e impianti di produzione precedentemente isolati. In questo contesto, la Direttiva NIS2 dell’UE (https://digital-strategy. ec.europa.eu/en/policies/nis2-directive#:~:text=The%20NIS2%20Directive%20is%20the,came%20into%20force%20in%202023) mira a migliorare il livello generale di sicurezza informatica in tutta l’Unione. Con il suo rigoroso quadro di sicurezza per le infrastrutture critiche, la Direttiva ha imposto ai responsabili IT di implementare misure di protezione efficaci prima della scadenza del 17 ottobre. Ma, come possono le aziende proteggere efficacemente i loro ambienti OT dalle minacce in evoluzione, nel quadro della conformità alla NIS2? E quale ruolo svolgono l’approccio Zero Trust e la segmentazione granulare nell’affrontare queste sfide?
Le sfide della moderna sicurezza OT
Storicamente, gli ambienti OT operavano in modo isolato rispetto a quello IT; erano gestiti separatamente dai team di produzione o dagli specialisti della sicurezza OT, e i dispositivi erano spesso integrati direttamente nella rete, senza che vi fossero strategie di sicurezza integrate. Il fulcro del problema risiede nella difficoltà di adattare le misure di sicurezza a macchinari con una durata di vita di 30-40 anni. Inoltre, i cambiamenti complessi in queste reti sono spesso difficili da implementare, a causa della natura continua dei processi produttivi, il che significa che molte aziende rinunciano alle necessarie modernizzazioni. Oggi il problema, però, non si può più ignorare: la convergenza degli ambienti IT e OT ha introdotto nuovi fattori di rischio, e le minacce informatiche che si infiltrano negli ambienti IT via Internet possono potenzialmente diffondersi negli ambienti di produzione attraverso movimenti laterali, causando guasti devastanti. Questo scenario sottolinea la necessità approcci alla sicurezza innovativi, in grado di adattarsi alle caratteristiche uniche degli ambienti OT.
Il problema delle terze parti
Un altro fattore di rischio significativo negli ambienti OT è la necessità di concedere l’accesso a fornitori terzi per scopi di manutenzione. Le aziende sono comprensibilmente riluttanti a consentire ai fornitori l’accesso VPN alle loro reti IT, a causa dei rischi legati alla sicurezza intrinseca. La sfida, in questo scenario, consiste nel fornire un accesso sicuro e limitato a software o sistemi specifici rilevanti dal punto di vista operativo, per gli interventi di manutenzione remota. Ciò richiede strategie di segmentazione sofisticate per mitigare i rischi potenziali, soprattutto se il fornitore di servizi è stato compromesso, o manca dei necessari controlli di sicurezza.
Un approccio alla sicurezza Zero Trust e la segmentazione granulare
Secondo l’ultimo report di Zscaler sul ransomware, intitolato ‘ThreatLabz 2024 Ransomware Report’, il panorama delle minacce continua a evolversi e gli attacchi alle strutture produttive aumentano. La convergenza tra IT e OT richiede quindi un cambio di paradigma nelle strategie di mitigazione del rischio. Il modello Zero Trust, basandosi sul principio di offrire il minimo dei privilegi consentiti, offre un approccio promettente per migliorare la sicurezza in questi ambienti complessi. Implementando controlli di accesso granulari a livello di applicazione e segmentazione per i sistemi di produzione e i parchi macchine, le aziende possono ridurre significativamente la loro superficie di attacco e minimizzare il rischio di movimenti laterali. Finora, i modelli di segmentazione tradizionali si sono rivelati inadeguati per gli impianti di produzione, a causa del grande sforzo di implementazione e dei tempi di inattività delle macchine che avrebbero richiesto. Tuttavia, stanno emergendo nuovi approcci alla segmentazione in grado di proteggere il traffico dati orizzontale all’interno dell’infrastruttura delle fabbriche o dei campus, senza interrompere la produzione. Airgap Networks, per esempio, ha sviluppato un approccio di segmentazione agentless basato su un’architettura proxy Dhcp (Dynamic host configuration protocol) intelligente. Questa soluzione è in grado di isolare dinamicamente ogni dispositivo in base all’identità e al contesto, riducendo potenzialmente il rischio per le aziende con infrastrutture critiche. Sfruttando il machine learning (ML) e spostando ogni dispositivo nella propria sottorete è possibile analizzare il traffico dati per determinare quali dispositivi devono comunicare tra loro, il che consente una segmentazione granulare della rete, riducendo in modo significativo il rischio di movimenti laterali da parte di malware. Anche i criteri di accesso possono essere gestiti automaticamente, utilizzando l’analisi del traffico per creare profili che definiscono esattamente quali dispositivi sono autorizzati a comunicare tra loro. Questa automazione semplifica la gestione e riduce significativamente l’onere per i team IT. In definitiva, l’integrazione di Airgap nella piattaforma di sicurezza Zero Trust Exchange crea una simbiosi tra Zero Trust e segmentazione granulare della rete, che copre sia gli ambienti IT sia OT.
Implicazioni relative alla NIS2
La Direttiva NIS2 stabilisce requisiti specifici per la sicurezza OT. Le aziende, in particolare quelle che gestiscono infrastrutture nazionali critiche, come l’energia o l’approvvigionamento idrico, devono implementare misure di sicurezza rigorose a partire dal 17 ottobre, per garantire la resilienza dei loro sistemi. I requisiti principali includono:
» gestione del rischio – le aziende devono condurre valutazioni complete del rischio e adottare misure appropriate per mitigare i rischi identificati, inclusa la prevenzione del movimento laterale delle minacce informatiche, riducendo la superficie di attacco negli ambienti OT;
» gestione degli incidenti – le aziende devono essere in grado di rilevare, rispondere e segnalare rapidamente gli incidenti di sicurezza; devono altresì disporre di sistemi adeguati per monitorare efficacemente tutti i flussi di dati;
» precauzioni di sicurezza – le aziende devono implementare misure tecniche e organizzative per garantire la sicurezza delle reti e dei sistemi informativi: il modello Zero Trust, sfruttando il principio dell’accesso ‘least privilege’, può contribuire a questo scopo.
Un percorso di resilienza nel paesaggio OT
Guardando al futuro è chiaro che la protezione degli ambienti OT richiede un approccio fondamentalmente diverso dalle tradizionali strategie di sicurezza IT. Combinando tecnologie di segmentazione innovative con un’architettura Zero Trust, le aziende possono migliorare significativamente la resilienza dei loro ambienti OT. Questo approccio non solo aiuta a soddisfare i severi requisiti della direttiva NIS2, ma fornisce anche una solida protezione contro la crescente sofisticazione delle minacce informatiche in un mondo sempre più interconnesso. Trovandoci al crocevia della convergenza tra IT e OT, abbracciare questi nuovi paradigmi di sicurezza non è solo un requisito normativo, ma un imperativo strategico. Il percorso verso ambienti OT veramente resilienti può essere impegnativo, ma con gli strumenti e la mentalità giusti, le aziende possono navigare in questo panorama complesso e uscirne rafforzate e più sicure.
Zscaler – www.zscaler.it