Operation Technology Managed Services

Una delle soluzioni più efficaci per proteggere la sicurezza di un sistema informatico è l’affidamento della sua gestione ad aziende specializzate, oppure a team dedicati altamente qualificati in sicurezza dei dati e dei sistemi. Questa necessità è diventata particolarmente evidente negli ultimi anni, nei quali il numero e la sofisticazione degli attacchi informatici sono cresciuti in modo esponenziale.

Ma un nuovo elemento sta rivoluzionando il mondo della sicurezza informatica, rappresentato dalla veloce integrazione dei sistemi informatici industriali (OT, Operation Technology) con la tradizionale IT. È possibile e opportuno adottare la stessa soluzione anche per i sistemi informatici del mondo industriale?

I sistemi OT sono sempre stati (silenziosamente) presenti nel mondo informatico, dato che i microprocessori hanno rivoluzionato l’automazione industriale fin dagli anni Settanta. Tuttavia, le specificità di tali sistemi, sia dal punto di vista hardware che software, hanno condotto il mondo OT e quello IT su strade piuttosto differenti fino all'inizio dello scorso decennio. In quel momento, la progressiva miniaturizzazione dei processori, e quindi la disponibilità di PC (industriali) a basso costo, hanno cominciato a portare in fabbrica elementi di similarità con il mondo IT. La progressiva assimilazione dei due mondi è diventata ancora più veloce quando le aziende hanno intuito i vantaggi dell’integrazione verticale dei sistemi OT con la componente IT, favorita dalla diffusione universale nelle reti del protocollo TCP/IP e dall’adozione, anche per i sistemi di supervisione dei sistemi industriali, della piattaforma MS Windows.

Sfortunatamente l’integrazione dei due mondi ha gradualmente eliminato l’isolamento tecnico e anche fisico che ha sempre protetto i sistemi OT dagli attacchi informatici (perlomeno quelli esterni). Questa nuova situazione ha cominciato a palesarsi negli ultimi dieci anni, anche se episodi isolati sono documentati anche molto prima (legati prevalentemente ad attacchi ultra-sofisticati, a cura di entità governative nei confronti di infrastrutture critiche di nazioni rivali, ad esempio StuxNet).

La consapevolezza del nuovo scenario è storia recente e purtroppo è stato necessario assistere a gravissimi attacchi, i quali hanno interessato infrastrutture essenziali per la vita dei cittadini, per richiamare finalmente l’attenzione sul nuovo fronte della sicurezza cibernetica.

La lentezza nella risposta dei “difensori” alle nuove minacce è stata anche conseguenza dello scenario molto specifico del mondo industriale.

Ad esempio, le piattaforme da proteggere nel mondo IT sono ormai relativamente poche (Microsoft, linux/Unix, Apple, alcuni sistemi di hypervisor e le piattaforme in cloud), mentre nel mondo industriale esistono dozzine di sistemi proprietari, spesso sviluppati e mantenuti da una miriade di aziende specializzate. Anche i sistemi di rete OT, al livello più basso, sono completamente differenti dalle reti ethernet. Infine, non si deve dimenticare come il paradigma della sicurezza dei sistemi OT sia guidato soprattutto dalla necessità di garantire la safety e la disponibilità dei sistemi e degli operatori, piuttosto che la riservatezza dei dati, priorità dei sistemi informatici “classici”.

Per mettersi al riparo dalla nuova minaccia, le aziende (e i governi, visto che i sistemi OT gestiscono ormai la grande maggioranza dei sistemi infrastrutturali critici, come energia, distribuzione di acqua e cibo, trasporti ecc.) stanno adottando una strategia caratterizzata da due linee d’azione.

Per prima cosa un approccio architetturale: ristabilire dei livelli di separazione fra i sistemi OT, le controparti IT ed internet, ricreando degli strati di segregazione multipla fra le varie zone della fabbrica/sistema di produzione. Ovviamente la separazione deve comunque consentire il colloquio fra i sistemi, per salvaguardare il patrimonio investito in termini di integrazione verticale.

Il secondo elemento consiste nell’inserimento mirato di alcune tecnologie difensive mutuate dal mondo della sicurezza IT, in particolare i sistemi di monitoraggio delle vulnerabilità, integrati da soluzioni di analisi comportamentale basati su Machine Learning e da metodologie di analisi precoce degli attacchi.

L’adozione di sistemi di monitoraggio delle vulnerabilità delle reti OT è quindi diventato il principale strumento di scelta per la difesa dei sistemi OT. Tuttavia, queste soluzioni richiedono inevitabilmente l’impiego di personale altamente preparato, sia in merito alle caratteristiche dei protocolli industriali, sia nelle metodologie di attacco impiegate. Infine, il monitoraggio di sistemi che lavorano h24 richiede ovviamente la presenza continuativa della componente umana. Questo vale anche per la gestione degli incidenti, che richiedono tempi di reazione estremamente ridotti e la consapevolezza delle possibili conseguenze di un attacco in ambienti così delicati.

Attualmente queste caratteristiche sono presenti solamente all’interno dei SOC (Security Operation centre) più evoluti e completi (Hybrid SOC), che possono infatti offrire le seguenti caratteristiche:

• disponibilità di team di analisti IT e OT che lavorano h24 in affiancamento;
• risorse di 2° e 3° livello con skill elevati e verticali sui sistemi industriali e sui tool difensivi specifici per i sistemi OT;
• formazione specialistica ed elevata prontezza operativa mediante Cyber-Range con frequenti simulazioni di attacco;
• capacità di monitoraggio combinata sia dei sistemi che dei protocolli IT e OT;
• padronanza di tecnologie di analisi, correlazione e sintesi dei dati provenienti da entrambi i mondi;
• accesso ad ampie risorse di Intelligence, sia a livello di threat che di analisi precoce delle azioni offensive.

Solo pochissime aziende private possono permettersi un investimento di questo genere. È per tale ragione che l’offerta di un Managed Security Service con queste caratteristiche potrebbe essere la scelta più efficace per garantire un elevato livello di sicurezza in relazione a detta tipologia di infrastrutture.

La sfida per la protezione delle infrastrutture critiche e dei sistemi OT è una delle più severe fra quelle esistenti nell’ambito attuale della cyber security.

In attesa di un radicale miglioramento “by-design” della sicurezza dei sistemi OT, la risposta più moderna ed efficace a queste minacce consiste nell’utilizzo di una combinazione efficiente di personale addestrato e tecnologie allo stato dell’arte all’interno di un Managed Security Service.