Proteggere gli ambienti IT-OT: perché i professionisti della sicurezza IT si trovano in difficoltà
![](https://www.tenable.com/sites/default/files/images/articles/cybersecurity%20in%20critical%20infrastructure.jpeg)
Quando si tratta di fornire soluzioni di sicurezza informatica per ambienti IT e OT convergenti, è fondamentale che i professionisti della sicurezza IT comprendano le differenze tra i due e utilizzino un set di strumenti in grado di offrire un quadro completo di entrambi gli ambienti in un'unica vista.
Se la tua organizzazione dispone di ambienti IT e di tecnologia operativa (OT), è praticamente certo che siano convergenti, anche se non è immediatamente evidente. I giorni in cui nell'OT si utilizzava la tecnica dell'air gap appartengono ormai al passato e oggi la connettività viene fornita attraverso l'infrastruttura IT, lasciando la porta aperta agli avversari per raggiungere l'infrastruttura OT critica. Inoltre, secondo la nostra esperienza con organizzazioni di tutto il mondo, i dispositivi IT rappresentano oggi circa la metà delle risorse presenti in un ambiente OT, rendendo quasi impossibile tracciare una linea di confine netta tra i due.
Di conseguenza, un numero crescente di professionisti della sicurezza IT si trova improvvisamente a gestire il programma di sicurezza per entrambi gli ambienti senza neanche sapere da dove iniziare, poiché gli ambienti IT e OT sono stati costruiti in modo diverso fin dalle fondamenta, come dimostra la seguente tabella di confronto:
Confronto tra gli ambienti IT e OT
Attributo | IT | OT |
---|---|---|
Controllo | Centralizzato | Per aree |
Connettività | Any-to-any | In base al contesto (gerarchica) |
Focus | Top-down: operazioni e sistemi necessari per gestire l'azienda | Bottom-up: impianto, processi e attrezzature necessarie per gestire e supportare l'azienda |
Copertura | WAN (Wide Area Network) globale | LAN (Local Area Network) |
Postura di rete | CIA ― confidenzialità, integrità, disponibilità | AIC ― disponibilità, integrità, confidenzialità |
Risposta agli attacchi | Quarantena/arresto per la mitigazione | Operazioni non-stop/mission critical (mai nessun arresto, anche in caso di violazione) |
Maggiore timore | Intrusione nella rete | Sicurezza ridotta; perdita di visione/controllo |
Livello di maturità della sicurezza informatica | Alto | Basso |
Debolezza | Rigidi controlli di sicurezza | Comportamento non sicuro |
Fonte: Tenable, dicembre 2021
Da che parte iniziare quindi? Un importante primo passo è comprendere le differenze evidenziate nella tabella qui sopra e considerare come tali differenze potrebbero influenzare atteggiamenti, convinzioni e, in definitiva, decisioni legate alla sicurezza.
Cosa si intende per sicurezza
La parola “sicurezza” assume un significato diverso in un ambiente OT. Sarò per sempre grato a un'amica ed ex collega che mi ha salvato da una brutta figura di fronte a 100 professionisti OT agli inizi della mia esperienza con la sicurezza IT/OT. Stavo rivedendo con lei la mia presentazione per un pubblico di professionisti della sicurezza OT in cui intendevo sottolineare l'importanza di prestare attenzione alla sicurezza mettendola al primo posto, quando lei mi ha fatto notare che un pubblico di professionisti OT avrebbe reagito negativamente a questo messaggio, poiché la sicurezza è già al centro della loro strategia. Qual è il problema dunque? La "sicurezza" a cui mi riferivo era nel contesto della mia esperienza IT, ovvero la sicurezza informatica, mentre nel mondo dell'OT, "sicurezza" significa incolumità e sicurezza fisica. La stessa parola ha quindi significati molto diversi.
Perché i professionisti IT e OT vedono la sicurezza in modo così diverso?
Nell'IT, i dati la fanno da padrone, quindi è logico che il più grande timore per la sicurezza riguardi la possibilità di una violazione della rete. Un avversario che riesce ad accedere alla rete può danneggiare l'integrità dei dati, esfiltrarli o addirittura bloccarli in modo da impedirne l'accesso alla stessa organizzazione. Di contro, gli ambienti OT sono intrinsecamente più pericolosi dal punto di vista fisico, quindi il timore più grande è che possa verificarsi un incidente che interrompa le operazioni critiche e possa mettere a repentaglio la sicurezza dei dipendenti o quella della comunità. Di conseguenza, i professionisti OT sono fortemente orientati a gestire un'operazione "always-on", nonché a mantenere un elevato grado di sicurezza ― e, per estensione, i controlli di sicurezza fisica dell'ambiente.
Strutture profondamente diverse
Tenendo presente questo contesto, il resto della tabella inizia ad avere molto più senso. I professionisti della sicurezza IT puntano a un controllo centralizzato, fornendo un'infrastruttura che può essere plausibilmente utilizzata per consentire a qualsiasi risorsa o persona di accedere a qualsiasi altra risorsa, o qualsiasi dato, ovunque sulla rete. Si tratta di reti WAN (Wide Area Network) che ospitano i sistemi e i processi necessari per gestire l'azienda.
Al contrario, gli ambienti OT sono progettati per assicurare molta più privacy e un controllo limitato. Questi ambienti altamente segmentati rendono impossibile per le persone e le risorse autorizzate l'accesso ad altre risorse che sono al di fuori della loro sfera di competenza. Si tratta di reti LAN (Local Area Network) che ospitano i sistemi e i processi necessari per gestire l'azienda. La maggior parte dei dispositivi su questa rete può comunicare solo con altri dispositivi all'interno della loro area e non con il mondo esterno.
Punti di vista diversi
Date le diverse topologie di rete e definizioni di cosa significa essere sicuri, non dovrebbe sorprendere che le priorità dei team addetti alla sicurezza OT e IT e le loro reazioni agli attacchi siano agli antipodi, anche all'interno della stessa organizzazione. Mentre i professionisti della sicurezza IT assegnano le priorità nel loro ambiente in base ai requisiti C-I-A (confidenzialità, integrità, accessibilità), i professionisti OT partono dalla prospettiva diametralmente opposta, assegnando le priorità secondo A-I-C. Come accennato in precedenza, per la sicurezza informatica i dati sono assolutamente la cosa più importante, quindi garantirne la riservatezza e l'integrità prevarrà sulla disponibilità ogni volta. Tuttavia, per un professionista OT attento alla sicurezza, le operazioni devono essere sempre disponibili per garantire che l'ambiente funzioni senza intoppi e senza guasti che potrebbero avere conseguenze catastrofiche.
Cosa significa in concreto tenere conto di queste diverse priorità? In caso di attacco, i professionisti della sicurezza IT metteranno in quarantena e spegneranno i sistemi interessati il più rapidamente possibile nel tentativo di contenere il problema e ridurre al minimo la perdita di dati. Il team OT, tuttavia, adotterà l'approccio opposto mantenendo sempre in funzione l'infrastruttura critica. L'unica deviazione da questa strategia, logicamente, è se l'attacco causa il malfunzionamento dei dispositivi OT e può rappresentare un pericolo per l'azienda, i suoi dipendenti o la comunità circostante.
Varietà di strumenti
Probabilmente la difficoltà più grande affrontata dai professionisti della sicurezza IT quando tentano di gestire la sicurezza OT è data dal fatto che molti degli strumenti di sicurezza IT tradizionali non funzionano in un ambiente OT. Basti pensare che lo strumento di sicurezza IT più semplice di tutti, lo scanner, può effettivamente causare l'arresto dei sistemi su una rete OT e per questo è necessario assicurarsi di scegliere uno scanner collaudato in un ambiente OT; così facendo si corre però il rischio di avere due set di strumenti di sicurezza, uno per ogni ambiente. Sebbene ciò contribuirà sicuramente a garantire di avere a disposizione gli strumenti giusti per ogni processo, possono presentarsi delle difficoltà, nella migliore delle ipotesi, quando si tratta di assicurarne la gestione e di garantire che il personale sia adeguatamente formato per utilizzarli tutti correttamente.
Poi arriva la vera complicazione: capire come unire tutti i dati disparati, provenienti da due ambienti completamente diversi, in un unico dashboard in modo da poter visualizzare tutti gli asset e definire priorità per tutti i problemi di sicurezza sull'intera superficie di attacco. Senza questa capacità di visualizzare e valutare in modo completo tutti gli ambienti sulla superficie di attacco estesa in un'unica soluzione completamente integrata, il tuo team impiegherà molto più tempo a comprendere il quadro complessivo della sicurezza, correndo l'ulteriore rischio di farsi sfuggire importanti problemi di sicurezza.
Conclusione
Per i responsabili della gestione del programma di sicurezza per una rete IT/OT convergente, è assolutamente essenziale comprendere le differenze e le difficoltà specifiche di un ambiente OT. Inoltre, cosa altrettanto importante, occorre assicurarsi di utilizzare gli strumenti di sicurezza più adatti alle esigenze di lavoro, ovvero quelli che siano in grado di supportare un ambiente OT e di integrarsi completamente con strumenti di sicurezza IT complementari, in modo da fornire un quadro completo dello stato della sicurezza nell'organizzazione. Inoltre, dal punto di vista delle persone e dei processi è necessario:
- Assicurarsi che i professionisti della sicurezza IT incontrino i responsabili OT per comprendere a fondo le differenze intrinseche che sono specifiche per gli ambienti OT.
- Prendersi il tempo necessario per comprendere appieno le esigenze e le priorità dell'OT ― e perché sono importanti ― piuttosto che imporre strategie di sicurezza IT sull'OT.
- Tenere presente che gli ambienti OT hanno utilizzato la connettività esterna solo per un periodo di tempo relativamente breve, quindi i responsabili OT si trovano ancora nelle fasi iniziali della maturità della sicurezza.
- Poiché è fondamentale guadagnarsi l'approvazione di tutte le parti interessate, valutare la possibilità di apportare cambiamenti graduali, invece di imporre una soluzione della sicurezza "ideale" da un giorno all'altro.
Scopri di più
- Guarda il webinar: An Ecosystem Approach to Bettter Protect Converged IT/OT Environments
- Scarica il report: Forrester Wave: Industrial Control System (ICS) Security Solutions
- Leggi la guida di Gartner: 2021 Market Guide for Vulnerability Assessment
Articoli correlati
- Energy Industry
- Executive Management
- OT Security
- SCADA
- Threat Management
- Vulnerability Scanning