Nel contributo che vi proponiamo qui di seguito, Domenico Dominoni (nella foto qui accanto), Director of Sales South Europe di Claroty, parte dal presupposto che una sicurezza universale per proteggere le aziende iperconnesse di oggi “è solo un mito” e suggerisce tre aspetti chiave da tenere a mente nella scelta di soluzioni iperconvergenti.
Buona lettura.
Negli ultimi due anni e mezzo, molte aziende hanno assistito a una radicale trasformazione digitale delle proprie operazioni e, di conseguenza, le risorse fisiche e digitali sono diventate sempre più interconnesse tra loro.
In questo scenario, la recente ondata di attacchi ransomware di alto profilo contro oleodotti, catene di approvvigionamento alimentare, ospedali e altre infrastrutture critiche ha messo in evidenza l’elevata criticità dei sistemi cyber-fisici (CPS) e la loro esposizione agli attacchi. Sebbene l’ascesa dell’Extended Internet of Things (XIoT) – gli asset connessi alla base dei sistemi cyber-fisici – abbia creato per tutti nuove sfide legate sicurezza, la complessità di questa rete di dispositivi può impattare sulle aziende in diversi modi.
La Cyber Security Agency (CSA) di Singapore ha recentemente annunciato che i dispositivi IoT critici corrono un rischio sempre crescente di subire attacchi ransomware o altre minacce da parte dei criminali informatici. Nel Singapore Cyber Landscape 2021 report, l’agenzia avverte, inoltre, che tali attacchi potrebbero avere un “impatto devastante sulle organizzazioni a causa dei potenziali costi legati ai tempi di inattività”.
Gli asset che possono essere colpiti, infatti, spaziano dalle risorse OT, come i controllori logici programmabili (PLC), ai sistemi di gestione degli edifici (BMS), come i controllori di riscaldamento, ventilazione, condizionamento (HVAC) e gli ascensori. Poi ci sono dispositivi IoT come telecamere di sicurezza e distributori automatici, dispositivi sanitari e IoMT come pompe per infusione e macchine per risonanza magnetica. Il modo in cui questi dispositivi vengono utilizzati, come si connettono al resto della rete, quanto sono importanti per i processi business-critical e quali minacce rappresentano un rischio reale varia da organizzazione a organizzazione. Per questi motivi, è importante che i team di sicurezza dispongano di strumenti potenti, ma allo stesso semplici da utilizzare, per personalizzare le funzionalità che li aiutino a monitorare, identificare e rispondere a problemi di sicurezza e potenziali interruzioni operative. È chiaro, però, che non esiste un approccio unico per proteggere i sistemi cyber-fisici e mantenere la resilienza operativa nell’ambiente iperconnesso di oggi. Le aziende hanno necessità di una suite di prodotti di facile utilizzo per impostare parametri per identificare e affrontare ciò che è più importante per loro.
Per l‘85% delle organizzazioni di infrastrutture critiche che prevede di adottare soluzioni iperconvergenti entro il 2024, ecco tre aspetti chiave da tenere bene a mente in fase di valutazione delle offerte.
- Attenzione alle soluzioni che non consentono di personalizzare la sicurezza dei sistemi cyber-fisici a livello granulare.
Ogni ambiente è unico, quindi per ottenere la massima resilienza operativa, è necessario essere in grado di monitorare le variabili più importanti per il proprio ambiente.
Claroty xDome dispone di oltre 90 diverse variabili che possono essere utilizzate per personalizzare i parametri di tolleranza al rischio. Ad esempio, è possibile impostare avvisi in base agli eventi definiti dell’utente, inclusi valori fuori range o comunicazioni specifiche. Sebbene sia essenziale per la protezione della rete, per un rilevamento e per una risposta ottimali, questa flessibilità consente anche di progettare un programma di manutenzione preventiva per evitare tempi di inattività non programmati e creare resilienza operativa. È, inoltre, possibile filtrare le informazioni in base alle versioni del firmware e del software e raggruppare gli asset in modo logico per aiutare a informare le attività di mitigazione e resilienza informatica, tra cui la valutazione dei rischi, la gestione delle vulnerabilità, le best practice Zero Trust, le indagini sugli incidenti e il triage.
- Un contesto curato e ricco di sfumature consente ai team di sicurezza di garantire resilienza operativa
Claroty arricchisce ulteriormente gli avvisi personalizzati con il contesto. Sfruttando un algoritmo basato sul contesto unico e sulle circostanze specifiche in cui ogni avviso viene attivato, fornisce un’unica metrica su misura per valutare i rischi presenti in quel dato ambiente. Oltre a eliminare facilmente i falsi positivi, il punteggio di rischio degli avvisi consente di assegnare priorità rapide ed efficaci quando si risponde a un incidente urgente. Ciò contribuisce a garantire resilienza operativa, assicurando che gli incidenti vengano risolti in modo rapido ed efficace.
I parametri impostati per gli avvisi e i filtri possono essere ulteriormente modificati grazie all’asset risk scoring. Questo meccanismo granulare di valutazione del rischio per ogni asset della rete consente di identificare e comprendere meglio la natura del rischio al fine di dare priorità e rimediare ai relativi avvisi e vulnerabilità. Il punteggio di rischio complessivo di una risorsa può essere basato su punteggi individuali di vulnerabilità, criticità, accessibilità, infezione e minaccia. Ad esempio, i sistemi HVAC avranno un punteggio di criticità più elevato per le organizzazioni nei settori farmaceutico o alimentare che si basano su processi sensibili alla temperatura.
- I fattori situazionali giocano un ruolo cruciale, quindi è fondamentale comprendere il comportamento degli attacchi nel contesto di uno specifico ambiente cyber-fisico.
Indipendentemente dal livello di visibilità, dal rilevamento delle minacce o dai controlli di gestione delle vulnerabilità implementati per gestire il rischio, non è possibile eliminarlo del tutto. Le aziende di infrastrutture critiche devono affrontare minacce informatiche, sorveglianza ostile e malware.
Claroty porta la personalizzazione e il contesto ancora più in là, consentendo di comprendere i fattori situazionali che i criminali informatici utilizzano a loro vantaggio durante un attacco e le misure che si possono adottare per rimediare proattivamente al rischio.
La mappatura dei vettori di attacco identifica gli asset e le zone più a rischio della rete cyber-fisica e simula i vari mezzi attraverso i quali i criminali potrebbero penetrarla, con particolare attenzione agli scenari di movimento laterale. Attraverso una rappresentazione visiva, è possibile identificare tutti i punti nei quali si verrebbe avvisati durante un attacco. Dal primo avviso che una nuova risorsa (ad esempio, il sistema di un intruso) è entrata nell’ambiente, lungo l’intera catena contestualizzata di eventi e tutti gli avvisi relativi a un singolo incidente. Disporre di un contesto completo che circonda ogni fase dell’attacco significa essere in grado di fermare un criminale prima che acceda a una parte operativamente critica della rete e inizi un attacco che potrebbe causare problemi di sicurezza o costosi tempi di inattività.
Una sicurezza universale per proteggere le aziende iperconnesse di oggi è solo un mito.
Progettata per la flessibilità e la facilità d’uso, la suite di prodotti Claroty offre personalizzazione, arricchimento contestuale e funzionalità di consapevolezza situazionale di cui i team di sicurezza hanno bisogno per comprendere quali minacce e falle nella sicurezza rappresentano un rischio reale per i profitti e per proteggere uno specifico ambiente.