Le infrastrutture critiche sono costantemente minacciate da attacchi informatici e i dati archiviati nei sistemi di Operational Technology (OT) necessitano di essere protetti in modo particolare, perché tali sistemi, composti da hardware e software, sono fondamentali per il monitoraggio e il controllo dell’infrastruttura.
Di seguito vi proponiamo un articolo a cura di Brian Spanswick (nella foto), Chief Information Security Officer ed Head of IT di Cohesity, che spiega come proteggere i dati OT.
Buona lettura.
I dati Operational Technology (OT) sono alla base delle aree operative critiche: una violazione dei sistemi OT può mettere a rischio i processi aziendali fondamentali ed esporre dati critici. Molti operatori sono focalizzati sulla protezione di questi dati dagli attacchi e adottano una serie di controlli e tecniche di sicurezza finalizzati a ridurre la probabilità che un’intrusione nei sistemi abbia successo.
Tuttavia, gli attacchi su larga scala a JBS o Colonial Pipeline hanno dimostrato che i cyber criminali riescono sempre più spesso ad aggirare tali livelli di protezione. Pertanto, gli operatori di infrastrutture critiche dovrebbero ampliare la propria strategia di sicurezza e pensare a meccanismi con cui limitare notevolmente le conseguenze di un attacco riuscito. In pratica, gli operatori dovrebbero essere in grado di riprendere le operazioni di business e gestire allo stesso tempo le conseguenze di un attacco ransomware riuscito.
Una recente indagine globale di Cohesity ha rilevato che la sicurezza e la protezione dei dati sono una priorità per poco più della metà degli oltre 2.000 decision maker del mondo IT. Solo quattro responsabili SecOps su dieci degli intervistati attribuiscono grande importanza al backup dei dati.
In particolare, i gestori di infrastrutture critiche dovrebbero diventare più attivi, ottenere una migliore visione d’insieme dei propri sistemi IT e OT ed eseguire il backup dei dati per essere in grado di rilevare gli attacchi più sofisticati.
La sfida più grande per i team che si occupano dell’infrastruttura IT e della sicurezza è garantire al contempo il backup dei dati importanti e il fatto che i sistemi e i processi coinvolti possano continuare a funzionare senza problemi. Questo è fondamentale indipendentemente dal luogo in cui i dati sono archiviati.
La superficie di attacco di un’organizzazione è definita dai suoi dati business-critical. Gli hacker di solito si concentrano su questi dati importanti e sui processi coinvolti per causare danni mirati. Infatti, se riescono a corrompere questi dati, possono causare le maggiori perdite in termini di costi e mancati guadagni.
Per ridurre al minimo le conseguenze di questi attacchi, è essenziale che i diversi team dell’azienda lavorino insieme per contrastare le minacce informatiche sempre più sofisticate. IT e SecOps dovrebbero collaborare strettamente e sviluppare un concetto di sicurezza comune a entrambi, che si concentri il più possibile sulla prevenzione delle intrusioni. Allo stesso tempo, entrambi i team dovrebbero sviluppare tattiche comuni per contenere rapidamente le conseguenze di un attacco riuscito. Tuttavia, ciò richiede che le organizzazioni implementino processi, policy e controlli di sicurezza che diano priorità alla protezione e al ripristino dei dati in caso di attacco informatico.
Le moderne piattaforme di gestione dei dati basate su principi Zero Trust possono essere di grande aiuto. Creano una panoramica dei dati e della superficie di attacco, aiutano a identificare le anomalie e a memorizzare i dati su uno storage immutabile, dove vengono conservati in modo che siano inalterabili. Così facendo, gli operatori delle infrastrutture critiche possono ottenere un livello superiore di resilienza informatica.
Supervisione e priorità dei dati OT
Gli operatori di infrastrutture critiche devono definire chiaramente quali dati e sistemi sono essenziali per poter continuare a operare. Su questa base, è possibile rispondere a una serie di domande importanti. L’operatore riconosce la sensibilità di alcuni dati e sarà in grado di determinare quali potrebbero essere le conseguenze di un eventuale furto di questi dati. In definitiva, è possibile determinare lo sforzo di protezione di questi dati che l’organizzazione dovrebbe mettere in atto.
I gestori di infrastrutture critiche hanno certamente riconosciuto che OT e IT sono fondamentali, da soli e in combinazione tra loro, per raggiungere la resilienza informatica. Alla base c’è l’obiettivo essenziale di continuare a operare e generare risultati di business, anche se è in corso un attacco.
Dovrebbe essere questo l’obiettivo sul piano della sicurezza e dovrebbe essere questo a guidare la strategia, piuttosto che chiedersi se si stiano rispettando specifici standard di compliance. Tra l’altro, è possibile ricavare anche da questo i requisiti precisi che un concetto di sicurezza deve soddisfare per garantire che le aziende possano continuare a lavorare anche durante un incidente informatico.
Alcune domande aiuteranno a determinare questi criteri in modo più ristretto. È possibile recuperare file specifici singolarmente o i team devono eseguire un recupero completo? Quanto tempo richiede il processo nella pratica? I team possono effettivamente ricorrere a backup puliti e immutabili con snapshot rilevanti nel tempo? I dati sono crittografati in transit e at rest? I backup vengono testati rispetto ai tempi e ai punti di ripristino previsti?
Quando si tratta di incidenti di grandi dimensioni, la domanda più comune per il CISO riguarda la disponibilità di un backup dei dati. Una volta era la domanda giusta, perché i backup fornivano una buona protezione contro la cancellazione accidentale dei dati da parte di un utente, contro un grave incidente o persino contro alcuni tra i primi attacchi ransomware.
Oggi le organizzazioni dovrebbero porsi la domanda in modo diverso: quanto velocemente possono essere ripristinati i processi aziendali più importanti che sono stati infettati? Una risposta che sia coerente con gli obiettivi dell’azienda confermerà l’attuale livello di resilienza informatica.
Per rispondere a questa domanda, gli operatori delle infrastrutture critiche devono capire esattamente dove risiedono i propri dati critici, come sono archiviati e come attraversano i sistemi. La comprensione dei propri sistemi principali e del modo in cui i dati vengono utilizzati per supportare i processi aziendali fondamentali è una componente cruciale per poter ridurre la superficie di attacco.
Vendor come Cohesity aiutano a gestire, proteggere e, soprattutto, ripristinare rapidamente i dati, indipendentemente dalla loro ubicazione, sia essa IT, OT o entrambe. Questo, a sua volta, aiuta le aziende a rafforzare la propria resilienza informatica, mettendole in condizione di continuare le operazioni anche in caso di emergenza.
