Come ottenere la conformità alla NIS 2 in ambienti OT

La “Zero Trust” e la segmentazione della rete, nell’analisi di Tony Fergusson, CISO (Chief Information Security Officer) della società di cybersecurity Zscaler.

I professionisti della sicurezza informatica si trovano oggi ad affrontare una sfida unica nella sicurezza di ambienti OT (Operation Technology). Perché in questi ambienti non si tratta soltanto di proteggere i dati, ma anche di mantenere l’integrità della produzione.

Si tratta del risultato della rapida crescita dell’Industria 4.0, che sta rivoluzionando i processi produttivi in molti settori. Gli ambienti OT e IT (Information Technology) sono diventati sempre più interconnessi con la digitalizzazione, creando una crescente necessità di solide misure di sicurezza che si riveleranno essenziali per proteggere dalle minacce informatiche fabbriche e impianti di produzione precedentemente isolati.

La direttiva NIS2 dell’UE

In questo contesto, la direttiva NIS2 dell’Unione Europea mira a migliorare il livello generale di sicurezza informatica in tutta l’UE. Con il suo rigoroso quadro di sicurezza per le infrastrutture critiche, la direttiva impone ai responsabili IT di implementare misure di protezione efficaci prima della scadenza del 17 ottobre 2024.

Quindi, come possono le aziende proteggere efficacemente i loro ambienti OT dalle minacce in evoluzione nel quadro della conformità alla direttiva NIS 2? E quale ruolo svolgono l’approccio Zero Trust e la segmentazione granulare nell’affrontare queste sfide? Cerchiamo di capirlo meglio in queste righe.

Le sfide della moderna sicurezza OT

Storicamente, gli ambienti OT operavano in modo isolato rispetto a quello IT, erano gestiti separatamente dai team di produzione o dagli specialisti della sicurezza OT. I dispositivi erano spesso integrati direttamente nella rete senza considerare strategie di sicurezza integrate.

Il fulcro del problema risiede nella difficoltà di adattare le misure di sicurezza a macchinari con una durata di vita di 30-40 anni. I cambiamenti complessi in queste reti sono spesso difficili da implementare a causa della natura continua dei processi produttivi, il che significa che molte aziende rinunciano alle necessarie modernizzazioni.

Ma questo problema non si può ignorare. La convergenza di ambienti IT e OT introduce nuovi fattori di rischio: le minacce informatiche che si infiltrano negli ambienti IT via Internet possono potenzialmente diffondersi negli ambienti di produzione attraverso movimenti laterali, causando guasti devastanti. Questo scenario sottolinea la necessità approcci di sicurezza innovativi in grado di adattarsi alle caratteristiche uniche degli ambienti OT.

Il problema delle terze parti

Un altro fattore di rischio significativo negli ambienti OT è la necessità di concedere l’accesso a fornitori terzi per scopi di manutenzione. Le aziende sono comprensibilmente riluttanti a consentire a questi fornitori l’accesso VPN (Virtual Private Network) alle loro reti IT a causa dei rischi di sicurezza intrinseci. La sfida in questo scenario consiste nel fornire un accesso sicuro e limitato a software o sistemi specifici rilevanti dal punto di vista operativo per gli interventi di manutenzione remota. Ciò richiede strategie di segmentazione sofisticate per mitigare i rischi potenziali, soprattutto se il fornitore di servizi è stato compromesso o manca dei necessari controlli di sicurezza.

Zero Trust e segmentazione granulare

Secondo l’ultimo report di Zscaler sul ransomware, il panorama delle minacce continua a evolversi e gli attacchi alle strutture produttive aumentano. La convergenza tra IT e OT richiede quindi un cambio di paradigma nelle strategie di mitigazione del rischio.

Il modello Zero Trust, basandosi sul principio di offrire il minimo dei privilegi consentiti, offre un approccio promettente per migliorare la sicurezza in questi ambienti complessi. Implementando controlli di accesso granulari a livello di applicazione e segmentazione per i sistemi di produzione e i parchi macchine, le aziende possono ridurre significativamente la loro superficie di attacco e minimizzare il rischio di movimenti laterali.

Finora, i modelli di segmentazione tradizionali si sono rivelati inadeguati per gli impianti di produzione, a causa del grande sforzo di implementazione e dei tempi di inattività delle macchine che avrebbero richiesto. Tuttavia, stanno emergendo nuovi approcci alla segmentazione in grado di proteggere il traffico dati orizzontale all’interno dell’infrastruttura delle fabbriche o dei campus senza interrompere la produzione.

Ad esempio, Airgap Networks ha sviluppato un approccio di segmentazione agentless basato su un’architettura proxy DHCP (Dynamic Host Configuration Protocol) intelligente. Questa soluzione innovativa è in grado di isolare dinamicamente ogni dispositivo in base all’identità e al contesto, riducendo potenzialmente il rischio per le aziende con infrastrutture critiche.

Sfruttando il ML (Machine Learning) e spostando ogni dispositivo nella propria sottorete, è possibile analizzare il traffico dati per determinare quali dispositivi devono comunicare tra loro. Ciò consente una segmentazione granulare della rete, riducendo in modo significativo il rischio di movimenti laterali da parte di malware nella rete.

Anche i criteri di accesso possono essere gestiti automaticamente, utilizzando l’analisi del traffico per creare profili che definiscono esattamente quali dispositivi sono autorizzati a comunicare tra loro. Questa automazione semplifica la gestione e riduce significativamente l’onere per i team IT. In definitiva, l’integrazione di Airgap nella piattaforma di sicurezza Zero Trust Exchange crea una simbiosi tra Zero Trust e segmentazione granulare della rete che copre sia gli ambienti IT che OT.

Implicazioni relative alla direttiva NIS 2

La direttiva NIS 2 stabilisce requisiti specifici per la sicurezza OT. Le aziende, in particolare quelle che gestiscono infrastrutture nazionali critiche come l’energia o l’approvvigionamento idrico, devono implementare misure di sicurezza rigorose a partire dal 17 ottobre per garantire la resilienza dei loro sistemi. I requisiti principali includono:

  • Gestione del rischio: Le aziende devono condurre valutazioni complete del rischio e adottare misure appropriate per mitigare i rischi identificati. Ciò include la prevenzione del movimento laterale delle minacce informatiche, un rischio ben noto, riducendo la superficie di attacco negli ambienti OT.
  • Gestione degli incidenti: Le aziende devono essere in grado di rilevare, rispondere e segnalare rapidamente gli incidenti di sicurezza. Devono disporre di sistemi adeguati per monitorare efficacemente tutti i flussi di dati.
  • Precauzioni di sicurezza: Le aziende devono implementare misure tecniche e organizzative per garantire la sicurezza delle reti e dei sistemi informativi. Il modello Zero Trust sfruttando il principio dell’accesso “least privilege“ può contribuire a questo scopo.

Un percorso di resilienza nel paesaggio OT

Guardando al futuro, è chiaro che la protezione degli ambienti OT richiede un approccio fondamentalmente diverso dalle tradizionali strategie di sicurezza IT. Combinando tecnologie di segmentazione innovative con un’architettura Zero Trust, le aziende possono migliorare significativamente la resilienza dei loro ambienti OT. Questo approccio non solo aiuta a soddisfare i severi requisiti della direttiva NIS 2, ma fornisce anche una solida protezione contro la crescente sofisticazione delle minacce informatiche in un mondo sempre più interconnesso.

Trovandoci al crocevia della convergenza tra IT e OT, abbracciare questi nuovi paradigmi di sicurezza non è solo un requisito normativo, ma un imperativo strategico. Il percorso verso ambienti OT veramente resilienti può essere impegnativo, ma con gli strumenti e la mentalità giusti, le aziende possono navigare in questo panorama complesso e uscirne rafforzate e più sicure.

 

— a cura di Tony Fergusson, CISO (Chief Information Security Officer) della società di cybersecurity Zscaler

calendar_month

a cura di Redazione