Nel corso della vita quotidiana, molte delle decisioni che prendiamo in merito al mondo dell’IT in un contesto business sono più semplici di quanto possano sembrare a prima vista. Per esempio, se dobbiamo acquistare smartphone o tablet come supporto per i dipendenti, dal punto di vista dei brand l’offerta è ampia (Samsung, Motorola, LG, Apple, e così via), ma per quanto riguarda il sistema operativo, la scelta è solo tra piattaforme Android o iOS.
Allo stesso modo, se compriamo dei PC (desktop o laptop) per uso amministrativo, possiamo scegliere tra una grande varietà di produttori (Dell, Lenovo, Hewlett-Packard, Apple, e così via). Tuttavia, il numero di sistemi operativi offerti è generalmente limitato solo a Windows e macOS (o forse, in alcuni casi Linux). Infine, anche le applicazioni di rete IT e i fornitori di strumenti sono progettati per essere applicati a un’infrastruttura specifica composta da router, switch e server.
La situazione nel mondo della Tecnologia Operativa (OT) è molto diversa.
Più piattaforme e sistemi OT, meno compatibilità
Ci sono molteplici ragioni che spiegano le differenze.
Una delle prime ragioni è che i sistemi OT tendono a utilizzare una gamma più ampia di protocolli di comunicazione. Tenable, società che ha creato la soluzione di scansione delle vulnerabilità Nessus, ha spiegato in un recente post sul proprio blog che i fornitori OT non hanno seguito le procedure IT nell’attenersi a piattaforme predefinite. Invece, i singoli fornitori spesso sviluppano il proprio software e i propri protocolli di comunicazione, molti dei quali proprietari e pertanto pochi sono effettivamente compatibili tra loro.
Questo è vero anche quando molteplici fornitori lavorano per soddisfare lo stesso standard. Come sottolinea Tenable, se gli utenti OT acquistano controllori logici programmabili (PLC) da più fornitori, è probabile che scoprano che ognuno di essi ha adottato un approccio diverso (e proprietario) per sostenere gli standard IEC-61131. Di conseguenza, se questi fornitori non danno un’adeguata documentazione dei loro approcci, gli utenti avranno difficoltà a monitorare le attività critiche.
In termini pratici, questo significa che gli ingegneri dei sistemi OT devono spesso imparare a usare, monitorare e risolvere i problemi di tanti tipi di software e protocolli di comunicazione quanti sono i fornitori. Questo è già un livello elevato, ma le complicazioni non finiscono qui. I software e i protocolli di comunicazione in questione non sono solo incompatibili tra loro ma, in molti casi, lo sono anche con le moderne soluzioni di sicurezza che diventano necessarie quando i sistemi OT sono collegati a Internet.
Collegamenti tra legacy e vulnerabilità di sicurezza
Questa incompatibilità è spesso una funzione legata all’età.
I sistemi OT sono progettati per durare molto di più di quelli IT. I dispositivi come telefoni cellulari e personal computer – tipicamente funzionano per alcuni anni prima di essere sostituiti, in parte perché non sono costruiti per durare a lungo, in parte perché le campagne di marketing esaltano i modelli più recenti con maggiori funzionalità e in parte perché il costo di tali dispositivi è diminuito nel tempo. Questo non è il caso dei sistemi OT, che invece sono progettati per rimanere in funzione per decenni, a piena capacità, con pochi downtime e con affidabilità e sicurezza intatte nel tempo.
Di conseguenza, è molto più probabile che i sistemi OT includano componenti che hanno 20-30 anni, o anche più vecchi. Alcuni sistemi possono essere così datati da essere antecedenti anche ai più recenti cyberattacchi, mentre altri possono semplicemente avere misure di sicurezza inadeguate (come gli air gap che sono stati efficacemente colmati dall’implementazione di dispositivi di monitoraggio collegati). In alternativa, tali sistemi potrebbero ancora utilizzare software ancora più vecchi che sono meno sicuri e/o non più supportati. Per esempio molte stazioni di lavoro OT si affidano ancora a sistemi operativi legacy, come Windows NT o Windows XP, per i quali il supporto non è più disponibile. Di conseguenza, possono essere molto difficili da integrare con le moderne soluzioni di sicurezza.
Quando le aziende lavorano per integrare le loro reti legacy con le moderne piattaforme di sicurezza, gli switch non gestiti senza opzione SPAN (switch port analyzer o port mirroring) o gli switch gestiti – che non hanno le risorse per supportare le capacità SPAN – ostacolano anche la visibilità di base della rete di cui gli strumenti di sicurezza hanno bisogno per proteggerla.
La guida del NIST (National Institute of Standards and Technology) alla sicurezza dei sistemi di controllo industriali (ICS) avverte che i sistemi operativi (OS) e le applicazioni ICS possono non tollerare nemmeno le pratiche di sicurezza IT e i sistemi ICS che di solito funzionano a velocità lente su reti legacy possono essere facilmente sopraffatti dal volume di traffico generato durante i test attivi. Un aspetto da considerare è anche il fatto che quando si spinge l’attrezzatura legacy a trasferire dati al di fuori di questi sistemi proprietari, si sottopone la rete industriale alle vulnerabilità di sicurezza.
I downtime della rete sono diventati una minaccia per la sicurezza
Sfortunatamente, le sfide dell’incompatibilità e dell’età non sono facili da superare. Gli utenti OT hanno un incentivo a mantenere le loro risorse esistenti anche se non sono adatte alle moderne soluzioni di sicurezza, perché il loro principio guida è quello di evitare gli episodi di downtime.
Come spiega questo post del blog di F-Secure, i sistemi di controllo industriale (ICS) non possono essere messi offline ogni volta che i loro operatori sentono parlare di una nuova patch o di un aggiornamento. Se queste procedure vengono utilizzate per gestire centrali elettriche, sistemi fognari, ospedali o altri componenti di infrastrutture critiche, i tempi di inattività possono comportare rischi inaccettabili per la salute e la sicurezza pubblica (e forse anche la sicurezza nazionale). Inoltre, se questi sistemi sono utilizzati per gestire impianti di produzione, i tempi di inattività possono interrompere la continuità aziendale e portare a perdite finanziarie significative.
Di conseguenza, gli ingegneri dell’automazione industriale e altri dipendenti che lavorano con i sistemi OT hanno tutte le ragioni nel sostenere la necessità di mantenere gli ICS esistenti e senza sospenderli a lungo, anche se sono noti per essere vulnerabili. Allo stesso tempo, gli specialisti IT e di cybersecurity hanno ragione nel sostenere la necessità di implementare gli aggiornamenti e le patch necessarie per eliminare o mitigare i rischi.
Come la visibilità di TAP può colmare il divario di eredità
Insieme, queste sfide – incompatibilità, età, e la necessità di evitare downtime – possono rendere i sistemi OT estremamente difficili da proteggere.
La sicurezza OT dovrebbe anche essere unita alle migliori e fondamentali pratiche nell’architettura della visibilità. In altre parole, gli utenti OT dovrebbero eliminare gli aspetti oscuri e le vulnerabilità nei loro sistemi in modo che i loro strumenti di sicurezza possano ottimizzare il rilevamento delle minacce e la risposta, così come eseguire il corretto rilevamento delle risorse.
Superare questa difficoltà è molto più facile avendo visibilità della rete – cioè, abilitando una soluzione di sicurezza che fornisca all’operatore una rappresentazione visiva completa di ogni componente e minaccia all’interno dell’intero sistema, perché “non si può proteggere ciò che non si vede“.
Molte aziende del settore industriale si rivolgono a TAP di rete specializzati per colmare il divario legacy, collegando vecchi tipi di media come 100Base-FX o 100BASE-LX al rame Gigabit, così come la conversione di velocità che collega automaticamente e facilmente vari segmenti d 10M, 100M o 1G.
Molti ambienti OT legacy hanno a che fare con switch non gestiti, senza opzione SPAN (Port Mirroring) o switch gestiti che non hanno le risorse per supportare le capacità SPAN. Per questi, i TAP di rete forniscono accesso al traffico e visibilità dei pacchetti per la piattaforma di sicurezza.
Per le reti OT in cui è disponibile lo SPAN, i TAP di rete sono ancora la migliore procedura per la catena di visibilità, poiché copiano passivamente il traffico per gli strumenti di sicurezza senza far cadere o duplicare i pacchetti. Poiché lo SPAN può anche introdurre vulnerabilità attraverso il traffico bidirezionale, i TAP a diodi di dati forniscono traffico unidirezionale assicurando che le minacce non raggiungano il livello fisico della rete. Molte volte, gli AggregatorTAP vengono aggiunti per proteggere e aggregare più link SPAN nella piattaforma di sicurezza.
State cercando di aggiungere la visibilità TAP alla vostra rete legacy, ma non sapete da dove cominciare? Unitevi a noi per una breve valutazione o demo di Network Design-IT. Nessun obbligo – è quello che amiamo fare.
Scopri l’articolo originale sul sito di Garland Technology.