Se lavori nel settore della sicurezza, sai bene come stanno le cose: la visibilità è fondamentale.
Ciò è in linea con i "Terzi controlli critici per i sistemi ICS" del SANS – Visibilità e monitoraggio della rete, con il NIST CSF e con le norme ISA/IEC 62443, che definiscono in modo specifico i requisiti di visibilità.
Tuttavia, è difficile integrare in modo sicuro la visibilità della rete negli ambienti OT e ICS per tutti i team che ne hanno bisogno:
- I team di sicurezza IT e OT hanno bisogno dei registri per monitorare gli eventi.
- Gli addetti alla gestione degli incidenti hanno bisogno di dati per prendere decisioni informate durante gli attacchi.
- Gli analisti forensi hanno bisogno di dati per capire come si è verificato un attacco nell'ambiente OT e per ricostruire la cronologia degli eventi.
- Anche i team addetti alla conformità hanno bisogno di documentazione per dimostrare di aver agito con la dovuta diligenza.
Non si tratta di capire «come» garantire l'accesso OT a questi team, ma di garantire tale accesso senza lasciare accidentalmente la porta aperta agli hacker.
È qui cheNetWall in gioco OPSWAT MetaDefender NetWall .
Anziché consentire a ciascuno di questi team di accedere all'ambiente OT, undiodo di dati unidirezionale MetaDefender NetWall trasferisce i log dall'OT all'IT, permettendo ai team di monitorare ciò che accade senza esporsi alle minacce.
A chi servono i registri OT (e perché non basta semplicemente «accedere»)
Standard come i "3rd Critical Controls for ICS" del SANS, il NIST CSF e la norma ISA/IEC 62443 prevedono regole chiare in materia di visibilità.
I controlli di visibilità sono fondamentali per identificare le risorse, individuare le vulnerabilità e monitorare le minacce in tempo reale, senza interferire con i processi industriali critici e sensibili.
All'interno di un'organizzazione esistono diversi team per i quali l'accesso ai dati OT in tempo reale è imprescindibile.
Analisti SOC (Security Operations Center)
Gli analisti SOC hanno il compito di monitorare, individuare, indagare e rispondere agli allarmi di sicurezza.
In poche parole, il loro compito è individuare le minacce prima che si trasformino in disastri. Per farlo, hanno bisogno di registri OT in tempo reale per rilevare intrusioni, malware o traffico anomalo.
Tuttavia, se un malintenzionato ottiene l'accesso diretto all'ambiente IT, può rapidamente spostarsi verso i sistemi OT, creando un grave rischio di violazione dell'OT.
Per questo motivo, i team SOC non possono affidarsi a semplici metodi di accesso per ottenere i dati OT in tempo reale ai fini del monitoraggio.
Se il sistema SOC venisse compromesso, un malintenzionato potrebbe sfruttare quella connessione come via d'accesso all'ambiente OT.
Squadre di OT Security
I team di sicurezza OT proteggono i sistemi di controllo industriale e le tecnologie OT, quali SCADA, PLC e robot di produzione, che gestiscono le infrastrutture fisiche.
Questi team hanno bisogno dei registri di sicurezza per l'analisi forense e il rilevamento delle anomalie.
Anche consentire ai sistemi di gestione nell'ambiente IT, dotati di strumenti di sicurezza specifici per ICS e OT, di accedere all'ambiente OT non è una buona idea.
Analogamente a quanto accade con i SOC, se tali sistemi IT venissero compromessi, potrebbero fornire agli hacker un accesso diretto alle operazioni OT.
Squadre di risposta agli incidenti e di analisi forense
Se viene rilevata un'anomalia o una violazione, vengono allertati i team di risposta agli incidenti e di analisi forense per indagare e risolvere il problema.
Hanno bisogno dei registri per identificare, contenere ed eliminare gli attacchi ai sistemi OT, aprendo così la strada alla prevenzione e alla riduzione del rischio di incidenti ricorrenti.
Tuttavia, questi team vengono solitamente coinvolti solo dopo che è stata già confermata una violazione, quando i rischi sono ancora più elevati.
Se gli strumenti di risposta o le credenziali venissero compromessi, un percorso di accesso all'OT fornirebbe agli aggressori esattamente ciò di cui hanno bisogno.
Pertanto, i team di risposta agli incidenti e di analisi forense non dovrebbero avere accesso diretto all'ambiente OT tramite credenziali di accesso.
Team di conformità e audit
Se non ci sono registri, gli standard di conformità non vengono rispettati.
I team addetti alla conformità e alla revisione contabile necessitano di un'archiviazione a lungo termine dei registri e di un monitoraggio affidabile degli eventi per soddisfare i requisiti normativi e di rendicontazione.
Tuttavia, concedere ai revisori l'accesso diretto all'ambiente OT non è né necessario né consigliabile.
È decisamente più sicuro e meglio controllabile fornire loro i registri e i rapporti richiesti dall'esterno, piuttosto che aprire un canale di accesso diretto ai sistemi OT.
Perché un diodo dati? Perché l'accesso in entrata è un incubo
A questo punto, è chiaro che consentire ai sistemi aziendali di interrogare direttamente i registri OT comporta elevati rischi per la sicurezza.
A un hacker basta una connessione non protetta per:
- Passare dall'IT all'OT.
- Estrarre dati sensibili relativi agli ambienti OT e ICS, comprese le informazioni sui sistemi di controllo quali marca e modelli dei PLC, valori di processo e altro ancora.
- Manipolano i registri per coprire le loro tracce.
MetaDefender Netwall elimina questi rischi imponendo a livello hardware un flusso di dati unidirezionale.
I log vengono inviati, ma non arriva nulla in risposta.
I nostri team ottengono i dati di cui hanno bisogno, mentre l'infrastruttura OT rimane protetta e al sicuro.
Come funziona
L'istanza OT di Splunk raccoglie i log di sicurezza provenienti da tutto l'ambiente OT.
- La raccolta comprende i registri del firewall,IPS , i registri degli eventi di Windows e persino gli eventi dei PLC.
Anziché consentire agli utenti o ai sistemi aziendali di accedere all'OT, OPSWAT NetWall trasferisceNetWall i log dal collettore Splunk dell'OT verso l'esterno.
L'istanza Splunk aziendale riceve quindi una copia di tali eventi da Splunk a Splunk.
In questo modo, i team addetti alla sicurezza e alla conformità ottengono la visibilità di cui hanno bisogno, senza creare percorsi di accesso in entrata che potrebbero esporre l'ambiente OT a rischi.
Considerazioni finali: sicurezza senza compromessi
Se i team di sicurezza della tua azienda ti chiedono i registri OT, non chiudere la porta con un «no» categorico.
Puoi concedere loro l'accesso di cui hanno bisogno, ma non in un modo che metta a rischio l'intero ambiente.
Il diodo di datiNetwall OPSWAT offre loro la visibilità di cui hanno bisogno, garantendo al contempola sicurezzadell'OT.
In assenza di accessi in entrata, non sussiste alcun rischio di compromissione.
OPSWAT NetWall i dati giusti arrivino alle persone giuste, nel modo giusto.
Non devi scegliere tra visibilità e sicurezza.
Con un diodo dati, puoi avere entrambe le cose.
Contattaci per scoprire come OPSWAT NetWall la produttività dei tuoi team di sicurezza e la protezione del tuo ambiente OT.
