I supporti rimovibili rimangono uno dei vettori di attacco più comuni negli ambienti OT (tecnologia operativa) e ICS (sistema di controllo industriale). Una recente pubblicazione speciale del NIST (National Institute of Standards and Technology), NIST SP 1334, fornisce raccomandazioni pratiche per le organizzazioni che gestiscono sistemi OT e ICS. Il documento, intitolato "Reducing the Cybersecurity Risks of Portable Storage Media in OT Environments" (Ridurre i rischi di sicurezza informatica dei Media memorizzazione portatili in ambienti OT), contiene linee guida per ridurre i rischi di sicurezza informatica legati all'uso di dispositivi multimediali periferici e rimovibili.
Secondo un rapporto di SANS sulla sicurezza informatica ICS/OT del 2025, il 27% degli attacchi è stato avviato da supporti rimovibili e dispositivi transitori compromessi. Negli ambienti protetti dall'aria, i supporti portatili sono spesso utilizzati per trasferire dati come aggiornamenti del firmware, file di configurazione e registri. Questo aumenta il rischio di malware, exploit zero-day e manomissioni della catena di fornitura che aggirano le difese esistenti. Il NIST SP 1334 mira ad aiutare gli operatori e i produttori OT a gestire i rischi associati ai supporti di archiviazione portatili, tra cui USB, schede SD e dischi rigidi portatili, negli ambienti OT/ICS.
Perché è importante per gli ambienti OT
A differenza degli ambienti IT, gli ambienti OT/ICS devono spesso affrontare sfide e vincoli in materia di cybersecurity a causa dei comuni requisiti di isolamento e segregazione della rete. Allineare le pratiche di cybersecurity alle linee guida NIST SP 1334 aiuta le organizzazioni a ridurre la superficie di attacco, a supportare le misure di protezione defense-in-depth e a governare meglio l'utilizzo e il trasferimento di file tramite i supporti portatili.
Le sfide più comuni per gli ambienti OT/ICS includono:
- Utilizzo di sistemi obsoleti: Molti dispositivi e sistemi OT si affidano ancora a sistemi legacy che non dispongono di moderne misure di cybersecurity e non possono più essere aggiornati. La sostituzione di questi sistemi può essere costosa e fuori portata.
- Requisiti di alta disponibilità: I tempi di inattività e le interruzioni del servizio possono causare danni fisici, rischi per la sicurezza o enormi perdite operative.
- Gestione di ambienti isolati dall'aria: Le reti OT sono spesso segregate, isolate o chiuse in aria, il che introduce limitazioni alle difese basate sulla rete.
- Uso inevitabile di Media rimovibili: l'uso di supporti rimovibili è spesso inevitabile per gli aggiornamenti del software, la diagnostica e il trasferimento dei dati.
Principali risultati del NIST SP 1334
Il NIST SP 1334 enfatizza la stratificazione dei controlli in quattro ambiti chiave: procedurale, fisico, tecnico e di trasporto.
Controlli procedurali
Le organizzazioni devono sviluppare politiche chiare per disciplinare l'uso dei supporti. Queste includono l'acquisto di supporti di proprietà dell'organizzazione con crittografia hardware (certificata FIPS), il divieto di dispositivi non autorizzati e la definizione di procedure rigorose per il provisioning, la sanificazione e lo smaltimento dei supporti. È inoltre essenziale registrare i dettagli di utilizzo, come l'identità dell'utente, il numero di serie del dispositivo e i timestamp, e formare il personale sulle politiche.
Controlli fisici
I controlli fisici previsti dalle linee guida NIST SP 1334 includono l'archiviazione dei supporti portatili in un luogo fisicamente sicuro e ad accesso controllato e l'inventario e l'etichettatura dei supporti approvati con i dettagli di utilizzo come parte fondamentale del programma di gestione delle risorse per ridurre al minimo i rischi.
Controlli tecnici
Si consiglia alle organizzazioni di stabilire controlli tecnici per la protezione dei supporti. Questi controlli includono la disattivazione di porte non necessarie, l'uso di allowlisting per limitare l'esecuzione di dispositivi e file, la scansione dei supporti prima e dopo l'uso, la riformattazione dei dispositivi prima del riutilizzo, l'abilitazione della protezione da scrittura per i file di sola lettura, la disattivazione dell'esecuzione automatica, l'uso di dispositivi crittografati e la configurazione di avvisi per le attività dei supporti rimovibili.
Controlli di trasporto e sanificazione
Sono necessari ulteriori controlli fisici e logici per ridurre il rischio di trasporto dei supporti. Questi controlli includono l'uso di crittografia o di contenitori chiusi a chiave per il trasporto interno sicuro, l'esecuzione di verifiche di hash o checksum quando si trasferiscono file tra parti e l'esecuzione di un'accurata sanificazione (come specificato nel NIST SP 800-88, Revisione 2) prima di smaltire i supporti.
Come OPSWAT aiuta a prevenire gli attacchi alle periferiche e ai Media rimovibili
OPSWAT offre una gamma di soluzioni progettate per proteggere gli ambienti OT critici dalle minacce provenienti da periferiche e supporti rimovibili. Queste soluzioni aiutano le organizzazioni a raggiungere la conformità alle linee guida normative, tra cui NIST, ISA/IEC 62443, NEI 18-08, NERC CIP, ISO27001, ANSSI, NIS2 e GDPR.
Mitigazione delle minacce ai Media rimovibili al punto di accesso
Progettato per proteggere gli ambienti più difficili, MetaDefender Kiosk™ esegue la scansione e la sanificazione dei supporti rimovibili nel punto di ingresso degli ambienti protetti dall'aria, proteggendo i flussi di dati nei sistemi OT. MetaDefender Kiosk aiuta inoltre le organizzazioni a migliorare la resilienza operativa, riducendo il rischio di fermi macchina non pianificati, interruzioni di produzione e incidenti di sicurezza. È stato riconosciuto come parte della DeltaV Silver Alliance di Emerson, dimostrando la sua efficacia in diversi ambienti e casi d'uso.
Protezione Endpoint e controllo dei dispositivi prima dell'esecuzione
MetaDefender Endpoint™ rafforza la sicurezza degli endpoint e fornisce una protezione avanzata agli ambienti operativi. Scansiona e rileva attivamente i supporti rimovibili e periferici al momento dell'inserimento, prima che siano resi accessibili ai sistemi critici. Questa funzionalità aiuta le organizzazioni ad allinearsi ai requisiti di cybersecurity per i supporti di archiviazione portatili delineati nel NIST SP 1334. Inoltre, consente agli utenti di cancellare i dati dei supporti rimovibili in modo sicuro, contribuendo a soddisfare i requisiti di sanificazione dei supporti previsti dagli standard.
Monitoraggio della protezione da un unico vetro
Se integrati con My OPSWAT™ Central Management, MetaDefender Endpoint e MetaDefender Kiosk supportano l'applicazione centralizzata dei criteri per controllare l'accesso ai dispositivi, il monitoraggio e la gestione dell'utilizzo dei supporti portatili e la registrazione delle attività.
La convalida Media come ulteriore livello di difesa
OPSWAT offre anche una serie di soluzioni per migliorare la vostra strategia di difesa in profondità. MetaDefender Endpoint Validation, OPSWAT Media Validation Agent e MetaDefender Media Firewall™ forniscono un ulteriore livello di sicurezza applicando criteri di scansione e sanificazione.
MetaDefender Endpoint Validation e OPSWAT Media Validation Agent sono strumenti leggeri installati sugli endpoint che funzionano sia in ambienti air-gapped che connessi. Servono come punto di controllo per garantire che solo i file scansionati da MetaDefender Kiosk possano essere aperti, copiati, selezionati e accessibili dall'endpoint.
MetaDefender Media Firewall è una soluzione hardware plug-and-play per proteggere i sistemi host critici dalle minacce portate dai supporti rimovibili. Funziona con MetaDefender Kiosk come livello fisico di facile utilizzo per proteggere gli ambienti OT e garantire che nessun supporto rimovibile non scansionato possa superare i punti di ingresso. Questa soluzione aiuta inoltre le aziende ad applicare politiche di scansione in linea con gli standard di conformità normativa.
Tecnologie Core leader del settore
MetaDefender Kiosk e MetaDefender Endpoint si avvalgono di tecnologie affidabili e leader del settore a livello globale, tra cui:
- Metascan™ Multiscanning: Raggiunge tassi di rilevamento del malware fino al 99,2% con più di 30 motori anti-malware
- Deep CDR™: Sanitizza ricorsivamente i file per rimuovere le potenziali minacce senza comprometterne la funzionalità per prevenire le minacce sconosciute, compresi gli exploit zero-day, con oltre 200 tipi di file supportati
- File-Based Vulnerability Assessment: Rileva le vulnerabilità note con oltre 3.000.000 di punti dati raccolti da dispositivi attivi e oltre 30.000 CVE associati con informazioni sulla gravità.
- DLP™ proattivo: Utilizza modelli basati sull'intelligenza artificiale per individuare e cancellare automaticamente informazioni sensibili come PII, PHI, PCI in oltre 110 tipi di file.
- Paese di origine: Rileva l'origine geografica dei file per identificare le sedi e i fornitori con restrizioni, supportando la conformità alle normative.
Proteggere le infrastrutture critiche dagli attacchi ai Media rimovibili
Scoprite perché le organizzazioni che si occupano di infrastrutture critiche si affidano alle soluzioni di OPSWATper proteggere i loro ambienti OT/ICS dalle minacce provenienti da periferiche e supporti rimovibili. Programmate una demo oggi stesso parlando con uno dei nostri esperti.
