La sicurezza informatica non è mai stata una sfida facile da affrontare, ma nei settori delle infrastrutture critiche chi si occupa della difesa opera in una categoria a sé stante.
Si parte dagli avversari, che non sono criminali opportunisti alla ricerca di un guadagno facile.
Stiamo parlando di gruppi sostenuti dallo Stato che operano con risorse governative, oppure di reti organizzate di criminalità informatica i cui obiettivi spaziano dal ransomware allo spionaggio a lungo termine.
Dire che la posta in gioco è alta sarebbe un eufemismo; il Rapporto 2024 dell’FBI sui crimini informatici ha registrato oltre 4.800 denunce da parte di organizzazioni che gestiscono infrastrutture critiche. Potrebbe non sembrare un numero elevato, finché non lo si considera nel contesto di un anno; statisticamente parlando, tale cifra può significare 13 attacchi al giorno, uno ogni due ore. Per le organizzazioni di difesa in particolare, un attacco riuscito può minare direttamente la sovranità nazionale.
Non sorprende che un contesto di minacce così grave sia regolato da quadri normativi rigorosi e inderogabili, come quelli dell’NCSC (National Cyber Security Centre) nel Regno Unito.
Allo stesso tempo, le soluzioni di sicurezza conformi all’NCSC devono essere replicabili su tutto il sistema. Le organizzazioni di difesa sono strutturate su più livelli, pertanto la loro protezione deve essere modulare e applicabile all’intera organizzazione, non solo alle unità che per prime hanno individuato l’esigenza.
È stato proprio in questo contesto che una delle principali forze navali della NATO ha avviato una collaborazione con OPSWAT un mandato ben preciso: realizzare una soluzione CDS (Cross Domain Solution) certificata e conforme agli standard NCSC, in grado di estendersi oltre i confini di una singola divisione e di fungere da base per un’ampia diffusione.
Progettazione di un'architettura CDS scalabile per diversi tipi di file e rami, in assenza di flessibilità normativa
Il nostro cliente si è trovato di fronte a una sfida che inizialmente sembrava impossibile da risolvere.
Realizzazione di una soluzione CDS per i flussi di dati IMPEX (Import/Export) tra diversi livelli di classificazione, conforme ai rigorosi requisiti di separazione della rete stabiliti dall’NCSC. La soluzione doveva essere scalabile e replicabile in diversi rami delle forze armate, supportare un’ampia gamma di tipi di file e garantire il massimo livello possibile di resilienza contro le minacce informatiche.
Esaminiamo uno per uno ciascuno di questi livelli.
Non esisteva alcun gateway inter-dominio IMPEX approvato
Le reti classificate all’interno delle istituzioni governative e della difesa necessitano di regole formalmente approvate per i flussi di dati IMPEX, applicate tramite un IMPEX Cross Domain Gateway. Inizialmente tale soluzione non era presente nei sistemi del nostro cliente.
In pratica, ciò significa che non esisteva alcun processo digitale approvato per le operazioni IMPEX. In assenza di tale processo, il cliente non era in grado di trasferire i dati oltre i confini di classificazione in modo tracciabile e pronto per la revisione.
Funzionalità di ispezione necessarie per supportare diversi tipi di file
Diversi tipi di dati transitavano attraverso reti soggette a diversi livelli di classificazione: file degli utenti, patch di sicurezza, aggiornamenti del firmware hardware, applicazioni in container e software militare personalizzato dovevano tutti attraversare lo stesso confine. I dati dovevano essere sottoposti a un’ispezione approfondita, per garantire che nessun elemento dannoso potesse penetrare in ambienti altamente riservati.
Tuttavia, più i dati sono voluminosi e complessi, più è difficile verificarne la correttezza. Alcuni tipi di file non potevano essere trattati come normali documenti. Patch, programmi di installazione, firmware, script e software militare personalizzato richiedevano un’ispezione comportamentale, poiché la sola scansione statica non era in grado di dimostrare come si sarebbero comportati una volta introdotti in un ambiente classificato. Allo stesso tempo, qualsiasi lacuna nella copertura avrebbe potuto compromettere il confine stesso.
Standard rigorosi che richiedono una separazione assoluta delle reti
Il framework NCSC prevede modelli rigorosi che regolano il modo in cui i dati devono passare da un livello di classificazione all’altro. Un elemento centrale in questo contesto è rappresentato dalle SEF (Security Enforcing Functions, funzioni di applicazione della sicurezza): controlli di sicurezza che coprono ogni aspetto, dal rilevamento del malware alla convalida del formato.
Operando nell'ambito dell'NCSC, il cliente ha dovuto stabilire regole rigide per la separazione delle reti (classificazione SECRET/OPEN). Gli ambienti classificati e quelli non classificati non devono mai comunicare tra loro, con il CDS Gateway che funge da barriera assoluta.
Il mancato superamento della scansione dei SEF potrebbe comportare l'ingresso di un file dannoso in una rete classificata oppure l'estrazione di informazioni sensibili.
Sviluppare una soluzione adatta a una diffusione più ampia
L'obiettivo non è mai stato semplicemente quello di risolvere un singolo problema.
Il dipartimento governativo comprende diversi rami, agenzie, sedi e comandi, e la soluzione Cross Domain implementata dal cliente doveva funzionare in tutti questi contesti.
Una soluzione che funzionasse solo in un determinato contesto avrebbe lasciato un'altra parte del dipartimento a fare i conti con una lacuna identica. Il cliente aveva bisogno di realizzare un sistema che potesse diventare uno standard coerente ed essere esteso a tutta l'organizzazione.
Quando non c'è margine di errore: un'architettura multidominio a più livelli certificata NCSC
La sfida posta dal cliente non poteva essere risolta con un unico prodotto.
OPSWAT invece OPSWAT un'architettura articolata su più livelli, supportata da una serie di prodotti e tecnologie, in cui ogni livello contribuisce al raggiungimento dell'obiettivo generale: garantire che nulla superi i limiti di classificazione senza essere controllato.
Separazione fisica della rete tramite il MetaDefender Optical DiodeDiode™
L'architettura si basava su diodi hardware, che garantiscono un flusso di dati unidirezionale a livello di rete. A differenza dei controlli basati su software, che possono essere configurati in modo errato o aggirati, un diodo hardware rende fisicamente impossibile il flusso inverso.
I vincoli fisici garantiscono la separazione assoluta tra la rete SECRET e quella OPEN richiesta dall’NCSC.
Optical Diode MetaDefender Optical Diode progettato per consentire un trasferimento dati unidirezionale sicuro e garantito a livello hardware tra le reti IT e OT, rendendo fisicamente impossibile il passaggio del traffico dai livelli di classificazione inferiori agli ambienti protetti.
Gestione dei file multilivello tramite la piattaforma MetaDefender Core™
Ogni file che attraversa il confine viene intercettato e ispezionato da MetaDefender Core, con un livello di ispezione calibrato in base all'ambiente di destinazione.
I file che entrano nella rete SECRET vengono sottoposti a un'analisi completa: scansione multipla con diversi motori per ampliare i tassi di rilevamento e tecnologia Deep CDR™ per rimuovere eventuali minacce nascoste. Adaptive Sandbox un'analisi dinamica basata sull'emulazione ai file sospetti, costringendo il malware evasivo a rivelare comportamenti che potrebbero non emergere durante l'ispezione statica o il sandboxing tradizionale basato su macchine virtuali.
I file che vengono trasferiti in ambienti con un livello di classificazione inferiore vengono sottoposti a scansione esclusivamente tramite più motori anti-malware, garantendo una protezione costante in ogni flusso.
MetaDefender Core la piattaforma avanzata OPSWATper il rilevamento e la prevenzione delle minacce; combina la tecnologia Deep CDR™, Multiscanning Metascan™ e Adaptive Sandbox proteggere i flussi di lavoro relativi ai file nelle infrastrutture critiche.
Trasferimento automatizzato dei file con la tecnologia MetaDefender Managed File TransferTransfer™
Managed File Transfer MetaDefender automatizza l'importazione e l'esportazione di tutti i vari tipi di dati gestiti dal cliente, creando un flusso di dati regolamentato e tracciabile.
Nulla si muove manualmente, nulla si muove senza essere tracciato e nulla sfugge ai livelli di controllo.
MetaDefender Managed File Transfer controlli basati su criteri e misure integrate di prevenzione delle minacce per trasferire in modo sicuro i file sensibili tra organizzazioni, sistemi o zone di sicurezza.
Architettura certificata NCSC
L'architettura basata sui prodotti OPSWATè conforme ai modelli di sicurezza definiti dall'NCSC per i flussi di dati tra domini. È diventata la prima soluzione IMPEX certificata dal governo, il che significa che può essere adottata come standard uniforme in altri rami dell'organizzazione senza doverla riprogettare da zero.
Realizzarlo una volta sola, farlo bene, portarlo a gestire oltre 1 milione di file al giorno
In sostanza, il CDS rappresenta una sfida che consiste nell’assemblare gli elementi giusti in un sistema in grado di funzionare nel rispetto delle normative più rigorose, per ogni tipo di file e alla scala richiesta dalle operazioni di difesa nella realtà.
Il contesto è spietato: avversari sofisticati e altamente motivati, tolleranza zero per le lacune in materia di conformità e nessun margine di errore.
Per il nostro cliente, la gestione su larga scala dei CDS è ormai un problema risolto. Insieme, abbiamo realizzato un’architettura certificata e modulare, in grado di elaborare oltre un milione di file al giorno.
Se sembra semplice, è solo perché OPSWAT occupa da oltre vent’anni della sicurezza dei file, anche negli ambienti più impegnativi che le infrastrutture critiche possano offrire.
Che la vostra azienda si trovi ad affrontare una sfida simile che coinvolge più domini o un problema più generale relativo alla sicurezza dei file delle infrastrutture critiche, OPSWAT l’esperienza necessaria per aiutarvi; parliamone.
