Zero Trust per la tecnologia operativa: cosa richiede la nuova guida della CISA alla vostra architettura di sicurezza

Il modello Zero Trust per l'OT (tecnologia operativa) è un'architettura di sicurezza che elimina la fiducia implicita nelle reti industriali, richiedendo che ogni utente, dispositivo e trasferimento di dati venga continuamente verificato in base all'identità, al contesto e al rischio prima che venga concesso l'accesso a qualsiasi sistema operativo o processo fisico. A differenza dell'IT, il modello Zero Trust per l'OT deve funzionare senza interferire con le operazioni continue, i sistemi di sicurezza o le apparecchiature legacy che non sono in grado di eseguire i moderni agenti di sicurezza.

Cinque agenzie governative statunitensi: la CISA (Cybersecurity and Infrastructure Security Agency), il Dipartimento della Difesa, il Dipartimento dell’Energia, l’FBI e il Dipartimento di Stato, hanno pubblicato la dichiarazione più autorevole finora in materia di sicurezza informatica industriale: «Adattare i principi dello Zero Trust alla tecnologia operativa». Il messaggio è inequivocabile. Lo Zero Trust non è più un framework riservato agli ambienti IT. Ora è l'approccio di sicurezza previsto per ogni organizzazione che gestisce sistemi OT, dalle reti energetiche agli impianti di trattamento delle acque fino alle strutture governative.

Se sei un responsabile della sicurezza OT e stai leggendo questo articolo, la domanda non è se lo Zero Trust sia la direzione giusta da seguire. La domanda è: come colmare il divario tra i requisiti di conformità e audit imposti dal governo e una struttura che utilizza apparecchiature vecchie di decenni, un team oberato di lavoro e un consiglio di amministrazione che ti chiede cosa stai facendo al riguardo? Questo articolo risponde proprio a questo: cosa richiede effettivamente la guida della CISA per ciascun pilastro e in che modo la piattaforma OPSWAT si allinea a ciascuno di essi.

La guida individua tre pilastri fondamentali che ogni programma OT Zero Trust deve affrontare: visibilità completa delle risorse, un solido sistema di gestione delle identità e degli accessi (IAM) e una gestione proattiva dei rischi della catena di approvvigionamento. Inoltre, individua gli attori che rendono la questione urgente: gruppi statali come Volt Typhoon, che la CISA ha osservato mentre si insediavano all’interno delle reti OT per mantenere la persistenza e attendere l’attivazione.

Nel settore IT, l'approccio Zero Trust viene implementato tramite software: provider di identità, agenti endpoint e politiche di accesso aggiornabili in poche ore. Gli ambienti OT operano in condizioni che rendono impraticabili gli approcci IT diretti: PLC (controllori logici programmabili) legacy con cicli di vita di 20 anni che non possono eseguire moderni agenti di autenticazione, requisiti di uptime rigorosi in cui un pacchetto di discovery può causare un arresto non pianificato e un legame diretto tra sicurezza informatica e sicurezza fisica che l'IT semplicemente non possiede.

La guida della CISA è molto chiara riguardo a questi limiti. L'implementazione del modello Zero Trust in infrastrutture industriali ormai obsolete richiede anni e investimenti ingenti. Si tratta di una difficoltà concreta.

Ciò che la guida mette in evidenza è che il panorama delle minacce non aspetta che tali piani giungano a compimento. Poiché i sistemi OT sono sempre più interconnessi con le reti IT e monitorati da remoto, il tradizionale presupposto dell’air gap non è più valido. Gli aggressori si sono già adattati. Le misure di controllo che le organizzazioni adottano oggi — anche quelle incrementali — determinano l’entità della superficie di attacco esposta mentre è in corso la trasformazione a lungo termine. La domanda non è se iniziare, ma da dove.

La guida della CISA individua tre priorità per l'approccio Zero Trust nell'OT: visibilità completa delle risorse, gestione solida delle identità e degli accessi e gestione proattiva dei rischi della catena di approvvigionamento. Inoltre, individua gli autori delle minacce specifici — Volt Typhoon e gruppi affiliati a Stati — che stanno già sfruttando le lacune che questi controlli sono destinati a colmare.

La piattaforma OPSWAT è stata progettata proprio per questo. Individuazione passiva delle risorse OT senza toccare un solo dispositivo. Isolamento Hardware che rende fisicamente impossibili intere categorie di attacchi remoti. Tecnologia Deep CDR™ applicata a ogni punto di trasferimento dei file: rete, USB, trasferimento dati. Controllo delle identità e degli accessi a livello di sessione prima che qualsiasi connessione raggiunga un sistema di controllo.

Negli ambienti OT, la visibilità delle risorse implica la gestione di un inventario completo e costantemente aggiornato di tutti i dispositivi presenti sulla rete industriale — compresi PLC legacy, RTU (unità terminali remote) e HMI (interfacce uomo-macchina) — insieme alle versioni del firmware e ai protocolli, utilizzando metodi di monitoraggio passivo che non generano traffico in grado di compromettere il funzionamento dei sistemi di controllo sensibili.

È proprio qui che la maggior parte dei programmi di sicurezza OT presenta la lacuna più grave e irrisolta; e le ragioni sono di natura architettonica, non organizzativa. Industrial sono costruite attorno a una popolazione di dispositivi fondamentalmente diversa rispetto agli ambienti IT. Una tipica rete OT contiene PLC, RTU, controllori DCS, sensori, relè, HMI, workstation di ingegneria e un numero crescente di dispositivi IIoT, ciascuno dei quali comunica secondo il protocollo specifico per cui è stato progettato: Modbus, EtherNet/IP, DNP3, PROFINET, OPC-UA e decine di varianti proprietarie. Gli strumenti standard di rilevamento IT non sono in grado di analizzare questi protocolli. Non comprendono la semantica di un codice di funzione Modbus, non possono interpretare un oggetto dati DNP3 e non dispongono di un modello per distinguere il comportamento normale da quello anomalo in uno scambio di messaggi impliciti EtherNet/IP. Quando questi strumenti incontrano dispositivi OT, restituiscono dati incompleti o generano traffico inatteso che il dispositivo ricevente non è stato progettato per gestire.

Questo secondo scenario non è affatto ipotetico. La scansione attiva negli ambienti OT ha causato interruzioni impreviste dei processi e il blocco dei dispositivi negli impianti di produzione. Ecco perché la guida della CISA raccomanda il monitoraggio passivo come metodo appropriato per l'individuazione delle risorse OT, e perché tale raccomandazione non è negoziabile in ambienti con requisiti rigorosi in termini di operatività. La raccolta passiva, implementata tramite TAP di rete o porte SPAN, ascolta il traffico senza iniettare query che potrebbero interrompere i sistemi di controllo sensibili. Osserva cosa sta comunicando, come sta comunicando e come si presenta la situazione normale, senza toccare un singolo dispositivo sulla rete monitorata.

Il problema di copertura che questo approccio deve risolvere è aggravato dalla natura dei modelli di comunicazione OT. Molti dispositivi comunicano solo durante specifici eventi operativi: un PLC può trasmettere solo durante un ciclo di produzione, un relè può inviare segnali solo in caso di guasto, un sensore di campo può generare picchi di traffico intermittenti separati da lunghi intervalli di silenzio. Una finestra di monitoraggio che non tenga conto dell'intera gamma di modalità operative produrrà un inventario incompleto — e le risorse mancanti da tale inventario sono esattamente quelle che non possono essere protette, segmentate o monitorate. Secondo i dati SANS 2025 sullo stato della sicurezza informatica ICS/OT, la visibilità delle risorse rimane la principale priorità di investimento in materia di sicurezza per le organizzazioni industriali, eppure meno di 1 su 8 dichiara di avere una visibilità completa del proprio ambiente, dall'accesso iniziale alla rete fino al potenziale impatto sui processi fisici. Il divario non è un problema di finanziamento. È un problema di metodologia.

Volt Typhoon sfrutta proprio questa lacuna. L'approccio documentato del gruppo consiste nel mimetizzarsi nelle normali operazioni di rete — utilizzando protocolli legittimi, percorsi autorizzati e strumenti amministrativi standard — per ottenere un accesso persistente all'interno degli ambienti OT. Senza una visibilità completa su ciò che si trova in rete e su quale sia il comportamento normale, tali tecniche risultano di fatto invisibili.

MetaDefender Security™, la piattaforma di sicurezza OT OPSWAT, affronta questo problema grazie al rilevamento passivo delle risorse e all'analisi approfondita dei protocolli OT. Ascoltando il traffico di rete anziché generarlo, la piattaforma crea un inventario completo delle risorse e una linea di riferimento comportamentale senza intervenire sui dispositivi monitorati, oltre a gestire le vulnerabilità e le patch e a generare report di conformità, il tutto in un'unica interfaccia nativa per l'OT. Le sessioni anomale, le comunicazioni impreviste tra dispositivi e le interazioni di protocollo non autorizzate diventano così rilevabili, prima che possano causare un impatto operativo.

La sfida più ardua nell'ambito della gestione delle identità e degli accessi (IAM) nel settore OT è rappresentata dal fatto che gli aggressori ricorrono sempre più spesso a percorsi di accesso legittimi — credenziali valide, sessioni remote autorizzate e strumenti di ingegneria standard — piuttosto che a vulnerabilità software. Gli attori affiliati all'Iran descritti in un recente avviso congiunto dell'FBI e della CISA si sono collegati a PLC esposti a Internet utilizzando porte di comunicazione industriali standard e hanno interagito con i sistemi di controllo come se fossero operatori autorizzati.

La soluzione di accesso remoto più diffusa negli ambienti OT – la VPN – introduce una categoria di rischio di natura strutturale, non configurativa. Le VPN stabiliscono una connettività diretta a livello di rete che rompe l'isolamento gerarchico del Modello Purdue, consentendo a fornitori terzi di accedere ai segmenti della rete di controllo senza alcun controllo granulare delle sessioni né alcun meccanismo per l'applicazione del principio del privilegio minimo. Qualsiasi dispositivo compromesso o sicuro sul lato del fornitore di quel tunnel eredita un percorso di rete diretto verso i sistemi di produzione. Per gli endpoint OT legacy senza capacità di autenticazione nativa, l'esposizione si aggrava ulteriormente. Questi dispositivi non possono registrare gli eventi di accesso, non possono applicare le politiche di sessione e non possono terminare le connessioni non autorizzate. Qualunque misura di applicazione esista deve trovarsi interamente a monte del dispositivo, altrimenti non esiste affatto. MetaDefender Industrial , il firewall industriale OPSWAT per le reti OT, affronta direttamente il problema della segmentazione, applicando una segmentazione basata su zone e controllando i movimenti laterali anche quando una sessione del fornitore è già all'interno della rete.

La guida della CISA illustra in modo concreto le conseguenze di non affrontare questo problema. Gli autori di minacce affiliati allo Stato sono riusciti a raggiungere e a manipolare i PLC collegati a Internet utilizzando porte di comunicazione industriali standard, non tramite vulnerabilità del software, ma semplicemente effettuando la connessione come farebbe un operatore autorizzato. Le credenziali apparivano corrette. I protocolli sembravano quelli previsti. Nulla ha segnalato la sessione come sospetta, poiché non era stato predisposto alcun meccanismo per verificarne la legittimità a livello di accesso.

MetaDefender OT Access Zero Trust a livello di sessione, prima che qualsiasi connessione raggiunga una risorsa OT. Ogni sessione remota, che si tratti di un tecnico interno, di una finestra di manutenzione programmata da un OEM o di un appaltatore esterno che si connette per la prima volta, viene autenticata individualmente, limitata all'accesso minimo necessario, soggetta a un limite di tempo e completamente registrata. Le sessioni vengono registrate, monitorate continuamente e possono essere interrotte in tempo reale se il comportamento non rientra nei parametri previsti. Nessun accesso di rete permanente, tunnel persistente o percorso verso risorse al di fuori di quanto esplicitamente richiesto da quella specifica sessione. E per i dispositivi legacy che non possono partecipare all'autenticazione moderna, MetaDefender OT Access l'applicazione a livello di gestione delle connessioni, in modo che il controllo esista indipendentemente dalle capacità del dispositivo stesso.

Nel settore OT, il rischio legato alla catena di approvvigionamento comprende sia gli eventi di trasferimento digitale che quelli fisici: aggiornamenti software distribuiti tramite rete, computer portatili dei fornitori portati in loco, firmware caricato da USB e file di progettazione trasferiti dal reparto IT a reti di controllo isolate fisicamente. Ciascuno di questi casi rappresenta un potenziale punto di ingresso di contenuti dannosi nei sistemi che, una volta compromessi, possono influire direttamente sui processi fisici.

Prima che qualsiasi componente software raggiunga il confine dell'OT, la sua integrità dovrebbe essere già stata verificata. MetaDefender Software Chain™ affronta questo aspetto dal lato IT della catena di trasferimento: convalida gli strumenti di progettazione, i pacchetti firmware e gli aggiornamenti software industriali forniti dai fornitori confrontandoli con i dati SBOM, conferma che i componenti non siano stati manomessi durante il trasporto e individua eventuali componenti sconosciuti prima che questi ricevano l'autorizzazione al trasferimento. Quando un file raggiunge il punto Kiosk o il flusso di lavoro MFT , ha già superato il controllo di integrità a livello IT. Pertanto, i controlli di confine rafforzano una decisione già presa, non compensano una decisione che non è mai stata presa

Si tratta della superficie di attacco che i controlli basati sulla rete non riescono a coprire completamente, ma l'applicazione delle politiche a livello di rete continua a svolgere un ruolo fondamentale una volta che un fornitore è entrato nel sistema.Firewall Industrial MetaDefender Firewall fondamentale per ispezionare il payload effettivo del protocollo industriale di ogni sessione del fornitore. Anche quando una connessione di terze parti è autorizzata, il firewall verifica che i comandi rimangano entro i codici funzione e gli intervalli di valori previsti per quella sessione, bloccando in tempo reale i comandi dannosi provenienti da uno strumento del fornitore compromesso o da un aggiornamento manomesso. Inoltre, impone percorsi di comunicazione rigorosi: un dispositivo connesso al fornitore può raggiungere solo i sistemi specifici per cui è stato autorizzato, contenendo qualsiasi compromissione della catena di fornitura prima che possa spostarsi lateralmente attraverso le zone OT. E per i CVE noti nei componenti OT per i quali la patch del fornitore non è ancora stata distribuita — cosa che in OT spesso richiede mesi — Industrial Firewall patch virtuali a livello di rete, bloccando lo sfruttamento senza toccare il dispositivo.

MetaDefender , la soluzione di sicurezza per supporti rimovibili OPSWAT, intercetta ed esamina ogni singolo supporto rimovibile prima che entri in una zona sicura. Ogni file viene sottoposto a scansione tramite Metascan™ Multiscanning oltre 30 motori anti-malware, valutato da Predictive Alin AI per il rilevamento zero-day pre-esecuzione ed elaborato tramite la tecnologia Deep CDR™, che ricostruisce il file in uno stato di sicurezza nota, rimuovendo le minacce incorporate e preservando al contempo i contenuti legittimi di cui un tecnico ha bisogno per svolgere il proprio lavoro. MetaDefender Media Firewall, la soluzione OPSWAT per l'applicazione della scansione dei supporti rimovibili, estende questa applicazione alle USB a livello di endpoint, applicando una convalida basata su hardware cheKiosk solo ai supporti rimovibili già scansionati e approvati da MetaDefender Kiosk connettersi a una workstation protetta, indipendentemente dalla sua ubicazione all'interno della struttura. MetaDefender , la soluzione avanzata di protezione degli endpoint OPSWAT, viene implementata su endpoint critici per verificare se i file provenienti da dispositivi di supporto rimovibili siano stati prima scansionati ed elaborati da MetaDefender Kiosk. Ciò garantisce che solo i file convalidati possano essere aperti, copiati o consultati dall'endpoint e che i file non autorizzati o non scansionati non possano raggiungere gli ambienti critici.

Per i trasferimenti che attraversano le zone di rete — dall'IT all'OT, o dai sistemi connessi al cloud agli ambienti di controllo isolati — MetaDefender Diode™, la soluzione di data diode OPSWAT, garantisce un flusso di dati unidirezionale assicurato a livello hardware. Ciò include dati operativi quali valori storici, telemetria dei sensori e dati di processo che fluiscono dalla rete OT verso i sistemi IT, le piattaforme di analisi o l'infrastruttura cloud a fini di monitoraggio e reporting. Nessun comando in entrata, richiesta di connessione, aggiornamento software o payload può attraversare il confine nella direzione opposta. La garanzia di sicurezza non dipende dalla corretta configurazione, dall'aggiornamento regolare del software o dall'integrità delle credenziali di accesso, poiché nessuno di questi fattori a livello di software ha la possibilità di sovrascrivere il vincolo hardware. Per le organizzazioni che gestiscono sistemi di controllo legacy che non possono essere aggiornati, non possono eseguire agenti endpoint e non possono tollerare tempi di inattività dovuti alla sicurezza, questa è l'architettura su cui la guida CISA e la più ampia comunità di sicurezza industriale hanno convergito come risposta tecnica appropriata.

MetaDefender File Transfer™ (MFT) risponde alle esigenze di trasferimento strutturato delle organizzazioni che devono scambiare file operativi tra diverse zone, garantendo un'ispezione completa, la registrazione degli audit e il controllo del flusso di lavoro. Il sistema impone la verifica dei contenuti ad ogni operazione di trasferimento, assicurando che il percorso di trasferimento dei file non diventi esso stesso un punto di ingresso non monitorato.

Non tutti i confini possono essere protetti tramite criteri di sicurezza. Alcuni richiedono misure fisiche. Le soluzioni Cross-Domain Solutions (CDS) impongono confini a livello hardware tra le reti OT e IT, dove nessuna configurazione errata del software, nessuna credenziale rubata né alcuna vulnerabilità zero-day può aprire una via d'accesso in entrata. MetaDefender Optical Diode MetaDefender Security Gateway™ sono entrambi certificati Common Criteria EAL4+ e [supportano la conformità a NERC CIP, IEC 62443, NRC 5.71, NIST 800-82 e ISO 27001](opswat) — l’insieme completo di standard che regolano le infrastrutture critiche nei settori dell’energia, del nucleare, chimico e della difesa.

La guida CISA è in linea con le funzioni del NIST CSF (Cybersecurity Framework) 2.0: governare, identificare, proteggere, rilevare, reagire, ripristinare. La tabella sottostante mette in relazione ciascun requisito con la relativa OPSWAT :

Il modello Zero Trust nell'OT non è un prodotto che si acquista. La guida della CISA è chiara su questo punto: gli strumenti e le tecnologie sono necessari, ma da soli non bastano. Ciò di cui le organizzazioni hanno bisogno è una piattaforma progettata per ambienti in cui disponibilità, sicurezza e conformità sono imprescindibili. La piattaforma MetaDefender™ OPSWAT offre tale architettura in tutto l'ambito del mandato della CISA: dalla casella di posta in cui ha inizio l'accesso iniziale, fino al confine protetto dall'hardware dove terminano i comandi ai sistemi critici.

Come mostra la tabella qui sopra, OPSWAT tutte le categorie di controllo in linea con i requisiti CISA nell’ambito delle sei funzioni del NIST CSF 2.0 in un’unica piattaforma: un’ampiezza di copertura che nessun altro fornitore specializzato esclusivamente in OT è in grado di eguagliare. Siete pronti a valutare lo stato del vostro ambiente OT rispetto al framework Zero Trust della CISA?

Chatta con un esperto →