La convergenza degli ambienti IT e OT è un connubio di “opposti” che richiede l’applicazione delle migliori pratiche di governance sia per massimizzare la sicurezza complessiva delle aziende che per raggiungere una migliore efficienza operativa e agilità del business
I piani di trasformazione digitale, tra cui le iniziative di Industria 4.0, hanno l’ambizione di creare un unico ecosistema digitale per connettere tutti i sistemi di monitoraggio e controllo delle operations, sfruttando i dati provenienti da ogni area aziendale per aumentare l’efficienza interna, migliorare l’esperienza dei clienti, prendere decisioni in tempo reale e ottimizzare la produzione e il delivery di prodotti e servizi in base alla domanda di mercato e altre variabili esterne. «In tanti casi, siamo già a un buon punto di condivisione di dati provenienti dagli impianti con applicazioni attive nei sistemi IT» – spiega Enzo Maria Tieghi, membro del Comitato Scientifico di CLUSIT. «In alcune aziende virtuose, macchinari e impianti sono già integrati con sistemi in cloud che trasmettono in modo bidirezionale informazioni e decisioni tra i due mondi secondo i dettami di Industria 4.0 e 5.0. Tuttavia la maggior parte delle aziende di produzione – soprattutto in Italia ma non solo – «deve ancora portare a termine la digitalizzazione degli impianti secondo i canoni di Industria 3.0, così come è ancora da completare l’integrazione della fabbrica con tutte le macchine connesse e governabili con strumenti informatici».
I ritardi, almeno in parte, sono imputabili a tempistiche fisiologiche, necessarie per il ricambio del parco macchine e impianti, arrivati nei siti di produzione in tempi ed epoche tecnologiche differenti. Spesso con a bordo soluzioni di automazione e controllo non omogenee, prodotte da vendor concorrenti. «In molte situazioni, far parlare sottosistemi differenti e riuscire a connettere in rete tutti i device dell’OT, condizioni essenziali per una vera comunicazione che porti i benefici della convergenza tra IT e OT, è una vera e propria sfida» – sottolinea Tieghi. «Molto più facile per chi parte da zero. Sfruttando da subito tutte le potenzialità offerte dai dispositivi di automazione in termini di connettività e di potenza di calcolo. Macchine e impianti con a bordo mini data center pronti a essere connessi tramite Edge direttamente al cloud».
Per dare vita a un reale ecosistema digitale integrato, è necessario prevedere una connessione spinta di sistemi, dispositivi e macchinari OT alla rete, per lo scambio di dati e informazioni in tempo reale. «Necessità questa – rileva Diego Pandolfi, Research & Consulting manager di IDC Italia – che se non correttamente gestita, può mettere a rischio di attacchi l’area OT ed esporre l’azienda a interruzioni operative e incidenti. Con conseguenze anche sulla sicurezza fisica dei lavoratori».
In base alle ultime ricerche di IDC, le principali sfide evidenziate dalle aziende nel percorso di progressiva convergenza dei mondi IT e OT si riferiscono alla difficoltà di garantire la sicurezza e l’affidabilità dei sistemi legacy, soprattutto in ambito OT, e alla complessità di gestione di reti e apparecchiature eterogenee connesse alla rete. «I mondi OT – afferma Pandolfi – sono spesso caratterizzati da sistemi e protocolli specifici, a volte obsoleti. Non sempre compatibili con le soluzioni più evolute di sicurezza informatica». Anche alcune scorciatoie proposte dai vendor di soluzioni IoT/IIoT, come quelle relative all’apertura di nuove porte verso lnternet, non sono scevre da insidie – mette in guardia Tieghi di CLUSIT. «Certo può essere semplice prendere qualche misura da una macchina e mandarla in Internet per imbastire un monitoraggio da remoto. Spesso dimenticando che macchine e impianti hanno già a bordo decine se non centinaia di sensori e attuatori, gestiti da dispositivi, di solito PLC, già predisposti per una comunicazione con sistemi di più alto livello come SCADA/HMI». Quest’ultima è la strada migliore – a parere di Tieghi – verso una digitalizzazione sicura ed efficace in grado di garantire tutti i benefici di una vera integrazione OT-IT. «Solo in questo modo si potranno ottenere tutti i dati, informazioni e allarmi utili provenienti dall’impianto per popolare i database di processo, ovvero i Big Data di impianto. Il terreno sul quale imbastire analytics e KPI significativi e alimentare sistemi di machine learning e AI che possano divenire in breve tool di ausilio a favore di operatori e manager per migliorare performance, qualità e disponibilità di operations e supply chain».
I PILASTRI DELLA SICUREZZA OT
Per ottenere un effettivo monitoraggio del traffico di rete è necessario che l’infrastruttura copra tutte le aree dello stabilimento nelle quali sono presenti sistemi da connettere. «Capita spesso infatti di vedere “isole di automazione” non connesse tra loro né al backbone di fabbrica, che vivono di vita propria» – scherza Tieghi di CLUSIT. Un altro aspetto da non sottovalutare è la possibilità che manchino nell’infrastruttura di rete OT switch o altri dispositivi, essenziali per “estrarre” traffico e informazioni dalle comunicazioni in fabbrica. «Solo una volta sanate eventuali zone d’ombra, è possibile procedere con il monitoraggio “passivo” della rete. Per non introdurre ulteriori latenze e operazioni non corrette con conseguenti ripercussioni sul flusso produttivo» – rileva Tieghi. «Tecnologie interessanti sono quelle che consentono di aggregare “segnali” provenienti da fonti e zone della rete differenti e, poi impiegando AI e ML, sono in grado di identificare eventuali anomalie e ridurre i falsi positivi. Notevole anche la possibilità di rilevare vulnerabilità dagli asset sulla rete OT attingendo in continuo informazioni dai database di CVE presenti in internet oppure segnalati dagli stessi vendor dei dispositivi». Un aspetto critico delle tecnologie di monitoraggio risiede nella capacità di rilevare eventuali anomalie, errori di configurazione o guasti rispetto agli attacchi informatici. «Capacità proprie delle piattaforme di monitoring in grado di gestire un insieme eterogeneo di dati: produttori dei dispositivi, funzioni e protocolli in uso sono fondamentali per la creazione di una corretta baseline. Così come la presenza di algoritmi di AI/ML è fondamentale per velocizzare i meccanismi di detection e response» – spiega Matteo Trombin, cybersecurity specialist Cybersec Competence Center di Axians Italia.
Un efficiente sistema di monitoraggio della rete deve altresì analizzare non solo i protocolli IPv4 standard ma anche tutti i protocolli industriali trasportati tramite IP. «Negli ambienti OT, come noto, si utilizzano varie tipologie di protocolli in origine proprietari, trasferiti poi su ethernet utilizzando i layer dello standard ISO/OSI» – rileva Tieghi di CLUSIT. «Questo spiega perché alcuni vendor di switch e firewall, anche con funzioni di IPS/IDS, si sono specializzati nell’offerta di dispositivi capaci di gestire la maggior parte di questi protocolli non sempre conformi allo standard IPv4, e in prospettiva anche IPv6. Prima o poi anche questi protocolli diverranno obsoleti, ma fino a quando in fabbrica avremo anche un solo macchinario con a bordo un dispositivo che li utilizza sarà necessario trovare il modo di conviverci utilizzando device adeguati».
Un altro aspetto al quale spesso si fa riferimento è l’impatto sulla sicurezza dei sistemi ICS/SCADA dato dalla convergenza degli ambienti OT e IT. «Due sono i fattori principali da considerare» – spiega Orazio Molle, head of Cyber Security di NovaNext. «La mancanza di visibilità dei dispositivi collegati alla rete OT e l’utilizzo di protocolli di comunicazioni in gran parte insicuri. In tal senso disporre di una vista sempre aggiornata di tutto quel che è presente sulla rete attraverso la creazione di un inventario automatico, aggiornato e accurato con informazioni dettagliate su tipo e versione del firmware, ruoli, protocolli e flussi di dati, è fondamentale». La tecnologia scelta deve prevedere infine aggiornamenti continui che facilitino la valutazione automatizzata delle nuove vulnerabilità presenti sui dispositivi e sia in grado di attribuire livelli di priorità ai processi di remediation. «Uno dei modi migliori per identificare la presenza di criticità – osserva Molle – è quella di definire una baseline che permetta di rilevare eventuali difformità. La capacità cioè della soluzione di riconoscere e interpretare i protocolli di comunicazione specifici per distinguere un guasto da un attacco informatico. Per aumentare il livello di sicurezza complessivo è importante infine che la soluzione condivida le informazioni rilevate con un SIEM e sia in grado di interagire con un firewall per attivare dinamicamente delle regole di protezione». L’adozione di policy di segmentazione della rete in grado di creare una netta separazione tra gli ambiti IT e OT è l’altra incombenza che in ottica di security deve essere affrontata sin dall’inizio.
«Mentre la sicurezza informatica tradizionale si concentra in genere su tre aspetti, Confidenzialità, Integrità e Disponibilità, il principio guida per la progettazione dei sistemi ICS/SCADA dovrebbe essere sempre orientato alla sicurezza» – spiega Martin Zugec, technical solutions director, Enterprise Solutions di Bitdefender. «I moderni gruppi criminali, che operano attraverso Ransomware as a Service, cercano costantemente di massimizzare la pressione sulle vittime e dispongono di capacità e fondi per eseguire operazioni sofisticate. È difficile immaginare una leva più importante per questi hacker nei confronti dei sistemi industriali rispetto all’opportunità di causare danni nel mondo fisico. Quando si progetta un’implementazione ICS/SCADA, la separazione della rete da quella aziendale tradizionale deve rimanere uno dei principali principi di progettazione». Secondo Alberto Brera, country manager di Stormshield, la problematica della mitigazione del rischio risiede nella capacità di comprendere il comportamento dell’intero ambiente OT. «Gli ambiti tipicamente IT come amministrazione, vendite, progettazione e logistica vanno separati dai sistemi di produzione, per escludere potenziali movimenti laterali delle minacce attraverso la rete. Non solo. Vanno segmentate anche le diverse aree dell’ambiente OT i cui processi non presentano interdipendenze o per cui non è prevista intercomunicazione». Per il futuro è auspicabile una repentina revisione dei criteri di produzione dell’equipaggiamento industriale in un’ottica di security by design, che prenda in carico il grado di interconnessione oggi richiesto a qualsiasi componente degli ambienti OT. «Un cambiamento che richiede tempo – afferma Brera – sebbene le minacce vadano affrontate già oggi con equipaggiamenti per lo più non dotabili di agent con cui gestire puntualmente il framework di regole Zero Trust, spesso neanche aggiornabili lato sistema operativo o applicazioni, e interconnessi tramite strumenti IT, che ne estendono notevolmente la superficie di attacco».
La totale segmentazione della rete OT presenta tuttavia più di un elemento di difficoltà. «Il problema della suddivisione della rete IP in subnet non è soltanto organizzativo o architetturale. Data le limitazioni anche in ottica di sicurezza, del protocollo IPv4» – spiega Sunil Venanzini, Europe solution architect – SASE and Zero Trust di Trend Micro. «Così è sempre difficile trovare reti segmentate per missione e con le dovute regole di routing per il dialogo extra segmento. Soprattutto per via della complessità tecnica nel gestire il modello di comunicazione di differenti apparati tecnologici». Con la diffusione di attacchi informatici basati sui protocolli SMB NetBIOS o più banalmente multicast e broadcast, la necessità di segmentare la rete è diventata ancora più urgente. «Il problema – spiega Venanzini – è che per poter segmentare in modo ottimale la rete è necessario modificare in profondità l’architettura di rete. Riconfigurare cioè lo strato di rete degli apparati e riprogettare i flussi di comunicazione, tenendo conto del pericolo che si verifichino downtime dei servizi, deleteri in caso di fermo totale di quelli più importanti. Opzione questa in alcuni ambienti del tutto non percorribile, per la quale è necessario individuare una soluzione migliore in termini di costi/benefici». Perciò – rileva Trombin di Axians Italia – il design da considerare per la segmentazione di una rete OT non può essere casuale: «Anche se il modello Purdue Enterprise Reference Architecture (PERA) può fornire una prima base per la definizione dell’architettura di rete, è fondamentale creare delle zone basate su sistemi affini. Con lo scopo di effettuare risk assessment ad hoc su ogni area, come suggerito dagli standard ISA di riferimento». Per far parlare i due mondi e scambiare dati in modo controllato una netta segregazione è centrale – concorda Tieghi di CLUSIT. «Così come lo è progettare una “zona demilitarizzata” (DMZ), sulla quale attestare i server dedicati alla gestione dell’infrastruttura e alla comunicazione tra i due domini. Infine è raccomandabile predisporre ulteriori segmentazioni della rete OT secondo quanto consigliato dallo standard IEC 62443, ovvero in zone di rischio omogenee, abilitando la comunicazione tra zone differenti con percorsi – “conduits” – nei quali controllare in modo stretto il traffico e dati scambiati. Questo permette, se necessario, di isolare zone infette, evitando il propagarsi ad altre zone di eventuali disfunzioni».
VULNERABILITÀ E VIRTUAL PATCHING
Il tema del vulnerability management in ambito OT presenta caratteristiche diverse rispetto agli ambienti IT e richiede l’uso di strumenti specifici. La limitata esposizione dei sistemi OT, tradizionalmente isolati dalle minacce esterne, ha portato in passato a una minore attenzione ai problemi di sicurezza. La situazione è cambiata con la digitalizzazione degli ambienti di produzione. «L’esposizione dei sistemi inizia quando il traffico dei sistemi OT, per essere ottimizzato, inizia a essere eseguito in cloud tramite gli hyperscaler, i gestori di un centro di elaborazione dati che offrono servizi scalabili di cloud computing» – spiega Nathan Howe, vice president of Emerging Technologies di Zscaler. Nell’OT il ciclo di vita di tecnologie e apparati può essere estremamente lungo. Ciò introduce l’eventualità di dover gestire sistemi operativi e applicazioni obsolete, per le quali potrebbe non essere più attivo il supporto del produttore né la possibilità d’installare gli aggiornamenti. Inoltre, in generale mentre nel mondo IT le attività di manutenzione possono essere programmate in specifici momenti, per esempio nelle ore notturne o nei fine settimana, le soluzioni in ambito OT non possono avere tempi di inattività prolungata per effettuare patch o aggiornamenti. «L’OT spesso non offre questa possibilità. Il patching di una vulnerabilità deve essere quindi attentamente pianificata e comunicata» – rileva Howe. Lo scenario è cambiato velocemente anche per quanto riguarda la Threat Intelligence. «Gli attacchi sono diventati sempre più frequenti anche in ambito industriale, dove è fondamentale che i processi produttivi non vengano bloccati per non causare danni economici rilevanti» – osserva Giovanni Bombi, business development manager NGS di Westcon. «La cybersecurity in ambito industriale è diventata negli ultimi anni un aspetto cruciale per i CISO, CIO e IT manager che devono affrontare sfide complesse per la gestione della sicurezza delle proprie infrastrutture. In questo contesto, diventa fondamentale adattarsi velocemente ai cambiamenti e munirsi di strumenti che siano in grado di garantire la sicurezza in ambito industriale, integrandoli con gli altri software e dispositivi presenti in azienda».
GESTIONE DEL RISCHIO OT/IT
Rispetto agli ambienti IT, dove la triade delle priorità per il rischio cyber è sintetizzata dall’acronimo RID che sta per riservatezza, integrità e disponibilità, in ambiente OT il primo posto è occupato dalla disponibilità del dato. Seguita da integrità e riservatezza. «Per l’OT – osserva Tieghi di CLUSIT – il rischio vero è la perdita di controllo sul processo fisico, ovvero sul sistema di automazione. Con conseguenze sull’impianto e possibili rischi per persone, cose e ambiente». Storicamente l’OT è stato gestito con un approccio in cui i rischi venivano valutati in base all’impatto di qualsiasi cambiamento o sfida di sicurezza, operativa, logica o addirittura fisica» – osserva Howe di Zscaler. «A cui fa seguito una pianificazione a livello di business continuity plan e disaster recovery per garantire che il servizio non venga mai interrotto. L’IT ha iniziato a occuparsi di problemi e gestione del rischio in modo analogo solo negli ultimi 10 anni».
Al fine di migliorare la visibilità della superficie di rischio, diventa quindi importante monitorare tutti i dispositivi a rischio. «La maggiore visibilità dello stato dei propri sistemi permette infatti di preparare le opportune policy di sicurezza e soprattutto di avere sempre il controllo produttivo allineato al livello di rischio effettivo» – spiega Venanzini di Trend Micro. «Ciò comunque introduce il problema di generare un cosiddetto “piano di rientro”, vale a dire una pianificazione di tutte le azioni che l’azienda deve essere in grado di adottare per ridurre il rischio, tenendo conto al contempo dei costi (economici, di business, strumentali e tecnologici) per ridurre il rischio a un valore accettabile per l’efficienza e il profitto dell’azienda».
Un sistema OT deve operare ininterrottamente finché è attivo il processo fisico sotteso, che può riguardare una reazione chimica, il flusso di un liquido, un processo di riscaldamento/raffreddamento, e così via. Con tempi che variano dalle poche ore fino anche a diverse decine di anni, come per esempio nel caso di un altoforno. Per mitigare l’impatto che la minor frequenza di aggiornamenti può avere sulle reti OT in termini di esposizione di impianti e macchinari alle minacce rappresentate da vulnerabilità, errori di configurazione, mancanza di aggiornamenti – il virtual patching rappresenta uno strumento importante a disposizione delle aziende per cautelarsi sia dalla temporanea mancanza di patch che per assicurarsi uno strato supplementare di sicurezza dopo il loro rilascio, attraverso l’integrazione di una soluzione di intrusion prevention in grado di impedire l’accesso alla vulnerabilità. La patch virtuale impedisce in sostanza che il traffico malevolo raggiunga l’applicazione vulnerabile. «Un’opzione percorribile in molti contesti» – afferma Tieghi di CLUSIT. «A patto chiaramente di non utilizzarlo all’infinito. Non è possibile infatti congelare un impianto a dieci anni fa e affidarsi unicamente al patching virtuale».
AMBIENTI OT E ZERO TRUST
In base ai dati forniti da IDC, circa il 60% delle aziende italiane oggi gestisce la sicurezza IT in modo separato rispetto a quella OT e, in molti casi, anche i team di security sono differenti. «Mancano comunicazioni costanti, sistemi interoperabili, competenze trasversali e soluzioni adeguate» – nota Pandolfi di IDC Italia. «Questa tendenza genera ulteriori preoccupazioni, come la mancanza di una visibilità completa di tutti gli asset connessi e, in alcuni casi, anche una certa difficoltà a individuare dei vendor che siano in grado di gestire in modo integrato ed efficace i due mondi dal punto di vista della sicurezza». Tuttavia, gli approcci alla gestione della sicurezza OT/IT si stanno orientando verso una sempre maggiore collaborazione: in molti casi le aziende dichiarano di programmare regolari riunioni di allineamento interno per una maggiore cooperazione tra il personale dell’area IT e quello dell’area OT. «Anche se a emergere è un approccio ancora prevalentemente a “silos” in cui i due mondi non sono completamente integrati, né tecnologicamente né organizzativamente, è evidente una forte consapevolezza circa la necessità di costante allineamento tra i team di sicurezza. Soprattutto per quello che riguarda le evoluzioni tecnologiche e le nuove esigenze di protezione» – afferma Pandolfi.
Oltre a una maggiore collaborazione dei team di security – rileva IDC – le aziende guardano anche a nuovi modelli architetturali e tecnologici, primo fra tutti lo Zero Trust. Un approccio in grado di proteggere accessi e device connessi alla rete, a prescindere dal luogo dal quale si trovano e si connettono, attraverso una costante verifica delle identità e dei privilegi. «Un framework Zero Trust abilita gli ambienti OT a identificare, classificare e segmentare le risorse, riducendo da un lato il loro livello di accesso e dall’altro aumentando l’efficienza e la sicurezza della rete». Per preparare il terreno a un approccio di questo tipo, e migliorare la sicurezza nell’ambito OT, le aziende – secondo i dati in possesso di IDC – stanno dando priorità a una serie di aree tecnologiche, tra le quali spiccano quelle di Network Segmentation, Software Defined Secure Access (SDSA), soluzioni DDoS, piattaforme di gestione centralizzata della sicurezza (in termini di policy, controlli, etc.) e piattaforme di Endpoint Security.
Zero Trust dunque si sta facendo strada nelle organizzazioni IT per un’ampia varietà di casi d’uso e ambienti di sicurezza specifici. Tuttavia, i requisiti unici degli ambienti OT, combinati con processi industriali e infrastrutture critiche, possono ostacolarne le implementazioni. Molti dispositivi OT infatti non sono facilmente collocabili all’interno di un’area Zero Trust microsegmentata. Talune implementazioni Zero Trust inoltre si limitano a proteggere gli scenari di accesso remoto, sostituendo soluzioni di accesso VPN, e non l’intera rete e tutti i dispositivi. «Le reti OT non devono accedere alle reti pubbliche, ma mantenere un concetto di AirGap, vale a dire adottare tutte quelle misure di sicurezza che isolano fisicamente un’infrastruttura critica da qualsiasi collegamento con il mondo esterno, come per esempio Internet» – afferma Venanzini di Trend Micro. «Partendo da questo assunto, nulla potrebbe comunicare con l’esterno e il paradigma Zero Trust verrebbe a fallire. Tuttavia, in maniera pragmatica il concetto può essere riassunto nel non fidarsi di nessuno, validando sempre le connessioni verso gli apparati e verificando gli accessi agli apparati. Inoltre è importante verificare che la device target sia esente da virus, che non possa subire modifiche e che possa dialogare solo con servizi autorizzati».
Il primo ostacolo alla diffusione dello Zero Trust in ambienti OT – osserva Howe di Zscaler – è quello di eliminare qualsiasi interazione umana con la rete. «L’accesso alla rete deve essere trasformato in un accesso granulare sicuro alle singole applicazioni. Una volta esclusi gli operatori, le aziende possono iniziare a concentrarsi sui controlli complessi necessari tra i vari workload. Spesso si inizia con la creazione di segmenti di servizi OT, identificando le tipologie di sistemi e la loro comunicazione, per poi ridurle al minimo indispensabile». Più cauto il parere di Matteo Trombin di Axians Italia secondo cui l’adozione di un paradigma Zero Trust affrontato con criteri analoghi al settore IT, potrebbe non fornire la necessaria garanzia di operatività dei sistemi industriali. «ll percorso verso la Zero Trust Architecture in ambito industriale deve essere accompagnato da soluzioni tecnologiche in grado di rilevare potenziale traffico non legittimo, oltre ai partner in grado di trasformare queste segnalazioni in policy che, una volta applicate, non interferiscano con i servizi critici». Anche Tieghi di CLUSIT, concorda sulla complessità di utilizzare un approccio Zero Trust in un ambiente OT. «Alcuni vincoli sono dati dal fatto che molti dispositivi non supportano SDN ed IPv4/IPv6; altri dall’impossibilità di definire criteri di autenticazione tra chi trasmette e chi riceve. È però altrettanto vero – prosegue Tieghi – che anche lo standard IEC 62443, vero mantra per la OT cybersecurity, spinge verso la micro-segmentazione, con la definizione di “zone omogenee per livello di sicurezza” e verso la definizione e realizzazione di “conduit”, intesi come singoli canali di comunicazione tra una zona e l’altra, dove monitorare e controllare tutto ciò che gli passa all’interno». In prospettiva – prevede Tieghi – l’approccio Zero Trust sarà centrale per le applicazioni IIoT, dove un numero importante di dispositivi comunicherà tra loro e con centri di controllo remoto. «Sarà quindi importante verificare la corretta implementazione dei meccanismi di autenticazione sui dispositivi da connettere ai sistemi e certamente avrà un ruolo importante la gestione della supply chain del software».
