TECNOLOGIA E SICUREZZA

Convergenza IT-OT: come gestirla per migliorare la comunicazione interna con la tecnologia SOAR

Per raggiungere una efficiente convergenza IT-OT le aziende possono adoperare la tecnologia SOAR in modo da diminuire le carenze organizzative e strutturali e creare un’infrastruttura e dei processi forti e strutturati necessari per essere meno vulnerabili e più reattivi agli attacchi informatici. Ecco perché

11 Set 2020
F
Dario Forte

Founder and CEO – DFLabs


L’aggressiva digitalizzazione in quasi tutti i segmenti dei settori industrializzati ha lasciato un’impronta massiccia sul modo in cui le organizzazioni producono, comunicano e, in ultima analisi, si difendono dalle minacce informatiche: tuttavia, ci sono ancora alcuni sistemi che sono in conflitto con gli ultimi progressi tecnologici, come le reti OT (Operational Technology) e questa esatta incapacità di utilizzare le più recenti tecnologie rende la loro integrazione con l’IT (Information Technologies) e la convergenza IT-OT piuttosto impegnativa e, in alcuni casi, molto pericolosa.

Per superare queste sfide che si presentano nell’interazione tra reti OT e IT, le organizzazioni dovrebbero appoggiarsi a tecnologie che abbiano il potere di diminuire le carenze e creare un’infrastruttura e dei processi forti e strutturati.

La tecnologia SOAR (Security Orchestration Automation and Response) può aiutare enormemente in questo grazie alla capacità di orchestrare da un’unica piattaforma tanti diversi strumenti, che nativamente non dialogano tra loro.

Inoltre, permette di aumentare enormemente la comunicazione interna e consente a più analisti e operatori di lavorare in maniera sinergica, veloce e strutturata per rispondere a potenziali minacce in poco tempo.

I principali ostacoli alla convergenza IT-OT

Anche se la convergenza IT-OT è stata considerata fuori questione prima dell’inizio del secolo, le aziende hanno lentamente ma inevitabilmente iniziato a vederne i vantaggi per aumentare l’efficienza produttiva.

Il grande divario di visibilità, le differenze di obiettivi dei team e la difficile comunicazione dovuta alle loro differenti competenze, rendono l’azienda vulnerabile agli attacchi informatici, ed espone l’integrità dell’intera organizzazione a un pericolo informatico imminente.

Di seguito alcune ragioni chiave che dimostrano quanto siano vulnerabili i sistemi OT:

  • i sistemi OT sono scarsamente aggiornati: sono nati per durare nel tempo e i sistemi operativi che li governano sono spesso antiquati;
  • le macchine industriali non hanno un’autenticazione da parte di chi invia il comando;
  • esistono una miriade di protocolli industriali supportati da tanti diversi fornitori;
  • c’è una mancanza di visibilità negli ambienti ICS e spesso non esiste un inventario accurato degli asset;
  • i sistemi OT si basano su protocolli proprietari, il che rende difficile per le soluzioni di sicurezza IT convenzionali rilevare correttamente le vulnerabilità, valutare la consapevolezza del rischio e porre rimedio agli attacchi informatici;
  • le reti OT sono solitamente vaste e complesse e variano da 50 a 500 dispositivi interconnessi. E, senza software aggiornati, la rete è continuamente sotto rischio imminente;
  • i team del mondo Operation non hanno l’esperienza necessaria per affrontare le sofisticate minacce informatiche e per comunicare efficacemente con il team sicurezza informatica.

Come facilitare la comunicazione interna ed esterna

Le sfide più evidenti ruotano attorno al fatto che i sistemi OT e IT si basano su tecnologie molto diverse. Operation e cyber security assumono dipendenti che hanno una conoscenza specialistica strettamente legata all’area di competenza richiesta solo nei rispettivi ambienti.

In altre parole, vi è una comprensione limitata delle tecnologie utilizzate in entrambi i settori IT/OT al di fuori dell’ambito delle persone che lavorano in questi ambienti.

L’integrità è il cuore del lavoro ma nella convergenza tra IT-OT ci sono diverse questioni critiche tra cui l’autenticazione, la disponibilità, la riservatezza ma anche la comunicazione interna tra team con competenze totalmente diverse, e quella esterna con i fornitori.

Spesso i CISO hanno poca visibilità degli asset e delle reti industriali perché sono spesso gestite da fornitori esterni. Ad aggravare ulteriormente la situazione, spesso si presentano anche problemi di cooperazione interna perché il cyber team si scontra spesso con il responsabile delle operation, che ha come obiettivo primario la continuità operativa e che, temendo che qualcosa possa non funzionare correttamente, può fungere da ostacolo nell’implementazione di processi e nuove tecnologie.

WHITEPAPER
Quali sono i mobile malware più diffusi?
Mobility
Cybersecurity

Su questo ambito è fondamentale investire nelle relazioni e una delle best practice utilizzate delle aziende è quella di formare persone del team operation su temi di cyber security affinché fungano da ponte tra i due mondi così diversi tra loro.

Inoltre, sprecare tempo significa perdite economiche e in caso di rilevazione di incidenti è importante agire immediatamente, senza improvvisare ma facendo sì che ognuno metta a disposizione le proprie competenze quando servono.

La tecnologia SOAR aiuta a velocizzare i tempi di risposta, orchestrando efficacemente tante diverse tecnologie e assegnando task rilevanti agli operatori sulla base delle priorità di intervento, fornendo in tempi rapidissimi tutte le informazioni per prendere decisioni.

Convergenza IT-OT: in che modo i due ambiti possono lavorare insieme

Molte aziende si stanno strutturando per avere un unico SOC (Security Operation Center) che protegga anche i sistemi industriali e spesso viene chiesto, senza aumentare lo staff, di essere responsabili della protezione delle reti OT.

Sul mercato sono molte le tecnologie per proteggere gli ambienti industriali dalle minacce informatiche, e sono nate soluzioni specifiche per:

  • acquisire visibilità sulle risorse OT attraverso un asset inventory al fine di rilevare quali dispositivi sono collegati alla rete;
  • effettuare un’analisi delle vulnerabilità conosciute associandole agli asset al fine di individuare quelle che aumentano il livello di rischio;
  • tracciare la storia del cambiamento dei parametri di ogni dispositivo;
  • ottenere visibilità per guidare i progetti di segmentazione della rete;
  • capire passivamente di cosa è fatta la rete dell’impianto, cosa vi è collegato e cosa le gira intorno per segmentare e segregare nel ridisegno dell’architettura di rete;
  • identificare il tipo di flussi di comunicazione e rilevare le azioni che vengono effettuate e quando ci sono deviazioni dalle mappe di riferimento;
  • identificare protocolli specifici, e quali sono le connessioni tra un sistema e l’altro;
  • rilevare flussi non standard e rilevare accessi non autorizzati;
  • rilevare le intrusioni dannose dal dominio IT;
  • rilevare i tentativi di scansione e modifica delle attività OT;
  • altre informazioni e suggerimenti ma SOAR aiuta a gestire tutti gli strumenti per rispondere in meno tempo a tutti gli incidenti;
  • gestire le soglie ed evitare il blocco incontrollato delle macchine;
  • effettuare il backup e controllo delle versioni.

Tutti questi strumenti si aggiungono alla miriade di strumenti già presenti nell’infrastruttura, aumentando così la complessità di gestione.

Aumentare la velocità di risposta agli incidenti e la collaborazione

Il SOAR inizia dove la detection finisce e automatizza le procedure operative standard (SOP) definite a priori, assegnare task, cambiare la severità di un task, aumentando così la collaborazione dei cyber team con i team Operation. Questo si rende ancor più necessario in caso di team ridotti che hanno bisogno di risparmiare tempo e risorse per gestire attività di livello 1.

Pertanto, l’esecuzione di alcune procedure all’interno delle SOP richiede molto tempo come, ad esempio, le attività ripetitive tra cui l’investigazione degli alert su tanti diversi strumenti, la generazione di report, lo scambio di informazioni, ed è uno spreco di tempo inaccettabile.

Il SOAR aiuta ad automatizzare tali attività ripetitive e a basso rischio e consente di lavorare in modo coordinato. Una volta che una minaccia viene individuata il SOAR in automatico effettua l’enrichment, crea l’incidente a sistema e assegna il task al team o all’analista di riferimento e grazie all’automazione dei task ripetitivi, gli analisti ottengono in pochi minuti tutte le informazioni necessarie per prendere decisioni e contenere la minaccia.

Il SOAR esegue automaticamente l’analisi di un particolare allarme, documentando le caratteristiche e classificando di conseguenza la sua natura. I dati collezionati vengono trasmessi agli analisti, che, senza la necessità di accedere a tanti diversi strumenti possono focalizzare la loro attenzione sulle minacce reali e sfruttare le loro competenze per attività di valore.

Nel mondo OT/ICS questo è un passaggio particolarmente importante, in quanto si preferisce lasciare la remediation in un ambito di semi automazione, ove il ruolo dell’operatore è ancora molto importante.

Di contro, senza SOAR, la fase di analisi di tutti gli allarmi viene eseguita manualmente dagli analisti con grandi perdite di tempo su attività di poco valore.

Inoltre, attraverso un’efficace gestione delle notifiche inserite nel processo di risposta agli incidenti, comunica e assegna l’esecuzione di attività puntuali all team operation che le dovrà eseguire in tempi rapidi.

Una gestione degli incidenti più rapida ed efficiente

Nell’ottica della convergenza IT-OT, il SOAR permette di essere più efficaci in quanto elimina i falsi positivi e crea report estremamente completi sugli incidenti in pochi minuti con i relativi indicatori di compromissione, la tempistica e le azioni correttive eseguite o suggerite.

Inoltre, permette di:

  • inviare notifiche in momenti specifici delle SOP con tutte le informazioni necessarie per prendere decisioni e contenere le minacce;
  • implementare e seguire le migliori procedure di sicurezza;
  • ottenere tutte le informazioni utili su un allarme, orchestrando tutti gli strumenti necessari per rispondere in meno tempo alla minacce reali.

Quando il SOAR riceve allarmi dal mondo industriale da IDS specializzati sui protocolli OT, possono essere interrogate in modo automatico SIEM e Threat intelligence, per analizzare in pochi minuti cosa sta succedendo.

Ad esempio, se riceve un allarme di macchina in arresto di emergenza può orchestrare automaticamente altre tecnologie per scoprire immediatamente chi ha dato il comando, rilevando da quale sistema, identificando se l’IP che ha innescato l’evento era autorizzato, e mandare notifiche affinché vengano prese le contromisure e aiutando l’attuazione di una remediation strutturata e informata.

La risposta ad un incidente richiede attività di investigazione e decisioni. L’automazione non sostituisce l’uomo, lo sgrava da compiti ripetitivi e di basso valore.

Il SOAR aiuta il processo di risposta attraverso processi di escalation e di notifica, per assicurarsi che tutto sia fatto secondo le procedure standard e senza intaccare la produzione che non deve mai essere bloccata.

Partecipa anche tu al webinar del 1.10.20 ore 16:00 per scoprire come avere il pieno controllo della tua infrastruttura! Clicca qui
WHITEPAPER
Storage: aumentare prestazioni, scalabilità ed efficienza a costi contenuti
Storage
Backup

@RIPRODUZIONE RISERVATA

Articolo 1 di 5