Adattando il modello Zero Trust agli ambienti industriali, è possibile migliorare la sicurezza dei sistemi critici e la resilienza operativa, proteggendo sia i dati che i processi fisici. Tuttavia, è necessario comprendere obiettivi e requisiti del dominio per adottare la strategia adeguata
Non è passato un secolo da quando anche solo l’idea di esporre su Internet l’impianto che controllava una centrale idroelettrica provocava lo stesso effetto della vista di un veicolo in contromano in autostrada. Come molti altri impianti industriali, le centrali erano gestite tramite sistemi di controllo industriale (ICS) e sistemi di controllo e acquisizione dati (SCADA), progettati per operare in ambienti isolati e non connessi a reti esterne. Questa configurazione garantiva la protezione dei sistemi critici da minacce esterne, riducendo il rischio di attacchi informatici. Negli anni con l’evoluzione delle tecnologie e l’integrazione dell’IoT industriale, collegare gli impianti industriali a Internet per migliorare la gestione, il monitoraggio remoto e l’efficienza operativa è diventato sempre più comune. L’apertura verso l’esterno ha portato a una maggiore esposizione alle minacce, rendendo necessarie misure di sicurezza più robuste per proteggere i sistemi critici. Storicamente, gli ambienti industriali, sono stati caratterizzati da un netto isolamento rispetto al resto delle infrastrutture e dei servizi IT, spesso con configurazioni “air-gapped”, cioè fisicamente disconnesse dalle reti in cui si trovano utenti e altre applicazioni – come spiega Marco Catino, sales engineer manager di Zscaler. «Ciò ha permesso di mantenere un livello di sicurezza accettabile per queste componenti, fondamentali per la sopravvivenza di molte aziende soprattutto nei settori manufacturing o healthcare. Accettabile però non significa sicuro. Malware generici e specifici per OT hanno infestato negli anni anche queste reti e solo il loro sostanziale isolamento ha scongiurato danni gravi per le aziende».
Tuttavia sempre più spesso, macchinari, controller e dispositivi hanno bisogno di comunicare con un backend SaaS o di essere raggiunti via Internet per essere gestiti. Esigenze accelerate dai vari lockdown che durante la pandemia hanno reso più problematico raggiungere fisicamente le reti industriali da gestire. Anche se alcuni cambiamenti sono diventati realtà, negli ambienti OT abbondano ancora sistemi legacy, hardware, macchine, dispositivi e server con un ciclo di vita mediamente più lungo. Inoltre, i proprietari degli asset dipendono fortemente dai fornitori OEM o di terze parti per la manutenzione ordinaria e il supporto tecnico. Questo porta a connessioni remote in ambienti OT e, a causa di architetture e strutture complesse e geograficamente disperse che richiedono strumenti specifici del fornitore per la risoluzione dei problemi e gli aggiornamenti, per i team di sicurezza monitorare e tenere traccia di queste connessioni può non essere agevole. Nonostante alcuni cambiamenti siano diventati realtà, negli ambienti OT sono ancora molto diffusi i sistemi legacy, hardware, macchinari, dispositivi e server con un ciclo di vita mediamente più lungo.
L’accesso remoto offre la flessibilità necessaria per rispondere rapidamente agli incidenti perché consente di diagnosticare, mantenere e riparare le risorse OT, riducendo i tempi di inattività, la necessità di manutenzione onsite, risparmiando tempo e denaro. Il rovescio della medaglia è che introduce problemi di sicurezza per i quali si rendono necessari controlli adeguati. L’accesso non autorizzato a risorse, applicazioni e connessioni è ormai un vettore di attacco primario e consolidato per chi attacca. Le reti OT basate su sistemi operativi obsoleti, poco o affatto mantenuti, sono afflitte da vulnerabilità note.
Secondo il nuovo rapporto di ABI Research e Palo Alto Networks, il 70% delle organizzazioni ammette di aver subito un attacco informatico che nel 25% dei casi ha provocato l’interruzione delle attività. Ma questo è solo un aspetto del quadro complessivo. L’impatto del cloud, e sempre più del 5G e dell’AI, pur rappresentando opportunità significative per gli ambienti OT, comporterà sfide notevoli nella gestione e nell’adeguamento delle misure di sicurezza.
IL PASSAGGIO DALL’IT ALL’OT
Se queste sono le sfide, è chiaro che servono modelli di sicurezza e tecnologie all’altezza. Stando ai dati della ricerca condotta da Microsoft Security, la maggior parte dei professionisti della sicurezza ritiene importante applicare i principi di sicurezza informatica del framework Zero Trust per ottenere un livello di sicurezza più elevato. Minima fiducia, segmentazione della rete, autenticazione continua, monitoraggio continuo e granulare, e politiche di accesso efficaci sono i principali punti di forza del modello e rivestono un’importanza significativa anche negli ambienti industriali.
La pandemia, oltre ad accelerare il passaggio a un ambiente di lavoro ibrido, ha dato ulteriore impulso all’adozione del modello. Secondo il rapporto State of Zero Trust in the Industrial Enterprise Report, il framework sta gradualmente guadagnando terreno in numerosi settori industriali. La maggior parte delle organizzazioni interpellate (72%) dichiara di aver iniziato ad adottare principi Zero Trust, il 38% ha implementato e ottimizzato misure di controllo, mentre il 31% dichiara di aver elaborato una strategia specifica. «Il framework, originariamente sviluppato per l’ambiente IT, può essere esteso con successo agli ambienti industriali operativi per migliorare la sicurezza e la protezione dei sistemi critici» – dichiara Giovanni Bombi, vendor success manager & team leader NGS di Westcon. «Integrare il framework negli ambienti industriali può migliorare significativamente la resilienza dei sistemi critici, riducendo al contempo il rischio di interruzioni delle operazioni, aspetto fondamentale per le aziende di produzione».
Il paradigma Zero Trust garantisce la sicurezza negli ambienti IT industriali poiché nessuna richiesta, sia interna che esterna, può essere considerata attendibile prima di essere verificata – come spiega Fabio Panada, security architect di Cisco Italia. «Inoltre, fornisce una maggiore visibilità sui servizi e le piattaforme utilizzate in azienda, oltre a gestire con semplicità le identità e i dispositivi connessi alla rete, riducendo la superficie d’attacco e il rischio di compromissione». Le principali sfide legate alla protezione degli ambienti OT sono l’integrazione IT/OT, la protezione dalle minacce ransomware e la modernizzazione dell’accesso remoto. Diversi settori industriali stanno adottando il modello a velocità diverse. Il settore manifatturiero risulta in testa. Il modello Zero Trust si distingue nettamente dalla tradizionale sicurezza perimetrale, che concede automaticamente fiducia agli utenti interni. Al contrario, con l’approccio Zero Trust la rete IT aziendale viene considerata inaffidabile al pari di Internet, richiedendo verifiche per ogni accesso.
Dalle analisi di Forrester alla Cybersecurity and Infrastructure Security Agency (CISA), dall’American Council for Technology-Industry Advisory Council (ACT-IAC) fino a Netskope e Microsoft, molti attori promuovono il modello Zero Trust. Tuttavia, i critici sostengono che nessuno di questi modelli si basi su ricerche scientifiche in grado di fornire prove oggettive della loro efficacia. In letteratura, si evidenzia in particolare la scarsa ricerca accademica sui fattori critici di successo (CSF) e la mancanza di dati oggettivi sul livello di maturità del modello.
SEPARATI ALLA NASCITA?
In un contesto IT, il modello Zero Trust e la sicurezza informatica in generale si concentrano sulla protezione dei dati. Gli attaccanti cercano di estrarre o crittografare i dati per richiedere un riscatto. Zero Trust applicato all’OT, invece, riguarda la protezione dei processi fisici. In questo caso, l’obiettivo è causare danni manipolando o danneggiando sensori, pompe e altri sistemi cibernetico-fisici. La differenziazione tra la protezione dei dati nell’IT e la protezione dei processi fisici nell’OT riflette le diverse priorità e minacce affrontate in questi due domini. Cambiano gli obiettivi di chi attacca e cambiano, almeno in parte, le misure di sicurezza e le tecnologie da impiegare. Due esempi relativi ai rispettivi ambienti possono chiarire meglio i termini della questione. Una banca adotta il modello Zero Trust per proteggere i dati dei clienti. Utilizza l’MFA – l’autenticazione a più fattori – per l’accesso a tutti i sistemi, segmenta la rete per isolare i dati sensibili e monitora continuamente l’accesso ai dati. Una delle minacce principali è la possibilità che qualcuno possa rubare dati finanziari accedendo a un database interno. Quando il modello funziona, l’attaccante viene bloccato dalla mancanza di autorizzazioni necessarie e dalle politiche di segmentazione della rete che impediscono l’accesso non autorizzato.
Diverso il caso in un ambiente OT in cui un’azienda del settore utility implementa Zero Trust nei suoi sistemi SCADA, isolando i sensori e gli attuatori critici con la microsegmentazione e monitorando continuamente le comunicazioni tra i dispositivi OT. Qui la minaccia è rappresentata da un attacco che può compromettere uno o più sensori, manipolando i dati di input per causare – per esempio – un sovraccarico in una centrale elettrica. Le misure di sicurezza si concentrano, ma non si esauriscono, sull’isolamento dei sistemi critici, sul monitoraggio e il rilevamento delle anomalie, sul controllo degli accessi ai dispositivi OT e sull’integrazione della sicurezza IT e OT. Le principali tecnologie impiegate sono le soluzioni di microsegmentazione, i sistemi di rilevamento delle intrusioni specifici per OT (OT IDS), firewall perimetrali per sistemi di controllo industriale (ICS) e piattaforme di sicurezza unificate IT/OT. Se il framework Zero Trust è stato implementato correttamente, l’attività anomala viene rilevata e l’accesso al sistema SCADA immediatamente bloccato per prevenire danni fisici.
Perciò le organizzazioni OT devono adattare le proprie strategie di sicurezza alle realtà specifiche degli ambienti OT. Alcune strategie Zero Trust, come la segmentazione della rete, sono applicabili in entrambi gli ambienti. Altre, come l’autenticazione a più fattori, potrebbero essere rilevanti solo ai livelli superiori della rete OT. Una strategia Zero Trust per l’ambiente operativo deve considerare fattori unici del mondo industriale, assenti nell’IT, come il monitoraggio delle anomalie nei segnali di processo di Livello 0 che possono indicare una compromissione – in altre parole – i segnali utilizzati per misurare e controllare i processi industriali generati da sensori e attuatori, dispositivi fisici, collegati direttamente agli elementi del processo, come macchinari, linee di produzione, impianti chimici e altri sistemi industriali.
Un’azienda che gestisce una rete di oleodotti utilizza sensori e PLC per monitorare e controllare il flusso di petrolio. I dispositivi di Livello 0 rilevano parametri come la pressione, la temperatura e il flusso, inviando questi dati ai sistemi di supervisione per mantenere operazioni sicure e ottimali. Qui la minaccia è rappresentata da un attaccante deciso a compromettere un sensore di pressione, inviando dati falsi che simulano una pressione normale quando in realtà ha superato il livello previsto. Questo può portare a un’esplosione o a una perdita significativa di petrolio, con gravi conseguenze ambientali ed economiche. Ancora, un attaccante potrebbe manipolare un PLC per chiudere improvvisamente una valvola, interrompere il flusso di petrolio e provocare un arresto della produzione con conseguenti perdite finanziarie considerevoli. Per implementare una strategia Zero Trust efficace nell’OT quindi è importante monitorare continuamente i segnali di processo di Livello 0 per rilevare eventuali anomalie.
Il monitoraggio può essere realizzato attraverso l’analisi del comportamento dei sensori con soluzioni ad hoc che utilizzano algoritmi di machine learning. Per esempio, se un sensore di pressione inizia a riportare valori costantemente stabili, l’algoritmo può segnalare questa situazione come anomala, richiedendo un’indagine più approfondita. In questo contesto, sono altrettanto importanti le piattaforme di sicurezza unificate che integrano il monitoraggio di IT e OT, fornendo una visione completa e correlata delle minacce. Le anomalie rilevate nei segnali di processo di Livello 0 possono essere correlate con altre attività sospette rilevate nella rete IT, come tentativi di accesso non autorizzati o malware. Dopo queste considerazioni non è azzardato affermare che, sebbene i principi fondamentali Zero Trust possano essere applicati in entrambi gli ambienti, le minacce e gli obiettivi specifici differiscono, portando a strategie di implementazione diverse. Comprenderlo è importante per proteggere efficacemente entrambi i tipi di ambienti. Anche se le strategie e le tecnologie specifiche possono variare, il principio fondamentale di “non fidarsi mai, verificare sempre” rimane costante, adattandosi ai diversi rischi e requisiti operativi di ciascun dominio.
VALUTAZIONE DEL RISCHIO
L’applicazione di un qualsiasi modello di sicurezza così come l’introduzione delle tecnologie a supporto presuppongono una corretta comprensione della loro integrazione in un contesto definito. Comprensione che deve guidare la valutazione dei rischi e l’identificazione dei punti deboli, in modo da poter apportare i necessari aggiustamenti. «La valutazione dei rischi deve guidare la progettazione e l’implementazione delle strategie di sicurezza» – spiega Matteo Uva, alliance & business development director di Fortinet. «Senza uno screening delle risorse in seno all’architettura, è impossibile determinare quale livello di criticità attribuire, a chi dare accesso e a quali strumenti» – afferma Andrea Scattina, country manager Italia di Stormshield. Le infrastrutture aziendali, specialmente nelle grandi organizzazioni, sono composte da un mix di sistemi legacy, applicazioni moderne, hardware diverso e reti complesse. Varietà che rende difficile avere una visione completa di tutti i dati e i sistemi presenti.
«Una corretta valutazione del rischio fornisce una visione dettagliata delle potenziali vulnerabilità, minacce e impatti associati all’ambiente industriale. Inoltre, consente alle organizzazioni di raggiungere obiettivi di sicurezza, individuando le aree di rischio più critiche, permettendo così di definire strategie e piani di azione per mitigarle» – spiega Maurizio Pratesi, security division manager – access management technology advisor di Net Studio, società italiana specializzata in cybersecurity che fa parte del Gruppo Indra. La valutazione del rischio aiuta a comprendere le vulnerabilità specifiche dell’ambiente industriale e le minacce informatiche a cui è esposto.
«Sulla base dei rischi identificati, è possibile assegnare il grado di priorità alle misure di sicurezza Zero Trust da implementare per ottenere il massimo impatto» – sottolinea Federica Maria livelli, membro del Comitato Scientifico di CLUSIT. «La valutazione del rischio aiuta a stimare i costi e le risorse necessari per l’implementazione di Zero Trust in modo efficace. Inoltre, fornisce un quadro di riferimento per misurare l’efficacia delle misure implementate e per apportare miglioramenti nel tempo». Costi che includono la pianificazione del progetto, l’acquisto e l’implementazione delle soluzioni, le risorse necessarie per la classificazione dei dati e l’adattamento degli utenti al nuovo sistema.
Negli ambienti industriali non è raro individuare sistemi legacy incompatibili con i principi Zero Trust. Uno di questi è il controllo degli accessi. Ogni richiesta di accesso a una risorsa deve essere autenticata e autorizzata in base all’identità dell’utente o del dispositivo e al contesto della richiesta, posizione geografica, ora del giorno, stato del dispositivo, e così via. I PLC più datati non supportano né metodi di autenticazione robusti come certificati digitali, autenticazione a più fattori (MFA), o protocolli di autenticazione come OAuth o SAML né la crittografia. Altri dispositivi dispongono di limitate capacità di aggiornamento e di integrazione con gli attuali sistemi di monitoraggio della sicurezza. La mancanza di queste funzionalità si traduce in punti di incompatibilità con il modello e comporta significativi rischi per la sicurezza. Per mitigare questi rischi, è necessario ricorrere a soluzioni alternative, spesso costose e complesse da implementare, soprattutto in ambienti industriali con infrastrutture critiche.
L’implementazione del modello Zero Trust può influire negativamente sulle prestazioni di rete e sui tempi di risposta, principalmente a causa dell’aumento delle operazioni di autenticazione, autorizzazione e monitoraggio eseguite per ogni richiesta di accesso alle risorse di rete. Questo è particolarmente problematico negli ambienti industriali, dove sono richiesti tempi di risposta in tempo reale rigorosi. Consideriamo, per esempio, un impianto industriale altamente automatizzato che utilizza un sistema di controllo distribuito (DCS) per gestire la produzione, comprendente sensori, attuatori, PLC e un server centrale che coordina tutte le operazioni. Applicando il controllo continuo e granulare degli accessi – uno dei principi dello Zero Trust, basato su autenticazione e autorizzazione per ogni singola richiesta di accesso alle risorse – ogni volta che un PLC invia dati al server, questo deve autenticare il PLC e verificare i permessi necessari per trasmettere i dati. Questo processo può causare ritardi, anche se minimi, che potrebbero sommarsi in un ambiente con molti dispositivi in costante comunicazione.
Inoltre, se le politiche di accesso aziendali richiedono verifiche aggiuntive, come il controllo della conformità del dispositivo o delle condizioni di rete, il tempo di risposta potrebbe ulteriormente aumentare. Il modello Zero Trust richiede un monitoraggio continuo delle attività di rete per rilevare comportamenti anomali, il che comporta un aumento del traffico di rete dovuto all’invio costante di log e dati di telemetria a un sistema di analisi centralizzato. L’elaborazione e l’analisi di questi dati in tempo reale possono introdurre ulteriori latenze. Per mitigare questi impatti, le aziende possono definire politiche di sicurezza in grado di bilanciare sicurezza e prestazioni, per esempio autenticando e autorizzando i dispositivi meno frequentemente oppure utilizzando meccanismi di autenticazione e autorizzazione basati su cache. Tuttavia, il rischio è quello di compromettere uno o più pilastri del modello Zero Trust. L’adozione della strategia Zero Trust implica un cambiamento significativo nel modo in cui gli accessi vengono gestiti e monitorati, impattando sui processi aziendali esistenti. Consideriamo un altro caso concreto: una grande azienda manifatturiera che utilizza un sistema di gestione degli ordini (OMS) integrato con i reparti produzione, logistica e vendite. Tradizionalmente, gli accessi al sistema sono gestiti con un approccio perimetro-centrico, dove una volta autenticati e autorizzati all’interno della rete aziendale, i dipendenti possono accedere senza particolari restrizioni alle risorse necessarie per svolgere le loro attività. Questo approccio è in netto contrasto con il principio centrale del modello Zero Trust: il minimo privilegio. Secondo questo principio, ogni utente o dispositivo ha accesso, previa autenticazione, solo alle risorse strettamente necessarie per svolgere le attività assegnate e solo per il tempo necessario.
Con Zero Trust in campo, tutto il personale dovrà essere formato sui nuovi requisiti di sicurezza come l’uso dell’autenticazione a più fattori e sull’importanza di seguire procedure di accesso più rigorose. In questa prospettiva, le politiche di sicurezza, aggiornate per riflettere i principi Zero Trust, dovranno essere adeguatamente comunicate. Uno degli aspetti più sottovalutati – come sottolinea Scattina di Stormshield, è il coinvolgimento sia del personale OT sia di quello IT nel processo di messa in sicurezza dell’impianto. «Ognuno deve dare il proprio contributo per implementare la miglior strategia di difesa possibile. Per quanto possa sembrare scontato, questo è invece uno dei principali ostacoli alla realizzazione di strategie di sicurezza OT efficaci». L’implementazione del modello Zero Trust comporta un cambiamento culturale e operativo significativo per l’azienda. I flussi di lavoro e le procedure esistenti devono essere adattati per conformarsi ai nuovi principi di sicurezza, perciò è importante coinvolgere i dipendenti e i team operativi durante il processo di implementazione per garantire una transizione fluida. Zero Trust infine introduce nuovi strumenti, tecnologie e pratiche che richiedono comprensione approfondita e capacità di operare in modo efficace all’interno del nuovo paradigma di sicurezza. Per farlo, si renderà necessario organizzare sessioni di formazione periodiche per mantenere il personale aggiornato sulle ultime pratiche e strumenti di sicurezza Zero Trust. Inutile dire che tutto questo ha un costo.
ZERO TRUST NEL MONDO REALE
Il framework Zero Trust, sebbene originariamente pensato per l’ambiente IT, può con le opportune modifiche, essere adattato anche agli ambienti industriali. Considerando le caratteristiche degli ambienti OT e la necessità di aprirsi senza esporsi troppo agli attacchi, l’adozione del framework diventa quasi inevitabile – come sottolinea Federica Maria Livelli di CLUSIT. «L’ambiente OT tipico degli ambienti industriali richiede l’implementazione di Zero Trust perché la convergenza con i sistemi IT tradizionali espone le reti OT a una gamma più ampia di minacce informatiche. Convergenza – continua Livelli – che amplifica la superficie di attacco, mettendo i sistemi di controllo industriale e le infrastrutture critiche nel mirino di sofisticati attacchi informatici. Vulnerabilità aggravate dalla necessità di mantenere l’operatività continua».
Inoltre, con la crescita prevista del 5G, dell’intelligenza artificiale e dell’IoT, e il conseguente aumento di dati, nodi connessi e superfici di attacco – la sicurezza offerta dal framework diventerà ancora più cruciale in un mondo sempre più orientato verso architetture cloud e applicazioni in mobilità, tipico delle organizzazioni odierne. Nonostante la mancanza di dati certi, è ragionevole supporre che il numero di organizzazioni con un’architettura OT Zero Trust matura sia ancora piuttosto limitato. Opinione condivisa da Rick Howard, figura di spicco nel campo della cybersecurity, nel suo saggio “Cybersecurity First Principles” (Wiley, 2023). Valutazione del rischio, classificazione degli asset e monitoraggio passivo rappresentano i primi passi nel percorso Zero Trust, generalmente seguiti dalla gestione delle patch e dalla segmentazione della rete.
Una volta che l’organizzazione ha un quadro sufficientemente chiaro delle dinamiche principali nel proprio ambiente, diventa possibile bloccare attività indesiderate come connessioni esterne non autorizzate, accessi a risorse non sicure e traffico non necessario. In un ambiente OT Zero Trust maturo, ogni connessione viene autenticata e autorizzata, ogni comando è convalidato e solo il traffico permesso può attraversare la rete. In un ambiente OT Zero Trust maturo, ogni connessione viene autenticata e autorizzata, ogni comando è verificato e solo il traffico autorizzato può attraversare la rete. Addirittura, secondo alcuni esperti, questo livello di sicurezza sarebbe difficilmente raggiungibile nell’IT, poiché i sistemi IT sono progettati per interagire con gli esseri umani, che troveranno sempre modi per compiere azioni impreviste, mettendo in crisi anche gli algoritmi di sicurezza più avanzati.
In una rete OT ben regolamentata invece, tutti gli input e gli output previsti, interazioni umane comprese, possono essere definiti in anticipo e qualsiasi deviazione dai parametri stabiliti può essere immediatamente rilevata e gestita. Implementare questo livello di sicurezza in architetture datate o semplicemente già esistenti potrebbe essere un processo lento e faticoso, ma per i nuovi progetti con la giusta strategia e le tecnologie adeguate, è possibile progettare architetture e sistemi che supportino il modello Zero Trust fin dalle prime fasi di sviluppo.
GCI System Integrator: Sicurezza Informatica nell’OT
Novanext: Modello Zero Trust nelle reti OT
