In risposta alle crescenti sfide e alle minacce sempre più complesse che colpiscono le Operational Technologies (OT) e le infrastrutture critiche, Kaspersky ha aggiornato la sua piattaforma Kaspersky Industrial CyberSecurity (KICS), una soluzione XDR nativa progettata per le realtà industriali
La nuova realtà per i proprietari e gli operatori di infrastrutture industriali è caratterizzata dalla convergenza IT-OT, da normative sempre più stringenti e dall’incremento dei cyberattacchi nel settore. Secondo il Kaspersky ICS CERT, nella seconda metà del 2024, sono stati bloccati elementi dannosi su quasi un quarto (23,5%) dei computer ICS, evidenziando l’urgenza di rafforzare le strategie di cybersecurity e implementare soluzioni affidabili per proteggere asset e processi. Per rispondere a questa esigenza, Kaspersky ha sviluppato le sue soluzioni principali proprio per salvaguardare le imprese industriali.
Kaspersky Industrial CyberSecurity: protezione potenziata per OT e infrastrutture critiche
Il primo aggiornamento significativo riguarda Kaspersky Industrial CyberSecurity (KICS), una piattaforma XDR nativa progettata per proteggere reti e apparecchiature OT da minacce informatiche. Studiata per offrire una protezione completa ai sistemi di automazione e controllo industriale, KICS si suddivide in KICS for Nodes, focalizzata sugli endpoint dei sistemi di controllo, e KICS for Networks, che monitora la sicurezza della rete e protegge i sistemi di automazione dalle minacce provenienti dalla rete.
Grazie alla nuova versione, la piattaforma KICS offre le seguenti funzionalità avanzate:
- Migliore gestione della configurazione e delle modifiche per l’infrastruttura OT
KICS consente l’analisi delle impostazioni di sicurezza e il monitoraggio delle modifiche attraverso il polling agent-based o agentless per host Windows e Linux, dispositivi di rete e PLC per rilevare le configurazioni. Per tutti i tipi di asset supportati viene fornito un set predefinito di configurazioni, che può essere rilevato manualmente o in modalità programmata. L’archivio delle configurazioni acquisite è sempre disponibile per la revisione e può essere utilizzato per monitorare le modifiche e analizzare le discrepanze identificate.
- Nuovi asset per migliorare il contesto durante le analisi degli incidenti
KICS for Networks supporta ora la rilevazione e l’aggregazione di altre tipologie di risorse, tra cui software installato, patch, utenti locali e file eseguibili rilevati. Quando KICS for Nodes è installato su un host (sia su Windows che su Linux), trasmette automaticamente queste informazioni a KICS for Networks con aggiornamenti periodici. Questo consente la gestione automatica delle modifiche e gli avvisi quando vengono rilevate anomalie. Gli elenchi aggregati di software e utenti semplificano notevolmente il processo di indagine sugli incidenti, consentendo ai professionisti della sicurezza di identificare facilmente tutti gli host con eseguibili sospetti o di rilevare azioni specifiche degli utenti negli eventi registrati.
- Polling attivo programmato e visualizzazione automatica della topologia di rete
KICS fornisce una mappa topologica che visualizza informazioni in tempo reale sulle connessioni degli asset e gestisce le modifiche allo stato di sicurezza per i dispositivi agentless, come computer e switch. Le attività di polling attivo supportano la pianificazione, per automatizzare la creazione di questa mappa e mantenere aggiornati i dati di connessione, gli attributi degli asset e le impostazioni di sicurezza. Ogni esecuzione pianificata è completata da un report dettagliato che include i risultati della query e gli eventuali problemi identificati.
- Miglioramento delle capacità di rilevamento delle anomalie nelle sottostazioni digitali
KICS for Networks supporta l’importazione di file SCD (Substation Configuration Description) per analizzare le configurazioni, l’estrazione degli attributi degli asset e la revisione delle impostazioni IEC 61850. Fornisce inoltre un report sugli errori identificati e sulle configurazioni errate. Il monitoraggio delle reti di sottostazione basato sulle configurazioni di riferimento consente di rilevare connessioni di rete non autorizzate, attività anomale e guasti o errori nelle comunicazioni IEC 61850. Questo indica un funzionamento improprio o una configurazione errata delle apparecchiature.
- Sensore SD-WAN per il monitoraggio del traffico delle reti OT in siti geograficamente distribuiti
L’aggiornamento del KICS offre una nuova architettura per le infrastrutture geograficamente distribuite, consentendo di supportare fino a 100 punti di monitoraggio su un singolo nodo KICS for Networks. Quando i sensori KICS for Networks non possono essere collocati in siti remoti a causa delle dimensioni delle apparecchiature o dei limiti di connettività, il traffico dai siti remoti può essere trasferito direttamente a un nodo KICS for Networks situato in un ufficio centrale. Le tecnologie SD-WAN offrono opzioni illimitate per la creazione di nuove reti geografiche software-defined tra le diverse filiali dell’azienda, consentendo la trasmissione di copie di traffico industriale dallo switch di origine al nodo di monitoraggio.
- Portable Scanner aggiornato con funzionalità di audit, inventario e ispezione migliorate
KICS Portable Scanner migliora le capacità di ispezione degli host con nuove tecnologie di scansione come l’inventario degli host, le scansioni per le vulnerabilità, la conformità e l’ispezione delle impostazioni di sicurezza, e l’identificazione del traffico, che può anche essere configurato per una classica scansione antivirus nella fase di scrittura dell’unità USB. Lo scanner portatile ora supporta anche la scansione antimalware degli host Windows 2000 SP4.
Kaspersky MDR for ICS: supporto esteso per la sicurezza in ambienti con risorse interne limitate
Un altro importante aggiornamento riguarda il servizio Kaspersky Managed Detection and Response (MDR), pensato per le realtà industriali con limitate risorse interne. Attraverso questo servizio, Kaspersky offre competenze di alto livello nel monitoraggio, rilevamento e analisi delle minacce, permettendo alle aziende di contrastare attacchi sempre più complessi. Il servizio aiuta anche a ottimizzare le risorse interne, offrendo un supporto cruciale nella gestione della cybersecurity.
“Il nostro obiettivo è aiutare i clienti a ottenere una protezione più efficace e integrata per i loro asset IT e OT. Con la nuova release di KICS, abbiamo introdotto funzionalità che consentono di rafforzare le infrastrutture critiche, migliorano la visibilità degli asset nelle reti industriali e semplificano l’implementazione di reti OT geograficamente distribuite. Inoltre, abbiamo semplificato il nostro servizio MDR, permettendo alle aziende di collaborare a stretto contatto con gli esperti del nostro SOC interno per prevenire attacchi e ricevere consigli mirati”, ha commentato Andrey Strelkov, Head of the Industrial Cybersecurity Product Line di Kaspersky.