Loading
Blog

Checklist per la sicurezza degli endpoint dei sistemi OT

In che modo le organizzazioni industriali possono utilizzare un approccio basato sul rischio per proteggere gli endpoint OT ed eliminare le criticità relative alla sicurezza.
Foto di uno specialista IT che lavora a un progetto globale utilizzando un laptop per testare la versione alpha di un software di nuova concezione, verifica la presenza di bug ed esegue il debug del codice script

All'interno di molte imprese industriali di oggi sono presenti numerosi dispositivi endpoint che non vengono tracciati o monitorati.

La maggior parte di questi viene utilizzata da molti anni in produzione. In conseguenza di ciò, molte aziende non hanno ancora una “visione” chiara delle attività IT e OT, e gli endpoint potenzialmente più esposti rimangono vulnerabili agli attacchi informatici. Tutto questo, insieme all'aumentata connettività delle operazioni OT e alla continua carenza di competenze/risorse, sta contribuendo all'aumento dei rischi nel settore industriale.

Sebbene non sia possibile colmare tutte le falle di sicurezza dei sistemi OT, è possibile adottare un approccio basato sul rischio per proteggere rapidamente gli endpoint in base alle vulnerabilità di sicurezza più critiche presenti all’interno della propria azienda. La nostra checklist in quattro fasi per la sicurezza degli endpoint può aiutarvi a creare un piano di sicurezza personalizzato basato sul rischio al fine di rafforzare le protezioni di sicurezza informatica della vostra organizzazione.

Passo 1: Avere visibilità su tutti gli endpoint collegati alle vostre reti.

Come ogni esperto di cybersecurity sa bene, non è possibile proteggere ciò che non si vede. Se siete nuovi nel campo della sicurezza informatica industriale, colmare le lacune di visibilità è il primo passo fondamentale da compiere. In questa fase, dovete personalizzare le protezioni in base ai requisiti specifici della vostra azienda, il che potrebbe richiedere di:

  • Automatizzare il rilevamento degli asset sulla rete. Una piattaforma automatizzata consente di ottenere un inventario in tempo reale di qualsiasi dispositivo all’interno di un segmento di rete; non solo dei dispositivi tradizionali basati su IP, ma anche degli asset ICS di livello inferiore.
  • Ridurre al minimo le interruzioni. Cercate soluzioni in grado di eseguire un rilevamento approfondito degli asset senza influire sulla disponibilità della rete o sui tempi di operatività.
  • Esaminare l'architettura della rete. Se i prodotti di sicurezza permettono di migliorare la postura di sicurezza, disporre di un'architettura di rete adeguata è un elemento fondamentale per consentire a questi strumenti di funzionare al meglio.
  • Implementare un dashboard centralizzato per gli endpoint. Il dashboard visualizzerà chiaramente i dati più importanti, come gli endpoint senza patch.
  • Ricevere avvisi in tempo reale sulle attività sospette. Se un endpoint accede dove non è autorizzato, è necessario saperlo immediatamente.
  • Fornire le informazioni giuste alle persone giuste. I dirigenti di alto livello hanno bisogno di dati generali, mentre i tecnici potrebbero aver bisogno di analisi più approfondite per ottenere maggiori informazioni contestuali.
  • Adottare un approccio vendor-neutral. Un sistema di gestione degli endpoint indipendente dal fornitore fornisce un contesto unificato per il profilo di rischio.
  • Pensare in modo olistico. Cercate di coprire tutti i sistemi, non solo gli endpoint, i controlli di livello superiore e i dispositivi collegati a Internet. Un approccio olistico alla sicurezza degli endpoint deve focalizzarsi su tutti gli aspetti del vostro ambiente, fino al livello IO più basso, e deve considerare altri fattori quali stato del ciclo di vita, disponibilità dei ricambi, garanzia e tempi di consegna.

Passo 2: Classificare le priorità dei problemi utilizzando un approccio basato sul rischio.

Un’analisi dei rischi può aiutarvi a identificare e assegnare la priorità ai rischi in base a quali possono avere il maggiore impatto sulla vostra azienda. Di seguito sono riportate alcune misure che è possibile adottare per valutare e ridurre i rischi:

  • Determinate cosa significa “buono” per ogni endpoint. Acquisite dati come l’accesso agli endpoint, i programmi/file a cui si accede comunemente, gli account utente e lo stato delle patch per stabilire una base di riferimento.
  • Implementate un sistema di monitoraggio continuo e in tempo reale. Monitorate costantemente gli endpoint per rilevare eventuali deviazioni dal comportamento normale e identificare rapidamente possibili minacce.
  • Configurate gli avvisi di sicurezza in modo che siano adeguati alle pratiche operative. Evitate un numero eccessivo di avvisi ottimizzando i vostri sistemi sulla base dei normali modelli comportamentali del vostro ambiente specifico.
  • Allineatevi agli standard normativi di base. Assicuratevi che il vostro piano di mitigazione per gli endpoint sia conforme ai requisiti normativi del settore e a quelli governativi.
  • Classificate i problemi della sicurezza in base ai rischi maggiori. Solo perché qualcosa è vulnerabile non significa che il vostro ambiente OT lo sia. Eseguite un’analisi dei rischi per definire le priorità di sicurezza degli endpoint e mitigare il rischio complessivo, riducendo al minimo l'impatto sulle vostre risorse.

Passo 3: Implementare ulteriori protezioni per la rete e gli endpoint. 

Rafforzare l'ambiente OT significa aggiungere ulteriori livelli di difesa per proteggere gli endpoint e migliorare il livello di sicurezza complessivo. Alcune opzioni includono:

  • Implementate politiche Zero Trust. Autenticate costantemente e dinamicamente i dispositivi, dall’interno e dall’esterno, prima che possano accedere alla rete.
  • Segmentate la rete. La segmentazione della rete limita le azioni che gli hacker possono intraprendere se penetrano nel vostro ambiente.
  • Installate un firewall. I firewall proteggono il perimetro della rete esterna, impedendo il traffico non autorizzato in entrata o uscita.
  • Create un'area protetta per i dati critici. L’aggiunta di un firewall tra gli asset critici e la rete locale (LAN) riduce la superficie di attacco in caso di accesso da parte di un aggressore.
  • Create zone demilitarizzate (DMZ). Installate le applicazioni che devono comunicare con il mondo esterno, ad esempio una piattaforma EDR (Endpoint Detection and Response) abilitata per il cloud, in una DMZ per evitare accessi non autorizzati.
  • Utilizzate i firewall insieme a una DMZ. Ciò crea una protezione aggiuntiva se un aggressore penetra nella DMZ.
  • Utilizzate postazioni di sicurezza USB. Prima di collegare i dispositivi USB al vostro ambiente operativo, scansionateli per rilevare eventuali minacce su terminali dedicati.
  • Pianificate il processo di disaster recovery. Gli incidenti causati da violazioni sono inevitabili negli ambienti moderni. Preparatevi con un piano di disaster recovery, incluso il backup dei dati, e verificatelo periodicamente.

Passo 4: Stabilire procedure di sicurezza sistematiche degli endpoint.

Avete implementato i sistemi e i processi fondamentali? Adesso concentratevi sul miglioramento e il perfezionamento delle strategie. Considerate le seguenti ulteriori attività:

  • Eseguite un inventario degli asset più frequente. La velocità degli attacchi e l'evoluzione delle minacce stanno aumentando molto rapidamente. Un inventario degli asset su base trimestrale o anche mensile potrebbe non essere più sufficiente.
  • Automatizzate la gestione delle patch. Sollevate il vostro team della sicurezza da questo compito noioso e dispendioso in termini di tempo per migliorare l'efficienza.
  • Monitorate le minacce 24 ore su 24, 7 giorni su 7. I criminali informatici non si fermano mai, e neanche voi dovreste farlo. Monitorate le minacce 24/7 con una piattaforma come un EDR, in modo da agire rapidamente.
  • Create un piano di risposta agli incidenti. Una cosa da evitare è pensare a come reagire a un incidente mentre si è nel bel mezzo dell’incidente. Un piano di risposta agli incidenti stabilisce in anticipo un processo passo dopo passo. Se le vostre risorse interne sono limitate, rivolgetevi a un fornitore di servizi di sicurezza come Rockwell Automation.
  • Ribadite l’importanza della sicurezza. Promuovete un approccio collaborativo tra i vostri team della sicurezza e quelli della produzione. Ciò permetterà di migliorare la cultura della sicurezza e darà al personale dell’impianto una maggiore responsabilità sotto questo aspetto.

Le tradizionali misure di sicurezza IT da sole non sono sufficienti a proteggere gli ambienti OT. I sistemi OT hanno requisiti, vincoli e rischi specifici che devono essere affrontati attraverso un approccio dedicato. Sebbene l'adozione delle best practice di sicurezza IT rappresenti sicuramente un aspetto positivo, è fondamentale adottare una strategia di cybersecurity olistica personalizzata in base alle esigenze specifiche della vostra infrastruttura OT.

La protezione degli endpoint OT, come i sistemi di controllo industriale (ICS), i sistemi di supervisione e acquisizione dati (SCADA) e altri asset operativi critici, richiede una profonda comprensione dell'ambiente operativo, dei potenziali vettori di attacco e dell'impatto delle misure di sicurezza sulla disponibilità e sulle prestazioni del sistema.

Oltre a implementare gli strumenti e le tecnologie di sicurezza appropriati, è essenziale stabilire politiche, procedure e modelli di governance solidi in linea con gli standard del settore e con i requisiti normativi specifici del vostro ambiente OT. Ciò include l’implementazione di misure come la segmentazione della rete, l’accesso remoto sicuro, la gestione delle patch e la pianificazione della risposta agli incidenti.

Collaborare con un'azienda OT esperta in cybersecurity e specializzata in sistemi di controllo industriale può essere prezioso in questo processo. Un partner può fornire una guida esperta per lo sviluppo e l’implementazione di un programma completo di sicurezza informatica OT per affrontare le sfide e i fattori di rischio specifici del vostro ambiente operativo. Le competenze di tale partner possono aiutare a colmare il divario tra sicurezza IT e OT, in modo che i vostri sistemi critici siano adeguatamente protetti senza compromettere la vostra integrità e resilienza operativa.

Contattate Rockwell Automation qui per stare al passo con i cambiamenti.

Pubblicato 30 maggio 2024

Matt Cameron
Matt Cameron
Global Product Manager, Cybersecurity Services, Rockwell Automation
Matt Cameron joined Rockwell Automation in 2016, holding various positions of increasing responsibility in both engineering and leadership roles. Matt currently manages several cybersecurity offerings in the Rockwell Automation global portfolio. His primary responsibilities include helping increase Rockwell Automation’s speed to market, driving continued differentiation of Rockwell Automation’s offerings, executing the product line roadmap, and serving as a customer advocate within the larger organization.
Steven Taylor
Steven Taylor
Sr. Global Product Manager, Cybersecurity Services, Rockwell Automation
Steven Taylor joined Rockwell Automation in 2014, and has held various positions from Field Service, Product Development, Marketing, Service Development, and most recently Engineering Team Lead for Workforce and Asset Optimization Services. Currently, Steven holds responsibility for Rockwell Automation Risk and Vulnerability Management Services. His primary responsibilities include integrating the recently acquired Verve solutions into the broader Cybersecurity Services portfolio.
Iscrivetevi

Registratevi su Rockwell Automation per ricevere informazioni e novità direttamente al vostro indirizzo e-mail.

Iscrivetevi
Consigliato per voi
Loading