Funzionalità sponsorizzata La connettività Internet ha cambiato tutto, compresi gli ambienti industriali della vecchia scuola. Man mano che le aziende modernizzano le loro operazioni, connettono più macchinari al web. È una situazione che crea problemi di sicurezza chiari e attuali e il settore ha bisogno di nuovi approcci per affrontarli.
L'adozione di Industrial Internet of Things (IIoT) sta accelerando. Ricerca di Inmarsat ha rilevato che il 77% delle organizzazioni intervistate ha implementato completamente almeno un progetto IIoT, di cui il 41% tra il secondo trimestre del 2020 e il 2021.
La stessa ricerca ha anche avvertito che la sicurezza era una preoccupazione primaria per le aziende che intraprendevano implementazioni IIoT, con il 54% degli intervistati che si lamentava di aver impedito loro di utilizzare i propri dati in modo efficace. La metà ha anche citato il rischio di attacchi informatici esterni come un problema.
Le soluzioni IIoT sono fondamentali per la convergenza di IT e OT (tecnologia operativa). Le piattaforme OT, spesso sistemi di controllo industriale (ICS), aiutano le aziende a gestire i loro dispositivi fisici come presse e nastri trasportatori che alimentano la produzione manifatturiera o le valvole e le pompe che mantengono il flusso dell'acqua municipale.
In tal modo generano enormi quantità di dati utili per scopi di analisi. Ma ottenere tali informazioni negli strumenti aziendali appropriati significa colmare il divario tra IT e OT.
Gli operatori vogliono anche che quei sistemi OT siano accessibili da remoto. Dare alle applicazioni IT convenzionali la capacità di controllare tali dispositivi significa che possono essere collegati agli stessi processi di back-end definiti nei sistemi IT. E consentire l'accesso remoto per i tecnici che non possono o non vogliono fare un viaggio di andata e ritorno di più chilometri solo per apportare una modifica operativa può anche far risparmiare tempo e denaro.
Questa necessità di accesso remoto si è acuita durante la crisi del COVID-19, quando il distanziamento sociale e le restrizioni di viaggio hanno impedito ai tecnici di effettuare visite in loco. Inmarsat ha scoperto che la pandemia è stata una delle cause principali dell'adozione accelerata dell'IIoT, ad esempio, con l'84% che ha riferito di avere o accelererà i propri progetti come risposta diretta alla pandemia.
Quindi, per molti, la convergenza di IT e OT è più che conveniente; è essenziale. Ma ha anche creato una tempesta perfetta per i team di sicurezza. Un sistema ICS accessibile dall'esterno e accessibile aumenta la superficie di attacco per gli hacker.
Attacchi ICS in azione
A volte quella convergenza IT/OT può essere semplice come qualcuno che installa un software di accesso remoto su un PC in una struttura. Questo è il set up che permesso hacker per accedere ai sistemi di controllo tramite l'installazione di uno strumento di accesso remoto presso l'impianto idrico municipale di Oldsmar, in Florida, nel 2021 prima di tentare di avvelenare i residenti locali con idrossido di sodio. Il PC che l'attaccante ha compromesso aveva accesso alle apparecchiature OT dell'impianto. Lo sceriffo della città ha riferito che l'intruso invisibile aveva trascinato il cursore del mouse davanti a uno dei suoi lavoratori.
Non è chiaro cosa abbia indotto gli hacker a tentare di avvelenare innocenti floridiani, ma alcuni attacchi hanno motivi finanziari. Un esempio è il ransomware EKANS che attacca ha colpito la Honda nel giugno 2020, chiudendo le attività di produzione nel Regno Unito, negli Stati Uniti e in Turchia.
Gli aggressori hanno utilizzato il ransomware EKANS per prendere di mira i server interni dell'azienda, causando gravi interruzioni ai suoi impianti. In un . dell'attacco, la società di sicurezza informatica Darktrace ha spiegato che EKANS era un nuovo tipo di ransomware. I sistemi ransomware che prendono di mira le reti OT normalmente lo fanno colpendo prima le apparecchiature IT e poi ruotando. EKANS è relativamente raro in quanto prende di mira direttamente l'infrastruttura ICS. Può indirizzare fino a 64 sistemi ICS specifici nella sua kill chain.
Gli esperti ritengono che altri attacchi ICS siano sponsorizzati dallo stato. Il malware Triton, diretto per la prima volta agli impianti petrolchimici nel 2017, lo è ancora una minaccia secondo l'FBI, che attribuisce gli attacchi a gruppi russi sostenuti dallo stato. Questo malware è particolarmente dannoso, secondo il Bureau, perché ha consentito danni fisici, impatto ambientale e perdita di vite umane.
Le soluzioni di sicurezza standard non funzioneranno qui
Gli approcci tradizionali alla sicurezza informatica non sono efficaci nel risolvere queste vulnerabilità OT. Le aziende potrebbero utilizzare strumenti di sicurezza degli endpoint, incluso l'anti-malware per proteggere i propri PC. Ma cosa accadrebbe se l'endpoint fosse un controller logico programmabile, una videocamera abilitata all'intelligenza artificiale o una lampadina? Questi dispositivi spesso non hanno la capacità di eseguire agenti software in grado di controllare i loro processi interni. Alcuni potrebbero non avere CPU o strutture di archiviazione dati.
Anche se un dispositivo IIoT avesse la larghezza di banda di elaborazione e le capacità di alimentazione per supportare un agente di sicurezza integrato, è improbabile che i sistemi operativi personalizzati che utilizzano supportino soluzioni generiche. Gli ambienti IIoT utilizzano spesso più tipi di dispositivi di fornitori diversi, creando un portafoglio diversificato di sistemi non standard.
Poi c'è la questione della scala e della distribuzione. Amministratori e professionisti della sicurezza abituati a gestire migliaia di PC standard su una rete troveranno un ambiente IIoT, in cui i sensori possono essere centinaia di migliaia, molto diversi. Possono anche diffondersi su una vasta area, soprattutto quando gli ambienti di edge computing guadagnano terreno. Potrebbero limitare le loro connessioni alla rete in alcuni ambienti più remoti per risparmiare energia.
Valutazione dei tradizionali framework di protezione ICS
Se le configurazioni di sicurezza IT convenzionali non sono in grado di gestire queste sfide, allora forse le alternative incentrate su OT possono farlo? Il modello standard di riferimento è il modello di sicurezza informatica Purdue. Creato alla Purdue University e adottato dalla International Society of Automation come parte del suo standard ISA 99, definisce più livelli che descrivono l'ambiente IT e ICS.
Il livello zero riguarda le macchine fisiche: torni, presse industriali, valvole e pompe che fanno le cose. Il livello successivo coinvolge i dispositivi intelligenti che manipolano quelle macchine. Questi sono i sensori che trasmettono informazioni dalle macchine fisiche e dagli attuatori che le guidano. Poi troviamo i sistemi di controllo di supervisione e acquisizione dati (SCADA) che sovrintendono a quelle macchine, come i controllori logici programmabili.
Questi dispositivi si collegano ai sistemi di gestione delle operazioni di produzione al livello successivo, che eseguono flussi di lavoro industriali. Queste macchine assicurano che l'impianto continui a funzionare in modo ottimale e registrano i suoi dati operativi.
Ai livelli superiori del modello Purdue ci sono i sistemi aziendali che rientrano esattamente nel regno dell'IT. Il primo livello qui contiene le applicazioni specifiche della produzione come la pianificazione delle risorse aziendali che gestisce la logistica di produzione. Quindi al livello più alto c'è la rete IT, che raccoglie i dati dai sistemi ICS per guidare il reporting aziendale e il processo decisionale.
Ai vecchi tempi, quando nulla parlava di nulla al di fuori della rete, era più facile gestire gli ambienti ICS utilizzando questo approccio perché gli amministratori potevano segmentare la rete lungo i suoi confini.
Un livello di zona demilitarizzata (DMZ) è stato deliberatamente aggiunto per supportare questo tipo di segmentazione, posizionato tra i due livelli aziendali e i livelli ICS più in basso nello stack. Agisce come un divario d'aria tra l'azienda e i domini ICS, utilizzando apparecchiature di sicurezza come i firewall per controllare il traffico che passa tra di loro.
Non tutti gli ambienti IT/OT avranno questo livello, dato che ISA lo ha introdotto solo di recente. Anche quelli che affrontano sfide.
Gli ambienti operativi odierni sono diversi da quelli degli anni '1990, quando il modello Purdue si è evoluto per la prima volta e il cloud come sappiamo non esisteva. Gli ingegneri desiderano accedere direttamente alle operazioni di gestione in loco o ai sistemi SCADA. I fornitori potrebbero voler monitorare i propri dispositivi intelligenti presso le sedi dei clienti direttamente da Internet. Alcune aziende desiderano trasferire l'intero livello SCADA nel cloud, come Severn Trent Water deciso da fare nel 2020.
L'evoluzione di ICS come servizio (ICSaaS), gestito da terze parti, ha ulteriormente confuso le acque per i team di sicurezza alle prese con la convergenza IT/OT. Tutti questi fattori rischiano di aprire molteplici buchi nell'ambiente e di aggirare qualsiasi precedente sforzo di segmentazione.
Tagliando attraverso l'intero pasticcio aggrovigliato
Al contrario, alcune aziende stanno adottando nuovi approcci che vanno oltre la segmentazione. Anziché fare affidamento su limiti di rete che scompaiono rapidamente, esaminano il traffico a livello di dispositivo in tempo reale. Questo non è lontano dalle proposte originali di deperimetrazione avanzate dal Forum di Jericho dell'Open Group nei primi anni 'XNUMX, ma analizzare il traffico in così tanti punti diversi della rete era allora difficile. Oggi i difensori sono in grado di tenere d'occhio meglio grazie all'avvento dell'IA.
Darktrace lo è l'applicazione di alcuni di questi concetti all'interno del suo sistema immunitario industriale. Invece di cercare firme dannose note ai confini dei segmenti di rete, inizia imparando ciò che è normale ovunque nell'ambiente IT e OT, comprese le parti di quell'ambiente ospitate nel cloud.
Stabilendo una linea di base in evoluzione della normalità, il servizio analizza quindi tutto il traffico per le attività che non rientrano in esso. Può avvisare gli amministratori e gli analisti della sicurezza di questi problemi, poiché ha fatto per un cliente manifatturiero europeo.
Il servizio è anche autonomo. Quando un cliente si fida abbastanza delle sue decisioni da far scattare l'interruttore, il sistema immunitario può passare dal semplice avviso all'adozione di un'azione proporzionale. Ciò potrebbe significare bloccare determinate forme di traffico, imporre il normale comportamento di un dispositivo o, nei casi più gravi, mettere in quarantena del tutto i sistemi, comprese le apparecchiature nei livelli OT/ICS.
I dirigenti di Darktrace sperano che questo passaggio a un modello più granulare di analisi del traffico costante e onnipresente, combinato con una valutazione in tempo reale rispetto al comportamento normale noto, aiuterà a contrastare la marea crescente di attacchi informatici ICS. Si spera che consentirà anche alle aziende di diventare più agili, supportando l'accesso remoto e le iniziative ICS basate su cloud. In futuro, non dovrai rischiare che qualcuno spenga le luci nella tua missione per tenerle accese.
Sponsorizzato da Darktrace
- AI
- oh arte
- generatore d'arte
- un robot
- intelligenza artificiale
- certificazione di intelligenza artificiale
- intelligenza artificiale nel settore bancario
- robot di intelligenza artificiale
- robot di intelligenza artificiale
- software di intelligenza artificiale
- blockchain
- conferenza blockchain ai
- geniale
- intelligenza artificiale conversazionale
- criptoconferenza ai
- dall's
- apprendimento profondo
- google ai
- machine learning
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- scala ai
- sintassi
- Il registro
- zefiro
