L’importanza di un IDMZ in un mondo senza perimetri

Nel corso dell’ultimo decennio, tutti i produttori si sono sforzati, chi prima e chi poi, di cercare il modo migliore per proteggere il sistema di controllo industriale (SCI) e i dati, le tecnologie, la progettazione e i prodotti che fanno parte di questi settori. Un SCI deve comunicare con i sistemi aziendali, ma con l’evoluzione del paradigma della sicurezza della rete, come fanno i produttori a tenere il passo?

La catena logistica, la gestione dell’energia, i test di laboratorio, la manutenzione, la raccolta dei dati normativi e i sistemi aziendali di gestione della produttività richiedono i dati dei sistemi di produzione. Le tecnologie di base e i protocolli utilizzati da questi sistemi per il recupero dei dati coinvolgono diversi tipi di database, server su web, accesso remoto e trasferimenti dei file. Pertanto, per proteggere un SCI dai rischi di sicurezza dei sistemi aziendali, il metodo migliore è stato quello di creare un confine nell’ambito della sicurezza che separa i sistemi aziendali dal CSI, denominato Zona demilitarizzata industriale (IDMZ).

Che cos’è un IDMZ?

Un IDMZ è un limite che esiste per creare un buffer tra i sistemi aziendali e i sistemi di controllo industriale in uno stabilimento per la produzione o per i processi che hanno diversi requisiti di sicurezza e nessuna fiducia inerente reciproca. Questo limite utilizza i controlli per la sicurezza della rete e delle applicazioni per gestire il flusso di dati tra zone non attendibili.

In passato, la sicurezza informatica esisteva in un mondo completamente “murato” fisicamente parlando. Successivamente, nel 2006, con poco preavviso o clamore, si creò una nuova modalità di archiviazione dei dati. Il cloud pubblico, un server fornito da terzi e una infrastruttura di rete su internet (AWS, Microsoft Azure, Google Cloud, IBM Cloud), ha cambiato il modo in cui le organizzazioni IT archiviano i dati e gestiscono i loro carichi di lavoro complessi. Molte organizzazioni IT utilizzano un cloud ibrido che combina i servizi su cloud con l’infrastruttura del server locale. Mentre l’infrastruttura della rete pubblica e il cloud pubblico diventano sempre più affidabili, l’archiviazione e l’elaborazione vengono esternalizzati a fornitori terzi di servizi pubblici su cloud.

In seguito, il cloud pubblico si sarebbe convertito inevitabilmente nel sistema di archiviazione di scelta per le organizzazioni IT. Un tempo le grandi room del server erano riservate ai server fisici rack da pavimento a soffitto. Le pareti di queste room rappresentano la quasi totalità della sicurezza IT: il perimetro firewall. Il cloud ibrido non solo ha ridotto l’esigenza dello spazio di archiviazione del server fisico, ma ha aumentato queste room tramite la virtualizzazione. Il firewall esiste ancora; tuttavia se una grande porzione o l’intera archiviazione dei dati e i carichi di lavoro complessi esistono al di fuori del firewall, questo significa che il perimetro non è più sufficiente. Al fine di adattarsi al cambiamento dei limiti del perimetro e alle nuove minacce nell’ambito della sicurezza che esistono a causa dell’esposizione a internet nel momento in cui si accede il cloud pubblico, è stato introdotto un nuovo paradigma della sicurezza: Il Modello Zero Trust.  

Che cos’è il Modello Zero Trust?

Il Modello Zero Trust massimizza il principio del privilegio minimo, dove la quantità minima di diritti necessari per eseguire un’attività sono concessi ad un utente o un sistema. Questo principio rafforza una posizione di non fiducia, permettendo solo lo scambio di dati o la comunicazione tra i dispositivi se l’utente, i dati, il computer e la posizione sono autorizzati. Questa visione si discosta dall’antico modello “fidati di tutto quello che è nella mia zona” per passare al modello “non ti fidare di nulla a meno che non possa essere verificato in diversi modi”.

Il panorama CSI si evolve. Gli attacchi ransomware su ampia scala come WannaCry o NotPetya, il sito che si spaccia per affidabile, come pure gli attacchi mirati all’infrastruttura critica utilizzando malware come Crash Override, Triton, o LookBack stanno diventando sempre più comuni. Gli ambienti CSI e i loro amministratori, a prescindere dal loro grado di consapevolezza, hanno sempre fatto affidamento sulla sicurezza del perimetro IT. Anche per coloro che possiedono un IDMZ, la sicurezza del perimetro IT è stata la prima linea di difesa dal resto del mondo. L’IDMZ è stata l’ultima linea di difesa.  Il perimetro IT sta scomparendo quando invece potrebbe essere l’unica linea di difesa.

Un ambiente CSI include il Modello Zero Trust?

Se solo fosse così semplice. Un tipico ambiente IT potrebbe essere complesso, ma avrà alcune caratteristiche comuni:

• Hardware standard del computer con un piano di ciclo di vita
• Sistema operativo standard che viene regolarmente riparato.
• Strumenti software aziendali standard per ufficio
• Identità supportata e soluzione di gestione dell’accesso per utenti e risorse
• Quando si parla di supporto e di aggiornamento, significa che una risorsa si identifica e si difende contro un attacco

Un ambiente CSI comprende centinaia di diversi tipi di prodotti di alcune generazioni fatti da una moltitudine di vendor che comunicano utilizzando diversi protocolli. Queste sono tutte piattaforme hardware che utilizzano il loro firmware e software personalizzati. Anche le soluzioni esclusive per il software sono compatibili solo con i sistemi operativi non aggiornati e, in molti casi, quei sistemi operativi che non sono più supportati. Anche se un sistema utilizza un sistema operativo che riceve ancora delle patch, il personale CSI è sempre riluttante nel seguire questa procedura per il timore che la realizzazione di una patch possa causare tempi di fermo e le loro preoccupazioni non sono infondate.

Pertanto, se un CSI deve esistere “in modo sicuro” in un Modello Zero Trust, le risorse CSI, dovranno preservarsi da sole come comuni risorse IT. Consideriamo tutte le modifiche alle piattaforme e le tecnologie del sistema di controllo richiesta per raggiungere tutto questo:

• Zero Trust trasforma immediatamente il bit da 1 a 0.
• Attualmente, i dispositivi CSI fanno affidamento su qualsiasi cosa in grado di comunicare con loro. Non riescono a verificare l’utente, il dispositivo, l’ubicazione o la ragione per la quale una risorsa sta comunicando con loro o il tipo di oggetti ai quali accede. Da parte loro, non hanno modo di verificare quando iniziano una connessione.
• La maggior parte dei dispositivi CSI non hanno meccanismi di autenticazione o regole, registrazione o amministrazione durante la connessione.
• Non riescono a determinare il momento in cui si trovano sotto una minaccia di attacco o se qualcosa sta cercando di mettersi in contatto con loro in modo anormale.
• Non ci sono tecnologie del comportamento che potrebbero essere in grado di individuare comportamenti che non sono stati rilevati in precedenza o analizzare le conseguenze di azioni multiple.
• Per non parlare del cambiamento culturale richiesto

Ad esempio, anche se un dispositivo CSI richiede l’autenticazione che usa il comune modello nome utente/password, il dispositivo sarà configurato con le credenziali più semplici possibili, condiviso da tutti e restare collegato incessantemente. Dalle tecnologie e le competenze richieste per il personale dell’impianto alla cultura della sicurezza, il monitoraggio e l’amministrazione, tutto quello che riguarda il CSI dovrà cambiare. E il cambiamento dovrà avvenire senza nessun impatto sulla produzione!

Le sfide degli IDMZ

Non tutte le aziende sono pronte a investire su un IDMZ, che può essere difficile da progettare e integrare all’interno dell’OT esistente e dei sistemi di rete IT. Per progettare e realizzare un IDMZ, si richiede un livello di conoscenza da esperti nelle seguenti aree:

• Sicurezza di rete
• Piattaforme firewall e ACL
• Tecnologie dei server virtuali
• Consolidamento dei sistemi.
• Sicurezza delle applicazioni
• Funzionalità e sicurezza del dominio
• Dati sicuri e metodi per il trasferimento dei dati
• Metodi sicuri per l’accesso da remoto
• E l’elenco potrebbe continuare…

Per continuare la sfida, l’IDMZ deve essere supportato da un team con una conoscenza dello stesso livello in questi aspetti per mantenere l’infrastruttura, approvare i cambiamenti di rete e rispondere alle minacce nel settore della sicurezza.

Anche se il sentiero che conduce a un IDMZ non è semplice o poco costoso, vale la pena determinare se è la soluzione giusta per voi. I costi dell’IDMZ sono inferiori rispetto ai costi di quello che proteggono? Se l’IDMZ tutelasse l’intero CSI, sarebbe davvero un buon investimento. Se prendiamo in considerazione l’aumento delle minacce agli ambienti CSI estremamente vulnerabili in un mondo senza muri, al momento è l’unica protezione disponibile per il vostro CSI.

I sistemi di controllo industriale non sono ancora abbastanza maturi per coesistere con una tolleranza ragionevole del rischio per la sicurezza in un mondo senza perimetri. Si raccomanda fortemente la difesa in profondità. Tuttavia, fino a quando questi dispositivi sono in grado di proteggersi e interagire con i sistemi di protezione esterna, un IDMZ resta la migliore difesa per i sistemi di controllo industriale. Per il momento, il “muro interno”, rafforzato da un IDMZ, deve restare attivo.

Scopri di più su come Rockwell Automation può aiutarti a creare e mantenere un IDMZ nell’ambito di un approccio incentrato sulla difesa e la sicurezza di rete.