Difendetevi dagli attacchi con la segmentazione della rete

Una rete aperta e non segmentata è una porta spalancata ai cyber attacchi.

Se un hacker trova un punto di accesso vulnerabile e riesce a sfruttarlo, può letteralmente fare razzie nel vostro ambiente. Può anche usare quel punto come varco per accedere a una parte più grande della rete e, potenzialmente, a qualunque risorsa ad essa collegata – progetti di prodotti, ricette, controlli macchine, dati finanziari.

E non sono solo le minacce esterne a rappresentare un pericolo per le reti non ripartite. Esistono anche minacce interne, ad esempio dipendenti insoddisfatti o errori umani (comprese le modifiche errate ai sistemi) che possono provocare gravi danni se non vengono controllate da un perimetro protetto o da altre forme di limitazione degli accessi.

Ecco perché la segmentazione della rete dovrebbe far parte della strategia di sicurezza industriale di qualsiasi azienda.

La segmentazione divide la rete in una serie di reti più piccole e permette di definire un insieme di zone di sicurezza. In questo modo è possibile limitare gli accessi esterni non autorizzati e circoscrivere i potenziali danni. Allo stesso tempo, è possibile limitare l'accesso dei dipendenti e dei partner solo ai dati, agli asset e alle applicazioni di cui ognuno necessita per le proprie attività.

Livelli di segmentazion

La segmentazione della rete viene normalmente attuata mediante LAN virtuali, o VLAN. Si tratta di domini esistenti all'interno di una rete commutata. Questi domini permettono di segmentare la rete a livello logico – ad esempio per funzione, per applicazione o per organizzazione – anziché a livello fisico.

Le VLAN possono proteggere i dispositivi e i dati in due modi. In primo luogo, è possibile bloccare le comunicazioni tra i dispositivi residenti in determinate VLAN e i dispositivi appartenenti ad altre VLAN. In secondo luogo, è possibile usare uno switch di livello 3 o un router con funzionalità di filtro e sicurezza per proteggere le comunicazioni dei dispositivi che "si parlano" tra una VLAN e un'altra.

Tuttavia, benché le VLAN rappresentino un elemento importante per la segmentazione, esistono anche altre soluzioni. Ad esempio, è buona norma adottare altri metodi di segmentazione ai diversi livelli dell'architettura di rete.

Un esempio può essere l'uso di un IDMZ (industrial demilitarized zone) che crei una barriera tra la zona dell'azienda e una zona di produzione o industriale. Tutto il traffico tra le due zone sarà bloccato da quella barriera, mentre i dati potranno continuare ad essere condivisi in piena sicurezza.

Altri metodi di segmentazione che vale la pena di considerare sono le liste di controllo degli accessi (ACL), i firewall, le VPN (Virtual Private Network), gli sbarramenti a senso unico e i servizi di protezione e rilevamento delle intrusioni (IPS/IDS).

Un approccio olistico

Quando si implementa un sistema di segmentazione della rete, è importante considerare come sarà applicato nell'intera organizzazione.

Alcune aziende creano un firewall dedicato in ogni stabilimento. Questo approccio, tuttavia, può portare alla formazione di “isole” di sicurezza separate. I diversi siti avranno firewall differenti, e questo renderà difficile implementarli in modo uniforme o gestirli a livello centrale.

È anche importante pensare alla segmentazione in vista delle esigenze a lungo termine dell'azienda.

Le soluzioni di sicurezza dedicate sono spesso troppo rigide – può darsi che soddisfino le esigenze attuali dell'azienda, ma in futuro potrebbe risultare difficile adattarle o farle evolvere secondo nuove necessità operative o di sicurezza. Inoltre, le soluzioni dedicate tendono a basarsi sulle competenze di un numero ristretto di collaboratori che, se dovessero lasciare l'azienda, porterebbero con sé informazioni cruciali sulla sicurezza e la manutenzione del sistema.

Le soluzioni implementate per la segmentazione della rete dovrebbero essere sufficientemente flessibili da poter essere espanse in funzione delle attività aziendale. Dovrebbero inoltre essere standardizzate, in modo da poter essere utilizzate e manutenute dai dipendenti designati in qualsiasi sito.

Risorse di assistenza

La segmentazione della rete è un concetto molto noto in ambito IT, ma fatica ancora a prendere piede nel mondo industriale. Implementandola, le aziende si accorgono delle problematiche che accompagnano la sua applicazione in un'intera Connected Enterprise, ad esempio per quanto riguarda la gestione dei dati segmentati e la loro espansione in funzione delle attività produttive.

Se non siete certi da dove iniziare o sul metodo di segmentazione da adottare, esistono varie risorse utili disponibili gratuitamente.

Le guide del Converged Plantwide Ethernet (CPwE) possono rappresentare un buon punto di partenza. Le guide su argomenti quali IDMZ, firewall industriali e connettività possono essere d'aiuto per implementare la segmentazione usando le tecnologie più recenti e le best practice del settore.

Queste guide vengono redatte e verificate congiuntamente da Rockwell Automation e Cisco, e costituiscono la base per altri prodotti e servizi collaborativi orientati alla segmentazione e alla protezione delle reti. Offriamo inoltre corsi di formazione, servizi e tecnologie per l'implementazione e la protezione delle reti.