Negli ultimi tempi, complici le turbolenze del contesto geopolitico, le minacce e gli attacchi cyber verso le imprese industriali e le infrastrutture critiche sono incrementati sensibilmente.
Nel corso del 2022, l’Italia e le sue aziende manifatturiere figurano tra i primi obiettivi dei cybercriminali con attacchi principalmente di tipo ransomware.
Una situazione che conferma una tendenza in atto già da qualche anno e che, da una parte richiede alle aziende una decisa attenzione alla cybersicurezza - diventata oramai una priorità - e, dall’altra, soluzioni pensate per il mondo OT.
Ne abbiamo parlato con Aldo Di Mattia, Senior Manager Systems Engineering di Fortinet. Si tratta di una tra le prime aziende di cybersecurity al mondo, nota per avere introdotto il primo next generation firewall, un firewall evoluto perché offriva, già vent’anni fa, anche sistemi antiintrusione, antivirus e ispezione contenuti.
Oggi, Fortinet dispone di un’offerta completa di cybersecurity, conta oltre 10mila addetti, ha sedi in diversi Paesi e in Italia è presente a Roma e Milano.
La complessità degli ambienti OT richiede un approccio dedicato
“L’OT sta vivendo, oggi, una condizione che nell’IT è avvenuta qualche decennio fa”, ci dice Di Mattia. “Fino a pochi anni fa i sistemi OT avevano il vantaggio di essere completamente isolati e sconnessi dall’infrastruttura IT dell’azienda e questo era di per sé una grande protezione contro le minacce cyber.
Con l’avvento dell’Industria 4.0 e della successiva convergenza IT/OT, è cambiato tutto, ma le reti OT non erano ancora pronte sul fronte della sicurezza: erano aperte, non cifrate, un po’ come era avvenuto con le reti IT tempo addietro.
Le strutture OT sono per loro natura complesse e critiche: gestiscono gli scambi dei treni, le dighe, l’elettricità. Fare interventi di qualsiasi natura è spesso problematico perché non si possono bloccare.
Atro aspetto da non sottovalutare è che i sistemi OT non sono soggetti all’evoluzione tecnologica come nell’IT; basti pensare che un sistema Scada può vivere per un ventennio, contro i 3/5 anni di un’applicazione IT.
E, considerando che i software di sicurezza non sono facilmente installabili e le patch vengono applicate di rado rispetto agli ambienti IT (meno di una all’anno contro una volta al mese, per rendere l’idea), si creano vulnerabilità che diventano presto note al mondo del cybercrime”.
L’importanza di standard e normative
Non ultimo, i sistemi OT offrono garanzie, in particolare sul fronte della manutenzione, che verrebbero invalidate qualora si mettesse mano alle soluzioni del fornitore OT.
Un grosso problema che potrebbe trovare soluzione solo con l’introduzione di standard e normative. Tra queste la recente Direttiva europea NIS 2 - in vigore da gennaio 2023 e in fase di recepimento nei diversi Paesi – introduce ulteriori obblighi ed estende la platea dei destinatari rispetto alla precedete NIS.
Security Fabric, il framework per la cybersicurezza Fortinet in ottica Mesh
“Per i sistemi OT esistono diverse soluzioni di protezione, in parte simili a quelle per gli ambienti IT, che vanno dai semplici switch per isolare parti di rete, fino all’integrazione di Machine Learning e Intelligenza Artificiale in soluzioni più avanzate”, ci dice Di Mattia.
- La Deception technology è una nuova categoria di sicurezza informatica specializzata nella difesa da attacchi avanzati e sfrutta delle trappole all’interno della rete che consentono di individuare le azioni e i movimenti laterali di un cybercriminale.
- Le sandbox sono, invece, dei meccanismi che permettono di esplodere file all’interno di ambienti virtualizzati dotati anche di Machine Learning e Intelligenza Artificiale ed hanno la capacità di individuare attacchi zero-day (sconosciuti).
- I Siem sono piattaforme che consentono di ricevere log da tutte le soluzioni di sicurezza e di correlarli tra loro per individuare la presenza di un attacco.
- Il Soar è uno strumento che permette di eseguire azioni automatiche, che servono per reagire all’individuazione di un determinato attacco o minaccia, trasferendo all’interno dei vari gruppi la responsabilità su cosa deve essere fatto per gestire l’incidente individuato fino alla risoluzione.
Ebbene, tutte queste soluzioni fanno parte dell’offerta Fortinet Security Fabric e costituiscono una sorta di framework per la cybersicurezza in ottica Mesh.
La Security Mesh Architecture (Csma), secondo Gartner, è un approccio architetturale, per estendere i controlli di sicurezza anche a risorse ampiamente distribuite che consente agli strumenti di sicurezza di integrarsi fornendo un insieme di servizi abilitanti.
Il concetto zero trust
L’utilizzo sempre più diffuso del cloud ha generato la necessità di garantire più sicurezza agli accessi. “Il concetto zero trust nasce proprio per modificare l’approccio iniziale di accessi di persone e postazioni, introducendo sistemi di autenticazione per le persone e di conformità per le postazioni, onde verificare la presenza dei requisiti necessari per utilizzare determinate politiche di sicurezza”, spiega Di Mattia.
Nello zero trust network access, sia all’interno della rete aziendale, di una rete pubblica o di un’abitazione privata, un client verifica la posizione permettendo un’autenticazione su un canale cifrato verso l’organizzazione aziendale. A quel punto è prevista un’autenticazione a più fattori per il soggetto e la compliance della postazione ai requisiti di sicurezza, per verificarne l’idoneità.
L’intelligence con FortiRecon
Altri servizi, ormai diventati indispensabili sono quelli di recognition. “In Fortinet abbiamo un gruppo di esperti che offrono servizi di intelligence su un determinato dominio per verificare - anche attraverso infiltrati nel dark web - se ci sono attività particolari che possano far pensare che un gruppo di cybercrime stia organizzando un potenziale attacco” ci dice Di Mattia.
“I servizi di intelligence sono fondamentali nella fase iniziale di un attacco, ma anche in quella successiva. A volte i clienti scoprono di essere stati attaccati solo dopo che l’attacco è avvenuto. Per esempio, nel caso di dati sottratti, questi possono essere rivenduti, per questo è importante risalire all’attaccante”. La soluzione di recognition è FortiRecon.
Il fattore umano: l’awareness va di pari passo con la formazione
“All’interno di un’architettura di cybersecurity, la componente più vulnerabile resta comunque il fattore umano”, afferma Di Mattia. “Per questo è fondamentale fare formazione sul personale per creare awareness, a partire dalla quotidianità e dalle azioni più banali”.
Seguendo questa visione, Fortinet ha reso gratuita la formazione a livello mondiale a tutti. Per gli studenti vi è anche la possibilità di accedere ai laboratori in modalità cloud e sostenere esami che attestano la formazione. “Questo progetto rientra nella nostra strategia di Social Responsability”, precisa Di Mattia.
Per le aziende, invece, un elemento importante è la parte di awareness training che prevede anche l’attuazione di campagne di phishing per verificare se il training sta producendo vantaggi, oppure se servano azioni di reinforcement.
“Questi test hanno rivelato altissime percentuali di utenti che cliccano senza riconoscere il phishing; tuttavia, dopo il periodo di formazione, le percentuali si sono sensibilmente ridotte”.
La mancanza di competenze è un problema enorme
Restando in ambito di fattore umano, uno dei più grandi problemi è la generalizzata carenza di risorse specializzate in cybersicurezza.
In Italia la maggior parte delle aziende che operano nella cybersecurity, tra cui anche i system integrator, hanno posizioni aperte. L’ACN dovrà assumere centinaia di specialisti in cybersecurity, ma queste figure professionali non ci sono sul mercato. I giovani che escono dalle Università e dagli Its non sono sufficienti a colmare questo gap.
“C’è, inoltre, da considerare un altro aspetto: la grande disparità tra chi attacca e chi subisce un cyberattacco”, commenta Di Mattia a conclusione della chiacchierata. “I cybercriminali fanno solo quello di mestiere e investono sulla specializzazione degli hacker, mentre i loro obiettivi, tra cui le aziende industriali, fanno altro e indirizzano i loro investimenti al settore di attività, inoltre al loro interno c’è solo qualche risorsa skillata in cybersecurity/”
Serve, dunque, un’azione di sensibilizzazione comune per indirizzare le giovani e i giovani a intraprendere un percorso di formazione in cybersicurezza e accrescere così le risorse per l’intero settore.