#116 Un argomento per un approccio olistico alla sicurezza delle infrastrutture critiche
Subscribe to get the latest
on 2022-12-15 00:00:00 +0000
with Darren W Pulsipher, Steve Orrin, Anna Scott,
In questo episodio, Darren parla della convergenza della sicurezza informatica OT e IT con l'esperto di sicurezza Steve Orrin e l'esperta di OT industriale Dr. Anna Scott.
Keywords
#networksecurity #cybersecurity #people #process #policy
C’è una vera minaccia per le infrastrutture critiche.
Secondo il dottor Scott, le organizzazioni di terapia occupazionale utilizzano ancora il tradizionale Modello Purdue, che sfrutta reti isolate dall’aria e separate da firewall. Tuttavia, questo modello sta iniziando a crollare poiché le reti IT e OT si fondono. Le aziende stanno cercando di ottenere una migliore comprensione di ciò che accade nella loro infrastruttura operativa. Di conseguenza, creano delle vulnerabilità nelle reti precedentemente ben isolate, esponendole a minacce informatiche. Inoltre, i criminali informatici stanno trovando modi per aggirare le reti isolate dall’aria e separati da firewall.
Steve sostiene che sfruttare le migliori pratiche IT può aiutare, ma i professionisti OT e i professionisti IT hanno motivazioni e modelli operativi diversi. Continuare ad isolare la propria rete è comunque una buona strategia, ma dovrebbe essere uno tra molti strumenti utilizzati nella protezione della cibersicurezza dell’infrastruttura critica. La sicurezza OT dovrebbe prendere in considerazione le migliori pratiche di cibersicurezza IT per idee per migliorare le proprie reti e infrastrutture.
Differenze tra IT e OT che ostacolano le Best Practices
I sistemi IT vengono tradizionalmente aggiornati rapidamente o continuamente in base ai profili di sicurezza. Uno degli strumenti principali per migliorare la sicurezza è l’igiene di base mediante l’applicazione di patch per sistemi operativi, firmware e software nell’infrastruttura IT. Tuttavia, come ci illumina il dottor Scott, i sistemi OT che gestiscono infrastrutture critiche non possono avere tempi di inattività e la finestra per l’aggiornamento di questi sistemi è misurata in anni, non in giorni. Non è raro, nelle apparecchiature dell’infrastruttura OT, che le macchine funzionino per 5 o 10 anni senza tempi di inattività, il che significa che non vengono effettuati aggiornamenti con patch.
Ad esempio, nell’industria del petrolio e del gas, le raffinerie operano ininterrottamente per quattro o cinque anni, hanno un periodo di fermo di una o tre settimane per aggiornamenti e poi riprendono a operare per altri quattro o cinque anni. Questi modelli operativi non favoriscono i tradizionali interventi di sicurezza continuativa che le organizzazioni IT usano di solito. Tuttavia, Steve approfondisce molte altre soluzioni di cibersicurezza che dovrebbero essere sfruttate quando i dispositivi esistenti non possono essere sottoposti a patch di sicurezza a causa della loro infrastruttura di controllo critica.
Valutazione del rischio delle migliori pratiche.
La migliore pratica primaria di sicurezza informatica è la valutazione del rischio. Anche se la risoluzione del rischio può essere diversa, il processo di valutazione del rischio può essere utilizzato allo stesso modo sia per OT che per i relativi ambienti. Steve sostiene che il primo passo del processo di valutazione del rischio sia ottenere un inventario completo delle risorse hardware, firmware e software nel tuo ambiente OT. Questo primo passo è fondamentale per valutare la posizione delle minacce informatiche e valutare il rischio che la tua organizzazione è disposta a correre. Il passo successivo è valutare i CVEs rispetto al tuo inventario noto.
È fondamentale riconoscere che si tratta di un processo continuo e non deve essere fatto solo una volta o periodicamente. Alcuni professionisti della Terapia Occupazionale hanno sostenuto che i loro ambienti di Terapia Occupazionale sono statici e non richiedono una valutazione continua dei rischi. Tuttavia, Steve fa notare che anche se gli ambienti di Terapia Occupazionale possono essere stabili, l’ambiente delle minacce cambia costantemente e i fattori aziendali possono modificare la posizione di rischio dell’organizzazione. Pertanto, è necessaria una valutazione continua dei rischi per proteggere le infrastrutture critiche da attacchi informatici dannosi.
Gestire i fornitori OT.
Un altro fattore interessante nell’infrastruttura OT è il modello di sicurezza condiviso con i fornitori di dispositivi. In molti casi, questi dispositivi incorporati che controllano infrastrutture critiche da milioni di dollari sono gestiti dal fornitore, non dall’operatore OT professionale. Il fornitore può solo apportare correzioni e aggiornamenti di sicurezza informatica ai dispositivi. Questo può talvolta portare a vulnerabilità nel tuo ambiente OT, aumentando il rischio di infiltrazioni informatiche. Steve porta ulteriori strumenti di sicurezza informatica per aiutare a proteggere le risorse che non possono essere corrette con patch critiche di sicurezza informatica, incluso l’aumento dell’isolamento dei dispositivi interessati, la distribuzione di dispositivi di controllo e l’implementazione di modelli di progettazione canary nell’infrastruttura OT. Questi strumenti possono contribuire a proteggere e isolare il dispositivo per prevenire la diffusione e l’accesso alle risorse compromesse.
Cosa fare quando sei compromesso
Quindi, cosa fai quando hai un’infrastruttura critica che è stata compromessa? L’organizzazione è in grado di gestire la chiusura dell’infrastruttura infetta? Quali piani di continuità aziendale sono in atto quando si verificano situazioni pericolose? Questo può essere utilizzato anche quando si verifica un evento di cybersecurity?
La chiave qui è isolare l’infezione il più velocemente possibile per ridurre al minimo l’impatto sull’infrastruttura critica. Sto riducendo l’effetto sulla affidabilità operativa dell’infrastruttura necessaria. L’obiettivo è ridurre l’impatto e proteggere la sicurezza delle persone e dell’infrastruttura coinvolta.
Scopri di più
Continua a cercare altri podcast sulla cibersicurezza delle OT. Inoltre, un whitepaper descrive le sfide della convergenza tra le ambienti di cibersicurezza delle OT e delle IT.