Aldo Di Mattia, Senior Manager Systems Engineering di Fortinet, ci racconta l’evoluzione del concetto di cybersecurity, in rapporto a IoT, cloud e privacy.
– L’integrazione di sensori e l’aggregazione del mondo IoT sottintende il massiccio trasferimento di dati, anche verso il cloud. Come portare a termine questa operazione in sicurezza? Quali criticità?
Il comando, la gestione ed il controllo dei dispositivi fisici e dei processi alla base di una catena produttiva sono sicuramente resi più efficienti da una raccolta intelligente dei dati di campo e dalla loro normalizzazione e correlazione. Questo permette infatti di ottimizzare gli stessi processi aziendali, come quelli ad esempio della manutenzione predittiva, della riduzione degli sprechi e dei tempi di fermo con un aumento della produttività aziendale.
Ma affinché la catena del dato diventi virtuosa spesso si rende opportuna una pre-elaborazione il più vicino possibile alla sorgente (edge computing) rispondendo così ai requisiti di molte applicazioni “IoT” che spesso devono fronteggiare problemi di latenza, di mancanza di banda, di affidabilità, non indirizzabili attraverso il modello cloud convenzionale. Il dato aggregato e non ‘time-sensitive’ può invece essere trasmesso all’infrastruttura cloud o al data center dell’impresa, per consentirne elaborazioni più complesse.
Occorre però ricordare che il cloud offre un modello di responsabilità condivisa dove è sempre responsabilità dell’utente/cliente proteggere i suoi dati e le identità, nonché le risorse locali e le componenti cloud da lui gestite. È quindi necessario adottare anche nel cloud soluzioni di sicurezza similari a quelle on-prem ed è sempre da valutare quale soluzione di storage sia da privilegiare, se on-cloud o on-prem.
Il trasferimento poi di questa enorme mole di dati deve avvenire in sicurezza e può essere diretto (sensore to cloud/broker) o indiretto (site to site). Nel primo caso uno dei protocolli utilizzati è l’MQTT che garantisce l’autenticità e l’autenticazione del client (SSL con scambio certificati X.509) ma anche l’eventuale encryption del contenuto (TLS con payload encryption). Nel caso di trasferimento indiretto, la connessione deve essere mediata da una soluzione intelligente e sicura, quale potrebbe essere quella di Secure SD-WAN dove l’edge è un device di tipo NGFW (Next Generation Firewall).
– Le infrastrutture OT sono tra i bersagli preferiti dei cybercriminali, perché? Qual è il grado di sicurezza di queste architetture?
Sebbene i sistemi OT non contengano dati di tipo personale, la compromissione di un sistema di infrastrutture critiche esercita un’enorme attrattiva. Le motivazioni possono includere, ad esempio, la volontà di tenere in ostaggio un sistema (ransomware), manipolare il prezzo delle azioni (vendita allo scoperto), negare l’accesso ad un servizio pubblico o ad un sistema di produzione, avere un impatto politico o favorire un sistema di illeciti e frodi aziendali. Altre aree di interesse sono poi lo spionaggio industriale ed il furto di proprietà intellettuale. Queste azioni di criminalità informatica su infrastrutture critiche nazionali potrebbero, inoltre, mettere a rischio di incolumità i cittadini o addirittura provocare dei morti.
Gli ambienti OT legacy si ritenevano intrinsecamente protetti in quanto isolati e privi di meccanismi di crittografia, di autenticazione e di autorizzazione ed immuni all’obsolescenza. Negli ultimi anni, molto spesso per ragioni di business e velocità nell’adottare nuove tecnologie (digital transformation), il gap di separazione logico/fisico tra i sistemi IT e quelli OT si è ridotto e la convergenza tra IT e OT ha posto nuovi rischi per la sicurezza. Da qui la presenza di una direttiva Europea: NISUE 2016/1148, ora NIS2 che delinea obiettivi e misure tecniche e organizzative adeguate al rafforzamento dei livelli di sicurezza dei sistemi informativi e delle reti, nonché al miglioramento della gestione degli incidenti cyber ma non detta requisiti specifici, approcci o framework ICS in maniera prescrittiva. Questi ultimi sono lasciati ai singoli operatori che possono fare leva su modelli di segmentazione codificati quali il Purdue, e standard quali: l’ISA/IEC 62443, l’IEC 62351, il NIST SP 800-82, il NISTIR 7628 ed il NERC CIP.
– Carichi di lavoro e archivi dati si sono concentrati sui server aziendali e nel cloud, come è possibile garantire un lavoro fluido e sicuro per tutti?
Da una parte la digitalizzazione del dato e l’utilizzo sempre maggiore di servizi in cloud e dall’altra parte lo smart/remote working, impongono nuove strategie di connessione con l’obiettivo di mantenere costante la qualità di fruizione del servizio e l’accesso al dato da parte dell’utente ovunque esso sia. La soluzione oggi adottata dalle aziende per garantire il lavoro “fluido” è quella SASE (Secure Access Service Edge) che si declina nelle componenti SD-WAN e ZTNA. D’altra parte, poiché queste soluzioni utilizzano connessioni Internet dirette, senza la centralizzazione del traffico verso un data center di controllo, tali connessioni devono poter essere protette da una serie crescente di attacchi opportunistici. E ciò soprattutto se l’ambiente che si vuole proteggere è sensibile come lo sono gli ambienti OT.
Cybersecurity: mettere in sicurezza i dati, l’azienda e i dipendenti.
Per far fronte a tutte queste criticità, le organizzazioni hanno bisogno di una soluzione che abbini le funzionalità di trasporto dinamico (application aware) a quelle di sicurezza OT-native di un Next Generation Firewall (NGFW). Il NGFW diventa quindi fondamentale sia nella veste di Access Proxy per soluzioni ZTNA che nella veste di dispositivo di terminazione delle connessioni overlay a dare sicurezza alla soluzione SDWAN. L’adozione poi di questo tipo di soluzioni estende la visibilità ed il controllo necessari per monitorare costantemente la sicurezza e rilevare quelle anomalie che potranno poi essere gestite da un SOC aziendale.
– I workload si stanno rapidamente spostando verso “la nuvola”, come è possibile ottenere la visibilità dei dati e il controllo degli accessi? Come abilitare una cybersecurity efficace?
L’accesso al dato e la sua gestione devono essere mediati da una soluzione di cybersecurity che fornisca un accesso locale o remoto sicuro in base a regole di controllo, autenticazione ed autorizzazione chiaramente definite. Secondo la pubblicazione speciale NIST 800-192, le politiche di accesso devono essere specifiche dell’applicazione e governate dal contesto utente (unità operativa, competenze, ruolo, etc..).
Esistono poi dei requisiti di accesso e retention dei dati normati da regole e standard a livello nazionale ed internazionale, come ad esempio il GDPR, la HIPAA, il CCPA o il PIPEDA. A livello di accesso sicuro, l’approccio di base correntemente adottato è quello di zero trust. Lo zero trust consente una gestione dell’accesso al dato dinamica, granulare, in base all’utente e al tipo di dato, considerando untrusted anche ciò che è all’interno del proprio perimetro aziendale. Questo approccio, vocato alla microsegementazione, consente una sorta di immunizzazione rispetto alla data exfiltration ed al lateral movement e fornisce la massima garanzia di accesso sicuro al dato.
– Accountability e privacy. Si tratta di tematiche di fortissima attualità e che impongono un netto ripensamento circa le pratiche in uso in azienda. Come i Vs. servizi e piattaforme possono aiutare le imprese nel raggiungimento della compliance normativa? Quali strategie e soluzioni proponete ai clienti per mettere in sicurezza le proprie attività?
Le organizzazioni sono soggette a numerosi requisiti normativi e di conformità agli standard. Alcune, come il Payment Card Industry Data Security Standard (PCI DSS), riguardano solo le organizzazioni che elaborano transazioni con carte di credito. Altre, come il regolamento generale dell’Unione Europea sulla protezione dei dati (GDPR), riguardano tutte le organizzazioni con clienti europei che raccolgono dati personali. Sebbene la conformità alle normative non può essere raggiunta solo attraverso la tecnologia, avere delle soluzioni che siano “state of art” è chiaramente uno dei prerequisiti per evitare la possibilità che si verifichino eventi gravi e penalizzanti, come la violazione dei dati e le intrusioni di rete, e che, qualora essi si verifichino, vengano rilevati e contenuti nel più breve tempo possibile.
Cybersecurity, proteggere il cloud e i carichi di lavoro distribuiti.
Le soluzioni di sicurezza adottate, per essere efficaci, devono inoltre costruire un framework interconnesso che Gartner identifica con l’acronimo CSMA (Cybersecurity Mesh Architecture), in Fortinet denominata “Fortinet Security Fabric”: una piattaforma mesh di cybersecurity con le più elevate prestazioni nel settore, basata su FortiOS. I pilastri chiave di questo approccio sono: i servizi FortiGuard labs, ovvero i laboratori che forniscono la threat intelligence, le soluzioni di network security e secure SDWAN basate sulla piattaforma FortiGate, le soluzioni di Zero Trust Access con Endpoint Protection ed XDR e le soluzioni NOC & SOC (FortiSIEM, FortiSOAR, FortiMonitor, ecc) che completano il framework di un’architettura scalabile ed aperta tramite API (Application Programming Interface) ad integrazioni di terze parti.