Nel suo intervento Davide Ricci, Regional Sales Director Italia di Nozomi Networks , spiega i principali vantaggi di un SOC IT/OT integrato per la cybersecurity di una rete aziendale.
Il Security Operation Center (SOC) è il centro nevralgico per la sicurezza di una rete. Qui utenti, dispositivi e traffico vengono monitorati continuamente in modo che gli analisti possano mitigare gli incidenti e risolvere i problemi. Che si tratti di una struttura interna o operata da un provider di servizi di sicurezza gestiti (MSSP), il SOC coinvolge analisti ed esperti di sicurezza che proteggono risorse e operazioni essenziali. Garantendo, al contempo, conformità a normative e standard di settore.
Un terzo le aziende che puntano sull’integrazione SOC IT e OT
Tradizionalmente i SOC sono dedicati all’IT. Oggi però, con i CISO chiamati ad assumere un ruolo di crescente responsabilità nella gestione del rischio aziendale, integrare nei SOC anche la sicurezza delle infrastrutture critiche sta diventando una necessità comune e irrinunciabile. Secondo la ricerca SANS 2024 ICS/OT, il 62,7% delle organizzazioni intervistate dispone di un SOC e il 29,6% di un SOC IT/OT integrato. Solo l’8,8% ha un SOC interno dedicato esclusivamente all’OT.
Cybersecurity – La business unit OT
In realtà, piuttosto che di una reale integrazione all’interno del SOC, spesso si osserva la presenza di un team SOC IT tradizionale. Questo fornisce un servizio di assistenza a un nuovo cliente: la business unit OT. In molti casi, a questo corrisponde un esempio da manuale di mancata comprensione del cliente da parte del fornitore di servizi. Per questo motivo, è necessario un importante trasferimento di conoscenze, che però non sempre avviene. Ecco alcune indicazioni strategiche pensate per garantire che il SOC unificato sia efficiente ed efficace. In breve, sarà necessario coinvolgere tempestivamente i team OT, comprendere i loro sistemi critici e rispettare i loro vincoli operativi, che possono essere diversi da quelli tradizionali dell’IT.
I vantaggi di un SOC IT/OT unificato
Se progettato e realizzato correttamente, un SOC convergente offre numerosi vantaggi. Tra questi:
Sicurezza più solida. Combinando competenze e risorse IT e OT in un unico ambiente, il SOC fornisce un approccio olistico alla sicurezza. Tenendo comunque conto delle caratteristiche uniche e delle vulnerabilità di entrambi gli ambienti.
Maggiore efficienza. Un SOC IT/OT convergente può semplificare il processo di rilevamento e risposta. Eliminando così la necessità di trasferire le segnalazioni tra i team IT e OT e riducendo il tempo necessario per risolvere gli incidenti.
Maggiore visibilità. Un SOC unificato fornisce una visione unica e coerente delle minacce e delle vulnerabilità. E offre una consapevolezza completa del contesto necessaria per proteggere sia gli aspetti aziendali che quelli industriali di un’organizzazione.
Migliore collaborazione. Riunendo gli esperti IT e OT sotto in un’unica unità, un SOC convergente favorisce collaborazione e comunicazione tra i due gruppi.
Cybersecurity – Muoversi fuori dagli ambienti familiari
I SOC unificati vedono in genere il coinvolgimento di analisti esperti di cybersecurity IT, che non sono per forza familiari con le pratiche di sicurezza OT. La cybersicurezza industriale si basa su controlli di compensazione. Spesso, tutto ciò che si può fare è monitorare continuamente l’ambiente per rilevare eventuali incidenti, senza poterli risolverli immediatamente, o del tutto. Si tratta di una mentalità completamente diversa da quella di un SOC IT tradizionale. Inoltre, negli ambienti industriali si tende a progettare gli impianti avendo in mente il cosiddetto ‘caso peggiore’. Cosa potrebbe accadere di catastrofico che potrebbe avere un impatto su migliaia di persone? L’analista medio di un SOC tradizionale non è abituato a pensare in questo modo.
Integrazione SOC IT e OT: tenere conto della diversità dei team coinvolti
Quando si tratta di rispondere agli incidenti, i team IT sono conosciuti per la loro rapidità di risposta, che prevede l’uso dell’automazione ovunque sia possibile. La risposta predefinita rispetto alla maggior parte degli eventi di sicurezza IT è quella di bloccarli immediatamente, che raramente è l’azione corretta in un ambiente OT. Ogni componente di una rete infrastrutturale fa parte di un processo più ampio all’interno di un mondo molto distribuito, nel quale la rimozione di un collegamento può bloccare l’intera catena. Le risposte OT devono considerare la criticità e il potenziale impatto sui processi fisici e sulla sicurezza; di conseguenza, i playbook spesso includono interventi manuali.
Dare la giusta considerazione alla produzione
La creazione di un SOC unificato IT/OT va ben oltre la possibilità di inserire i dati dell’ambiente industriale nel sistema di gestione degli eventi di sicurezza (SIEM) o in un’analoga piattaforma di sicurezza IT, in modo che il team possa identificare i problemi. L’ideale sarebbe avere un esperto di cybersecurity OT/ICS nel SOC, ma queste competenze sono rare. Tanto che per molti team è più facile formare il personale IT sulle sensibilità specifiche del mondo OT che formare il personale OT sulle competenze di cybersecurity IT. Quindi non c’è niente di più utile che passare del tempo nel reparto di produzione a parlare con direttori di stabilimento, ingegneri e operatori che conoscono a fondo i sistemi ICS. Anche se non hanno mai sentito parlare di deep packet inspection (DPI), lateral movement o advanced persistent threat (APTs).
Cybersecurity – La possibilità di una collaborazione efficace
In questo percorso, gli analisti si troveranno probabilmente a contatto con dispositivi legacy obsoleti da decenni, non sicuri. e anzi progettati senza aver minimamente in mente la sicurezza informatica. E con processi industriali che funzionano h24, 7 giorni su 7, 365 giorni all’anno, con una ristretta finestra di manutenzione annuale. Nel corso della quale è necessario installare, possibilmente, aggiornamenti e patch. Il fatto di diventare la figura di riferimento in azienda e di essere disposti a imparare contribuisce a colmare il divario culturale tra IT e OT. Proprio come quando un turista si sforza di dire almeno ‘per favore’ e ‘grazie’ nella lingua locale, magari costruendo una frase intera di tanto in tanto. Così i componenti del SOC IT aprono alla possibilità di una collaborazione efficace, mostrando un interesse spontaneo per la comprensione degli ambienti operativi.
Ridurre il rumore di fondo
La calibrazione degli avvisi è uno degli strumenti migliori per mitigare le differenze tra i mondi IT e OT e ottenere il massimo valore dalla propria piattaforma di monitoraggio e rilevamento delle minacce OT. Nel settore industriale esistono decine di tipologie di avvisi e livelli di gravità diversi. Molti degli avvisi che attirano l’attenzione di un analista SOC IT sono solo interferenze per un operatore OT che conosce il proprio ambiente. La configurazione di limiti specifici per le variabili di processo, che consentono di silenziare efficacemente avvisi indesiderati, consente al team SOC di risparmiare molto lavoro. Se un dispositivo in un processo industriale inizia a perdere 10 segnali nel tempo, magari non è un grosso problema. Se invece inizia a perdere centinaia di messaggi, allora è il caso di indagare.
Integrazione SOC IT e OT per unificare le funzioni di sicurezza e gestione del rischio
Per proteggere i sistemi OT sono necessarie sia competenze IT che le conoscenze specifiche OT. Già nel 2017, Gartner raccomandava di passare a un SOC integrato IT/OT. Sottolineando inoltre che, in un panorama di minacce in continua evoluzione, un’unica funzione consolidata di sicurezza e gestione del rischio è in grado di affrontare più efficacemente le minacce sia IT che OT. Un’unica figura di riferimento per questa funzione può anche essere ritenuta responsabile del rischio informatico complessivo dell’organizzazione. Come ulteriore vantaggio, le scarse risorse di sicurezza possono ora essere impiegate per affrontare sia l’aspetto IT che OT.
Disporre di strumenti e formazione corretti
Il consiglio è stato seguito parzialmente dalle aziende, tanto che esistono dati disponibili sulla velocità di integrazione dei SOC, anche se non abbondanti. Tuttavia, un SOC unificato è il meccanismo di applicazione de facto per la gestione del rischio aziendale. Per funzionare, il personale responsabile della gestione dei SOC deve essere istruito su sensibilità e criticità delle reti OT e sui loro vincoli di mitigazione. Deve inoltre disporre degli strumenti giusti. Come soluzioni specifiche per il settore OT in grado di monitorare in modo sicuro reti e dispositivi e di comprendere protocolli sconosciuti. Oltre che informazioni sulle minacce specifiche per il settore OT. Infine, deve essere disposto a rivolgersi a esperti del settore OT in grado di illustrare importanti aspetti contestuali e di collaborare per una gestione sicura degli incidenti.
