La crescente convergenza tra IT (information Technology) e OT (operation technology) se da un lato porta significativi vantaggi operativi ed economici, dall’altro sta inevitabilmente ampliando il perimetro di vulnerabilità delle infrastrutture e delle aziende che – come emerge dal rapporto Clusit 2021 – stanno vivendo una vera e propria cyber pandemia.
Negli ultimi quattro anni si è registrato un aumento del 78% nel numero di attacchi informatici con un attacco informatico grave ogni 5 ore e, sempre secondo il rapporto, il 64% delle imprese è stata vittima di almeno una forma di attacco informatico durante il 2021.
Le conseguenze di questi attacchi possono essere tutt’altro che trascurabili: perdita di dati, con conseguenti danni economici, reputazionali e rischi sanzionatori, nell’ipotesi di violazione e diffusione di dati sensibili (GDPR) ma anche gravi e prolungate interruzioni operative.
Attacchi cyber emergenza globale, ci costano il 6% del PIL: i dati del rapporto Clusit 2021
Indice degli argomenti
Com’è cambiata la cyber defence nella pandemia
L’ecosistema industriale nazionale mentre è alle prese con aggiornamenti e adozioni di nuovi paradigmi nelle procedure di sicurezza IT e OT, affidate – storicamente – a personale con competenze profondamente diverse, deve far fronte ad attacchi cyber sempre più sofisticati che rendono i sistemi di difesa tradizionali, totalmente inefficaci.
Tanto più che, a causa della pandemia, molte aziende sono state costrette ad adottare sistemi di telelavoro in modo frettoloso ponendo poca attenzione agli aspetti di sicurezza dei dati e delle infrastrutture.
Negli ultimi due anni, infatti, sono stati utilizzati milioni di computer privati per scopi aziendali, anche se privi di ogni sistema di sicurezza; inoltre, sono state aperte innumerevoli connessioni dirette verso i server centrali: “così facendo sono state ulteriormente indebolite le già insufficienti difese a disposizione creando le condizioni perfette per gli hacker”. Sono quindi necessarie nuove strategie di difesa e nuove tecnologie, in grado di rilevare e proteggere le infrastrutture da ogni tentativo di intrusione, dagli attacchi massivi con malware, fino ai più sofisticati “zero day attack”.
Le infrastrutture OT sono caratterizzate da tecnologie e dinamiche di utilizzo che le espongono a maggiori rischi rispetto a quelle IT ma, al contempo, sono ideali per l’impiego di sistemi di sicurezza basati su algoritmi di intelligenza artificiale.
Il ciclo di vita molto lungo e l’erogazione di servizi continui nel tempo limitano fortemente la possibilità di aggiornamento degli applicativi software e di correzione delle vulnerabilità esponendo le infrastrutture a possibili attacchi per lunghissimi periodi.
Ancora oggi, non è raro trovare anche nelle infrastrutture critiche software ai quali non sono state applicate le patch di sicurezza o, addirittura, sistemi operativi non più mantenuti come Windows XP, fuori supporto dal 2014.
Ma se da un lato la “staticità” delle infrastrutture OT costituisce una debolezza, dall’altro può essere sfruttata per realizzare una soluzione di difesa molto efficace adottando una politica “Zero Trust” che è molto più estrema rispetto a quelle dei sistemi di sicurezza informatica tradizionali.
L’importanza di una politica Zero Trust
Gli antivirus, i firewall e gli intrusion detection si basano sull’assunto “garantista” che considera tutto il software, anche quello sconosciuto, “accettabile salvo altre indicazioni”.
In questo modo, solo ciò che è sicuramente malevolo viene bloccato lasciando spazio di manovra a tutto ciò che è malevolo ma non ancora stato riconosciuto tale o ai software “buoni” utilizzati in modo “cattivo”.
Lo “Zero Trust” fa l’esatto contrario: considera tutto nocivo salvo ciò che è stato esplicitamente riconosciuto come “buono”.
Questa politica supera i limiti dell’approccio tradizionale e garantisce un totale controllo sul software e sulle comunicazioni introducendo, però, una maggiore rigidità nel processo di aggiornamento ed evoluzione dei sistemi.
Ciò si traduce in ulteriori costi operativi per la verifica e l’autorizzazione di ogni variazione dell’infrastruttura e questo, spesso, scoraggia l’adozione di tali metodologie nelle infrastrutture IT dove i servizi erogati seguono le necessità degli utenti e possono variare con grande frequenza.
Nel contesto OT, invece, le infrastrutture vengono progettate per fornire servizi molto ben definiti e cambiano molto raramente rendendo quasi nullo l’effort per la gestione di una politica “Zero Trust”.
Per questo è stato possibile sviluppare algoritmi di intelligenza artificiale che sono in grado apprendere le dinamiche operative delle infrastrutture OT, creando modelli che descrivono le condizioni nominali dei sistemi da utilizzare per identificare anomalie comportamentali.
Machine learning e Zero Trust a difesa delle infrastrutture critiche
L’azione combinata di questi algoritmi di machine learning e della politica Zero Trust consente di garantire la sola esecuzione di software preautorizzati e che il loro comportamento non possa essere sovvertito sfruttando vulnerabilità non ancora corrette.
Questi algoritmi sono in grado di rilevare quando un processo in esecuzione cambia il proprio schema di interazione con il sistema operativo e con la rete utilizzando i modelli appresi e sono in grado di bloccare e ripristinare le condizioni normali del sistema.
Tale approccio, simile ad un vero e proprio “sistema immunitario”, consente di bloccare tutti i tipi di attacco, anche gli zero day attack, senza introdurre eccessivi costi operativi.
Per questo motivo, è stato adottato in molti contesti operativi e in particolare in molte infrastrutture critiche rispondendo a molti dei requisiti pervisti dalla direttiva NIS (Network and Information Security) e dal Framework Nazionale per la Cybersecurity e la Data Protection che in Italia costituisce il modello di riferimento per le aziende pubbliche e private di ogni settore e di ogni dimensione.
Test di sicurezza informatica col Framework nazionale di cybersecurity: le best practice
