Managed Detection Response (MDR) per l’ambito OT/Industrial: un’offerta per innalzare i livelli di sicurezza
Ecco come Netgroup incrementa la sicurezza in ambito OT/Industrial monitorando le minacce che insistono sulle tecnologie di automazione industriale (OT – Operation Technologies) e sui dispositivi di misurazione e controllo connessi in rete (IoT – Internet of Things).
di Pietro De Angelis
pubblicato il 05/12/2022
#OT #IoT #MDR #AI #Cybersecurity
Managed Detection Response (MDR) per l’ambito OT
La cybersecurity per l’Industria 4.0
La rivoluzione dell’Industria 4.0 sta portando nel settore importanti cambiamenti che impattano pesantemente sulle scelte tecnologiche delle aziende e che inevitabilmente portano a riconsiderare le logiche di integrazione tra le Operational e le Information Technologies networks.
L’adozione di tecnologie per il controllo industriale (ICS e SCADA in primis) è al centro di questa rivoluzione digitale, ma così come sono innegabili i vantaggi in termini di flessibilità ed efficienza dei processi produttivi, è altrettanto vero che tali tecnologie incrementano notevolmente la superficie di attacco e l’esposizione a potenziali rischi informatici.
Rispetto all’ambito IT, un incident di sicurezza in ambiente industriale può portare al potenziale blocco o anche al danneggiamento materiale delle infrastrutture di produzione, con conseguenti danni economici, di immagine nonché veri e propri rischi fisici per il personale: basti pensare al pericolo derivante dalla manomissione del controllo di pressione di una cisterna, o del regime di rotazione di una centrifuga.
Evolvendo l’esperienza e la competenza di cybersecurity in ambito IT Netgroup ha sviluppato, insieme a primari vendor del settore, un’offerta per innalzare sensibilmente i livelli di sicurezza di ambienti OT/Industrial.
I vantaggi di essere clienti del SOC Industrial di Netgroup
Elevati livelli di efficienza ed efficacia delle Security Operations in ambito Industrial sono raggiunti tramite la specializzazione sulle tecnologie e sui vendor di cui Netgroup è partner. Nello specifico, Netgroup è partner di primari produttori di soluzioni di anomaly detection. Ciò consente agli operatori del SOC Netgroup di fruire, in ambito OT, di specifiche dashboard e sintassi di alerting, così da poter gestire le anomalie con maggior precisione e rapidità.
I clienti del SOC Industrial Netgroup:
- possono contare su almeno un operatore per fascia oraria di servizio dotato di competenze tecniche specialistiche
- che opera dal territorio italiano
- anche durante le fasce orarie pomeridiane, notturne e nel fine settimana se previsto dal servizio attivato
- l’operatore, monitorando la console di gestione può segnalare al referente del cliente le anomalie di sicurezza rilevate
- tali anomalie saranno analizzate sulla scorta della conoscenza dello specifico contesto; le risultanze di tale analisi sono poi inserite all’interno di un apposito report condiviso.
Inoltre, il monitoraggio e la conoscenza dell’infrastruttura cliente consentono di identificare proattivamente anomalie alla sicurezza, prima che queste evolvano in un vero e proprio Incident, condividendo le analisi con il referente allo scopo di proteggere la continuità operativa e contenere l’impatto di eventuali incidenti di sicurezza.
I principali rischi per le infrastrutture OT
I principali rischi per le infrastrutture OT, intercettabili da un servizio di anomaly detection, sono:
- Attacchi mirati specificatamente implementati per colpire le tecnologie ICS, come Stuxnet che nel 2010 venne utilizzato per sabotare il programma nucleare dell’Iran colpendo le centrifughe per l’arricchimento dell’uranio
- Attacchi generici di tipo malware che colpiscono l’IT network e che riescono a propagarsi fino all’OT network
- Errori di programmazione, configurazione o gestione delle componenti di controllo o dei dispositivi in rete
- Insider Threats, cioè minacce provenienti da dipendenti, consulenti o comunque individui con accesso interno al network, perpetrate per negligenza o con dolo
APPROCCIO AGNOSTICO
Servizi e soluzioni di protezione assolutamente indipendenti dalle tecnologie, protocolli e dispositivi della rete protetta
PROTEZIONE ETEROGENEA
Mitigazione dei rischi di sicurezza da attacchi diretti, indiretti, errore umano e minacce interne
ESTENSIONE DELLA COPERTURA
Servizi mirati per la protezione di OT network, integrabili con soluzioni si sicurezza di reti IT, cloud e soluzioni SaaS
AUTOAPPRENDIMENTO
Deploy rapido delle soluzioni di protezione, con minima configurazione iniziale grazie al self-learning automatico dell’intelligenza artificiale
Le fasi operative
Nel dettaglio, le fasi operative coperte da Netgroup sono:
Detection
Utilizzando sistemi per il rilevamento di anomalie basati su Intelligenza Artificiale che individuano e segnalano possibili comportamenti anomali nel traffico di rete. Gli operatori SOC Netgroup verificano l’allerta prodotta dal sistema ricercando possibili indicatori di compromissione, anche allo scopo di filtrare eventuali falsi positivi. Se l’anomalia viene confermata, gli operatori SOC creano un Incident ticket ed effettuano una prima classificazione dell’anomalia, attribuendo categoria e priorità, notificando il referente cliente.
Analysis
Gli operatori SOC Netgroup analizzano l’anomalia operando ogni possibile correlazione fra gli eventi registrati, al fine di identificare la presenza di una minaccia latente ovvero di un attacco in corso, determinandone origine, portata, e possibile impatto. La fase di analisi è supportata sia dai dati raccolti in tempo reale dalle sonde, sia dalla Knowledge Base specifica per il cliente e/o per il sistema di controllo industriale ritenuto oggetto di attacco. Le evidenze raccolte in fase di analisi vengono raccolte e dettagliate nel relativo Incident ticket.
Reporting
Una volta completata l’analisi dell’evento e identificato il pattern di minaccia, gli operatori SOC Netgroup redigono una reportistica contenente le informazioni menzionate, arricchendola ogni qualvolta possibile con ulteriori informazioni a valore per il cliente, quali il profilo di rischio connesso alla minaccia identificata e una proposta di possibili contromisure, attingendo sia dalla Knowledge Base specifica per il cliente e/o per il sistema di controllo industriale oggetto di attacco. La reportistica viene infine inviata al referente cliente.
I principali elementi della tecnologia di Netgroup
I principali elementi distintivi della tecnologia utilizzata da Netgroup sono:
-
- Algoritmi di IA per l’autoapprendimento della baseline comportamentale dei dispositivi e del network, per rilevare ogni minima variazione che possa essere indicativa di nuovi attacchi e minacce
- Tecnologia best in class per una prima risposta automatizzata e real-time contro gli attacchi alle infrastrutture protette
- Dashboard avanzate e interfacce per il drill-down delle informazioni per una riduzione sensibile dei tempi di analisi e reporting
- Integrabilità con strumenti di protezione di IT network, on-premise e cloud, per la gestione unificata della cybersecurity