In molti si chiedono quanto sia importante un approccio Zero Trust all’interno di un’infrastruttura critica/tecnologia operativa.
Per rispondere, partiamo dalla definizione. Come descritto nella Cyberpedia,
"Zero Trust è un'iniziativa strategica che aiuta a prevenire violazioni dei dati di successo eliminando il concetto di fiducia dall'architettura di rete di un'organizzazione. Basato sul principio "mai fidarsi, verificare sempre", Zero Trust è progettato per proteggere i moderni ambienti digitali sfruttando la segmentazione della rete, prevenendo il movimento laterale, fornendo prevenzione delle minacce di livello 7 e semplificando il controllo granulare dell'accesso utente”.
Sebbene l'obiettivo più importante nella sicurezza informatica della CI sia prevenire effetti ciberfisici dannosi per le risorse, la perdita di servizi critici e preservare la salute e la sicurezza umana, i principi sono estremamente pertinenti.
Zero Trust - I 5 Step Fondamentali
Vediamo insieme i cinque step da seguire secondo Palo Alto Networks ed alcune delle considerazioni relative a OT per ogni passaggio.
Step #1: Definire la Superficie di Protezione
Questo step comporta l'identificazione dei "gioielli della corona" che sono fondamentali per il funzionamento dell'azienda. I team IT e OT devono lavorare insieme per identificare tali superfici che possono includere i sistemi/reti olistici all'interno di centri di controllo, sottostazioni, centrali elettriche, siti di produzione o stabilimenti.
Potrebbero anche essere definiti in dettaglio granulare come specifici sistemi di controllo distribuito (DCS), linee di produzione, persino server di automazione o PLC specifici. La prioritizzazione delle superfici basata sul rischio è fondamentale in quanto non è pratico cercare di proteggere ogni risorsa a cui vengono fornite risorse limitate.
Nelle prime fasi dell'implementazione di Zero Trust, potrebbe essere necessario definire la superficie di protezione a un livello più grossolano (pensa DCS) rispetto al livello del dispositivo (pensa PLC), per incoraggiare il progresso.
Step #2: Mappare i Flussi delle Transazioni
Il passo successivo è comprendere le transazioni da e verso le superfici protette. Ad esempio, un tecnico di supporto di terze parti in un centro di controllo può interagire con i sistemi in altri centri di controllo e sottostazioni di backup.
Potremmo scoprire che accedono solo a determinati sistemi in un sottoinsieme di sottostazioni, che ha l'attrezzatura di quel fornitore di terze parti. Inoltre, potremmo notare che utilizzano solo determinati protocolli OT e utilità di rete, come DNP3, ICCP e HTTPS durante il normale orario di lavoro.
I Firewall di Nuova Generazione (NGFW), con le loro capacità di ispezione approfondita dei pacchetti, sono utilizzati per ottenere visibilità su applicazioni, protocolli e dispositivi OT/IIoT, nonché sugli utenti.
Step #3: Progettare un’Architettura Zero Trust per OT
Con i flussi di transazione ben compresi, è ora possibile definire l'effettivo “zoning scheme” che consente i controlli in linea appropriati e la prevenzione delle minacce. Il gateway o condotto di segmentazione, utilizzato per creare le zone e le policy interzona, viene nuovamente realizzato tramite NGFW.
Per l'esempio dello step 2, l'architettura della zona può includere il centro di controllo principale, il centro di controllo di backup e zone separate per le diverse sottostazioni. All'interno di ciascuna di queste zone potrebbe essere necessaria una suddivisione in zone più granulare a seconda delle definizioni delle attività, del rischio valutato e dei flussi di transazione.
Pensiamo ad un'interfaccia HMI di Windows XP non supportata che deve essere rafforzata per ridurre il rischio informatico. Ancora una volta, è importante trovare l’equilibrio tra la gestione del rischio, la riduzione della complessità operativa e gli approcci basati sul rischio, come gli studi sui rischi e sull'operabilità (HAZOP) che potrebbero aiutare a determinare il livello di segmentazione richiesto.
Step #4: Creazione Policy Zero Trust
Questo step riguarda la codifica delle regole granulari nel NGFW. Implica l'utilizzo del metodo Kipling per stabilire chi, cosa, perché, quando, dove e come delle policy.
Utilizza inoltre il motore di policy di NGFW per stabilire controlli delle applicazioni, accesso basato sui ruoli, policy sui dispositivi e prevenzione delle minacce tramite tecnologie App-ID, User-ID, Device-ID e Content-ID.
Tornando al nostro esempio, utilizziamo il metodo Kipling e l'NGFW per garantire che un tecnico di terze parti (chi) sia autorizzato ad accedere ai protocolli DNP3 e HTTPS (cosa) per monitorare e amministrare (perché) un'unità di telemetria remota nella sottostazione (dove) tra le 17:00 e le 19:00 (quando).
Inoltre, i servizi di decrittazione e minaccia forniti da NGFW potrebbero essere abbinati alla policy di controllo degli accessi per identificare e bloccare qualsiasi traffico dannoso che potrebbe essere entrato attraverso tale traffico consentito.
Step #5: Monitoraggio e Manutenzione della Rete
Per quanto approfondite possano essere nelle fasi di pianificazione, alcune transazioni potrebbero essere state trascurate a causa della mancata considerazione delle transazioni durante l'intero ciclo di vita operativo dei sistemi OT.
Inoltre, per quanto OT sia statico, potrebbe ancora avere alcuni cambiamenti e in effetti potrebbe essere sostanziale con l'implementazione di un progetto di trasformazione digitale, come il 5G.
È importante quindi che l'inventario delle superfici protette e delle transazioni avvenga su base regolare e che lo zoning e gli schemi di policy associati siano adattati secondo necessità.
Anche in questo caso l'NGFW con visibilità granulare e funzionalità e servizi di Machine Learning (come il Policy Optimizer per la messa a punto delle policy delle applicazioni e il servizio IoT Security per l'inventario delle risorse e l'ottimizzazione delle policy dei dispositivi) sarà fondamentale in questo processo di monitoraggio della rete e mantenimento dello Zero Trust.
Zero Trust per CI/OT è un Percorso
Il percorso verso la realizzazione di Zero Trust in CI/OT potrebbe diventare impegnativo, quindi è importante ricordare che l'implementazione dell'architettura Zero Trust non deve essere "all-in" fin dall'inizio. È possibile iniziare con l'implementazione di Zero Trust nel perimetro IT-OT.
Man mano che ti senti più a tuo agio, puoi spostarti negli strati inferiori di OT. Infine, utilizzando il framework che hai stabilito, puoi anche applicare lo stesso approccio Zero Trust per proteggere la tua infrastruttura OT estesa in cloud pubblici, reti 5G e persino connessioni SASE (Secure Access Service Edge) con coerenza e gestione centralizzata.
Dubbi? Domande? Maggiori Informazioni?
Oltre 85 aziende della classifica Fortune 100 utilizzano la suite di Next-Generation Security di Palo Alto Networks (Firewalls, Network Security, Security Subscriptions, Advanced Endpoint Protection e SaaS Security) per la protezione a 360 gradi dalle minacce informatiche.
Se vuoi avere maggiori informazioni sulle soluzioni Palo Alto Networks invia una mail a ... o chiama lo ... . Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.