Fino a poco tempo fa, l’unico metodo di sicurezza attuabile in ambienti OT e IoT era quello del monitoraggio passivo. Oggi è possibile invece adottare anche un approccio più comprensivo, quello del monitoraggio attivo. Ce ne parla Gabriele Webber, Product Manager di Nozomi Networks.
In cosa consiste il monitoraggio passivo?
Il monitoraggio attivo in tempo reale fornisce visibilità sulle reti OT e IoT senza interferire con il traffico né interrompere le operazioni. Tuttavia, il monitoraggio passivo è molto limitato. Un modo per estenderne le capacità è quello di impiegare file di configurazione di progetto del sistema: questi, se disponibili, possono essere importati per arricchire l’inventario degli asset.
Per chi non lo sapesse, i file di configurazione sono fotografie istantanee di informazioni statiche legate a un sistema specifico. Sono utili, ma bisogna fare attenzione alle loro limitazioni: non sempre sono disponibili, poiché alcuni fornitori non condividono queste informazioni, e se le informazioni vengono aggiornate, i file devono essere reimportati.
I file di configurazione non sono gli unici dati che vanno costantemente aggiornati. Ogni dispositivo OT o IoT porta con sé un bagaglio di informazioni che deve essere in qualche modo gestito: la maggior parte delle aziende risolve questo problema con le integrazioni.
Le integrazioni sono necessarie per consolidare le informazioni sugli asset di fornitori terzi con le informazioni esistenti per mantenere aggiornato l’inventario dei dispositivi. Tuttavia, l’inserimento di dati esterni si basa su tecnologie di terze parti che potrebbero non essere sempre disponibili, e le diverse fonti potrebbero avere livelli di accuratezza diversi.
Ecco due soluzioni per integrare il monitoraggio passivo
Come abbiamo citato, il monitoraggio passivo non basta, e bisogna passare al monitoraggio attivo. Ma c’è un problema: il monitoraggio attivo pesa molto sui sistemi, aumentando significativamente il flusso di dati e abbassando il rendimento delle CPU dei dispositivi. Ciò ha pesanti ripercussioni non solo sugli endpoint, ma anche sulle prestazioni e sulla stabilità della rete.
Fortunatamente, alcune soluzioni affrontano questa problematica: in particolare, il monitoraggio attivo tramite query e il monitoraggio attivo tramite sensore su endpoint. Vediamo di cosa si tratta.
Monitoraggio attivo tramite query
Il monitoraggio attivo tramite query, a differenza della scansione classica, punta a interrogare i dispositivi in base alla conoscenza delle loro capacità di protocollo. Ciò è possibile grazie all’utilizzo di messaggi e istruzioni particolari in grado di restituire informazioni utili. Questa soluzione minimizza l’onere computazionale e non influisce sulla stabilità del dispositivo, il che la rende una buona opzione per i dispositivi embedded.
Per i motivi che abbiamo accennato, il monitoraggio attivo tramite query è particolarmente indicato quando non è possibile utilizzare un sensore endpoint. Ovviamente, non mancano i vantaggi per la sicurezza, in quanto questa soluzione permette di migliorare la visibilità e la valutazione delle vulnerabilità.
Monitoraggio attivo tramite sensore su endpoint
Il monitoraggio attivo tramite sensore su endpoint è una soluzione che fa affidamento a un sensore per aumentare a visibilità dall’interno dell’endpoint stesso. In particolare, combina i rilevamenti di rete, come il monitoraggio del traffico, e l’estrazione di informazioni dell’asset per garantire una maggiore copertura di sicurezza. Ricordiamo che il monitoraggio tramite sensore, che è locale, da solo non basta, ma va a integrare il monitoraggio passivo.
Il monitoraggio attivo tramite sensore su endpoint sfrutta le capacità della soluzione via query e le risalta, in quanto le interrogazioni vengono eseguite direttamente dal dispositivo finale. Inoltre, come per la soluzione precedente, migliora la valutazione delle vulnerabilità e offre una visibilità locala completa, anche per gli asset che non comunicano in rete tramite raccolta dati offline.
Per maggiori informazioni su soluzioni di monitoraggio per sistemi OT, vi invitiamo a consultare il sito web di Nozomi Networks.
