Massimo Carlotti di CyberArk porta alla nostra attenzione i potenziali rischi posti dai dispositivi fisici connessi alla rete, come strumenti di tecnologia operativa (OT) e dispositivi IoT, e come ridefinire il Privileged Access Management per proteggerli.
Un recente rapporto Clusit ha rivelato che, nel 2023, in Italia sono andati a segno l’11% degli attacchi di grave intensità a livello globale, cifra che segna un incremento del 65% rispetto all’anno precedente, con il 56% che ha avuto conseguenze di gravità critica o elevata.
Spesso i sistemi OT non sono direttamente gestiti dai team di sicurezza, in quanto non rientrano nella loro sfera di compentenza. Però, con gli attaccanti che cercano di sfruttare ogni possibile opportunità, tutte le identità, umane e non, diventano potenzialmente pericolose, per i livelli di accesso che offrono. Infatti, dispositivi utilizzati da fornitori di terze parti che operano in remoto, dispositivi utilizzati dai dipendenti con credenziali deboli o vulnerabili ad attacchi di phishing e dispositivi integrati con identità macchina come i sistemi di controllo industriale sono tutti potenziali punti di accesso per un attacco informatico.
Un’identità compromessa può consentire agli attaccanti di installare software dannoso e prendere il completo controllo dei dispositivi OT e IoT. Nell’ambito industriale, questo può comportare esiti devastanti: la chiusura degli impianti di un produttore, l’impossibilità di essere conformi alle normative o la messa offline dei dispositivi IoT a causa di un attacco DDoS distribuito.
Comprendere i rischi inclusi nei dispositivi OT e IoT
Per proteggere le infrastrutture IT è fondamentale controllare e gestire gli accessi, e conoscere lo stato di tutti i dispositivi all’interno della rete. Ogni dispositivo non controllato diventa un potenziale punto di accesso per un attaccante.
Secondo il Report Digital Defense 2023 condotto da Microsoft, il 25% dei dispositivi OT utilizza sistemi operativi non aggiornati, fattore che li rende vulnerabili agli attacchi. La tradizionale tecnica dell’air-gapping, secondo la quale i dispositivi OT vengono separati da Internet anche fisicamente, non è più efficace. Infatti, la crescente interconnessione dei dispositivi ha posto nuove minacce alla continuità aziendale, aumentando la necessità di una protezione completa al di fuori delle pratiche fondamentali che un tempo soddisfacevano la sicurezza dei sistemi OT.
Perché è essenziale ridefinire il programma PAM per le minacce OT e IoT
Un buon punto di partenza per la messa in sicurezza dei dispositivi OT e IoT è la ridefinizione dei programmi di Privileged Access Management (PAM). Analizziamo tre aree principali di rischio con le relative possibilità di ridurlo, quando si protegge il più ampio ecosistema di dispositivi non gestiti o connessi liberamente, compresi i dispositivi OT e IoT.
Rilevamento dei dispositivi e aggiornamenti del firmware
I sistemi per la gestione degli accessi privilegiati devono individuare e integrare i nuovi dispositivi e account non appena effettuano l’accesso alla rete. Questi account devono essere gestiti in modo sicuro, e le credenziali ad essi connesse devono essere cambiate spesso, evitando in particolare password predefinite. Inoltre, isolare l’accesso per il monitoraggio e la registrazione delle sessioni aiuta a fornire report proattivi e a raggiungere una conformità continua.
La gestione delle credenziali privilegiate su alcuni dispositivi OT può rivelarsi complessa a causa della mancanza di visibilità sull’intero sistema. Le migliori soluzioni PAM presenti sul mercato permettono di controllare e gestire le credenziali su questi dispositivi in modo sicuro, garantendo accesso solo al personale autorizzato dell’azienda.
È inoltre fondamentale fornire in modo sicuro le credenziali per i sistemi di gestione dei dispositivi che eseguono aggiornamenti automatici. Le funzionalità di gestione dei secret le archiviano e le forniscono in modo sicuro, garantendo che i dispositivi rimangano aggiornati e mantengano i protocolli di sicurezza.
Vulnerabilità di gateway e accesso remoto
I dispositivi endpoint che si trovano all’interno del confine OT vanno protetti e gestiti correttamente per evitare diffusione di malware. Si possono utilizzare soluzioni di endpoint privilege management (EPM) per irrobustire i sistemi, mantenere una rigorosa sicurezza dei privilegi degli endpoint e applicare privilegi minimi, riducendo il rischio di modifiche non autorizzate ai sistemi critici. Il ransomware rimane la minaccia più significativa per le infrastrutture industriali, e negli ultimi anni si è osservato uno spostamento dagli attacchi rivolti ai soli endpoint a quelli verso i dispositivi OT.
Dato che molte entità, sia umane che macchina, possono accedere fisicamente e da remoto ai dispotitivi IoT e agli ambienti OT, bisogna garantire una connessione remota sicura e controlli avanzati durante l’accesso a questi sistemi. Le funzionalità di accesso remoto delle soluzioni PAM forniscono un accesso sicuro ai vault di credenziali senza VPN, password o agent, oltre alla possibilità di fornire accesso offline alle credenziali.
Difesa in profondità: reset paperclip, gateway unidirezionali e monitoraggio dei dispositivi
Gli attaccanti spesso utilizzano metodi di attacco consolidati, come reset delle password dei dispositivi o lo sfruttamento di vulnerabilità note. È quindi opportuno ricercare soluzioni di sicurezza progettate per rilevare questo tipo di azione e porre automaticamente rimedio alla minaccia.
Le principali soluzioni PAM offrono funzionalità di rilevamento e risposta alle minacce all’identità (ITDR), come monitoraggio in tempo reale, rilevamento delle anomalie, monitoraggio degli eventi di sicurezza e dell’integrità, analisi del comportamento degli utenti e controllo della conformità alle normative, per garantire che tutti i dispositivi interconnessi siano accessibili correttamente dal personale autorizzato.
Verso un’architettura zero trust e oltre
La ridefinizione del programma PAM è un requisito necessario per soddisfare gli audit e le conformità specifiche del settore, oltre che a implementare un’architettura zero trust. Ma la creazione di un programma completo di cybersecurity non inizia e finisce con l’IT. Per garantire una sicurezza completa, è necessario formare e informare i propri dipendenti, in modo da evitare o quantomeno mitigare attacchi di social engineering.
- Zulejhic, Amar (Autore)