Entro il 20 gennaio 2027 entrerà in vigore il nuovo Regolamento Macchine 2023/1230. Uno dei pilastri del provvedimento europeo che sostituisce la precedente Direttiva 2006/42/CE riguarda il ridisegno della cybersecurity nei contesti industriali. In particolare, il nuovo Regolamento prescrive che i circuiti di comando che svolgono funzioni di sicurezza siano progettati in modo tale da evitare che attacchi malevoli possano causare comportamenti pericolosi da parte dei macchinari. La ratio da cui scaturisce il Regolamento tiene conto della trasformazione che stanno vivendo gli ambienti OT (Operational Technology), una trasformazione paragonabile a quella già avvenuta nel settore IT. In comune, OT e IT sperimentano l’ampliamento del perimetro di attacco che si estende oltre i confini tradizionali degli apparecchi industriali, la cui gestione della sicurezza è resa sempre più complessa dal venir meno di barriere intrinseche che con l’avvento di Internet non hanno più ragion d’essere. I dipartimenti IT, spesso incaricati della sicurezza dei sistemi industriali, scontano una conoscenza limitata delle tecnologie OT. Ecco perché, per garantire la continuità e l’integrità dei processi produttivi, nonché per aumentare la resilienza contro le minacce cyber, è opportuno adottare un approccio olistico che integri aspetti tecnologici e procedurali. Tale approccio dovrebbe includere una difesa stratificata e segmentata, simile a quella usata nella sicurezza IT, capace di affrontare adeguatamente specifiche aree di rischio e vulnerabilità.
Indice degli argomenti
L’importanza dell’analisi passiva e attiva per gli ambienti OT
I nuovi scenari in cui si collocano i sistemi per l’Industrial Cybersecurity, di cui il nuovo Regolamento Macchine costituisce la normativa di riferimento, presuppongono la necessità di contemplare sia un’analisi passiva sia un’analisi attiva delle tecnologie OT presenti negli shop floor.
Un esempio di entrambe le modalità di analisi arriva da Agger, piattaforma made in Italy all-in-one realizzata da Gyala che nel primo caso – analisi passiva – per non interferire con il normale funzionamento delle macchine basa l’analisi sulla duplicazione e sulla intercettazione del traffico di rete per ottenere informazioni sul comportamento, le prestazioni e la sicurezza di un dispositivo OT o di un intero sistema OT.
Nel secondo caso – analisi attiva – garantisce un monitoraggio costante attraverso l’interazione diretta con il dispositivo OT avvalendosi delle interfacce e dei protocolli che detto dispositivo espone sulla rete. In questo modo è possibile rilevare eventuali alterazioni delle configurazioni interne presenti sul device.
Sul fronte passivo, Agger utilizza il modulo NTA che prevede controlli per vari protocolli OT quali S7, MMS e DNP3 e sviluppa ad hoc eventuali ulteriori protocolli necessari.
Per quanto riguarda invece l’analisi attiva, si avvale del componente ADM (Agentless Device Monitoring) per interrogare i dispositivi OT collegati in rete mediante richieste periodiche sui protocolli S7, MMS, SNMPv2 e SNMPv3.
Le 4 funzionalità di Agger: Detection, Reaction, Orchestration e Investigation
Una delle peculiarità di Agger è che gli algoritmi di Intelligenza Artificiale di derivazione militare a corredo della soluzione sono in grado di prevenire, indentificare, gestire e reagire automaticamente a tempo zero a ogni tipo di minaccia, per garantire la resilienza delle infrastrutture OT e IT.
Agger possiede 4 funzionalità supportate dalla medesima piattaforma.
Nello specifico:
1) Detection
Questa funzionalità identifica le condizioni anomale tramite l’analisi del traffico di rete e dei processi in esecuzione, nonché acquisendo i log di sicurezza già disponibili nelle infrastrutture.
2) Reaction
Una volta identificata una condizione di incidente, Agger applica automaticamente e in tempo reale una serie di azioni basate sulla conoscenza dell’infrastruttura e dei servizi che eroga replicando ciò che farebbe un analista per un analogo incidente in quel determinato contesto. Le reazioni possono essere personalizzate dal cliente.
3) Orchestration
Il sistema crea modelli di comportamento dinamico sulla base delle analisi svolte, modelli che servono a individuare eventuali scostamenti dai valori considerati standard. Analizza continuamente lo stato e la configurazione di ogni client, server e device dell’infrastruttura IT/OT e applica regole di detection e reaction sia a livello globale sia per ogni singolo endpoint
4) Investigation
La raccolta delle informazioni su eventi e incidenti è propedeutica alla loro condivisione con gli esperti di security per attività di post-analysis con cui innalzare la cybersecurity posture dell’intera organizzazione.
La soluzione di Gyala può essere customizzata a seconda del sito produttivo in cui avviene l’implementazione. Ad esempio, può essere prevista la configurazione di regole custom di detection e reaction sia per gruppi di agent sia per singolo agent e singolo device per avere una gestione personalizzata degli incidenti in funzione del ruolo operativo degli asset da controllare. O, ancora, la raccolta di informazioni sullo stato di un sistema può comprendere la verifica di diversi indicatori: dai processi in esecuzione alle connessioni di rete, dagli utenti loggati alle tabelle di routing, fino alle configurazioni di rete e ai software installati. Con la possibilità di assegnare tag agli endpoint e agli apparati agentless per ottenere informazioni utili nella gestione di un incidente, quali la posizione fisica del device, il servizio a cui appartiene, il fornitore che lo gestisce ecc.
Non solo cybersecurity per il mondo industriale, il progetto nel biomedicale
La soluzione di Gyala non si presta a essere adottata soltanto nel mondo produttivo e manifatturiero. Come dimostra il progetto premiato agli ultimi Digital360 Awards, può trovare spazio nel segmento biomedicale. Carlo Muzzì, Responsabile ICT di Sitaf, lo ha sottolineato nell’assegnare il riconoscimento dal palco di Lazise a ottobre 2023: “Il voler affrontare il tema della sicurezza aziendale nel settore degli apparati biomedicali – ha detto – è ciò che mi ha maggiormente colpito di questo progetto. Il team ha voluto confrontarsi con una urgenza trasversale a tutti gli ambiti, partendo da uno di quelli in cui non è sempre facile incontrare interlocutori consapevoli”. Nella fattispecie, Agger era stato utilizzato con successo in un progetto pilota che aveva coinvolto l’infrastruttura sanitaria di una provincia laziale, che includeva 4 presidi ospedalieri e 37 sedi territoriali. Il sistema – formato da 2000 agent, 27 sonde di rete e una unità centralizzata – era stato installato rapidamente nelle sedi ospedaliere e, nell’arco di circa un mese, anche nelle sedi periferiche. Oltre a proteggere l’infrastruttura, bloccando malware e tentativi di attacco e assicurando la continuità dei servizi sanitari, era stato migliorato così il funzionamento dei servizi grazie ai dati raccolti. Secondo Nicola Mugnato, CTO & Founder di Gyala, al cuore del successo dell’iniziativa si pone la capacità di “rendere tecnologie nate nel mondo militare disponibili anche per aziende civili e infrastrutture critiche nazionali”. A prescindere, perciò, dal settore di mercato in cui operano le organizzazioni che scelgono di impiegare Agger.