In tutte le reti, e in particolare nelle reti industriali (Industrial Ethernet), c’è una diffusione sempre maggiore di terminali connessi, principalmente sensori e attuatori, ma anche macchine di produzione o supervisione che man mano sono diventati parte integrante della rete aziendale. Questi nuovi terminali, chiamati dispositivi IOT/IIOT (Internet of Things/Industrial Internet of Things) presentano spesso problemi di sicurezza, e in caso di attacco informatico possono mettere a rischio la parte produttiva dell’azienda. Un attacco in grado di bloccare le linee di produzione provoca un danno immediato, elevato e difficile da ripristinare.
La sorgente degli attacchi informatici
La maggior parte degli attacchi informatici arriva da Internet. Quindi, la prima contromossa è dotarsi di un sistema di difesa che protegga il “confine” tra rete privata e pubblica. Il metodo più classico prevede l’installazione di un firewall, meglio se con funzionalità di UTM (Unified Threat Management) di cui esistono diverse versioni e formati per ogni esigenza, come la famiglia delle “security appliance” di Allied Telesis, pensata per aziende di ogni dimensione.
Esistono però altri confini, che subiscono un numero inferiore di attacchi, sono molto meno presidiati e per questo motivo espongono l’azienda ad altri rischi.
Ogni porta di rete cablata e rete wireless rappresenta infatti un potenziale punto di attacco. Un laptop infettato durante il suo utilizzo al di fuori dell’azienda e riconnesso alla rete, uno smartphone o un tablet connesso al wireless aziendale, ma anche una videocamera di sorveglianza o un sensore IOT/IIOT possono essere utilizzati come cavalli di Troia per colpire la rete dall’interno.
Sostituire un sensore IOT/IIOT con un computer, copiando il suo indirizzo, è un modo semplice per accedere alla rete aziendale dall’interno.
Movimenti verticali e orizzontali
Nel mondo cyber possiamo distinguere tra due grandi categorie di attacchi, verticali e orizzontali. Quelli che arrivano dalla rete pubblica hanno un movimento di tipo verticale, dalla sorgente attraverso la rete fino al computer o server. Questo implica un passaggio obbligato tramite il firewall, per cui mantenerlo sempre aggiornato permette di bloccarne la maggior parte in maniera efficace.
Gli attacchi che provengono dall’interno della rete si muovono invece in maniera orizzontale, vanno da terminale a terminale, entrando in contatto con il firewall solo quando cercano di raggiungere la rete pubblica. Questo li rende molto più pericolosi, perché possono diffondersi nella rete locale per ore o anche giorni senza che il firewall possa intercettarli.
Il tempismo è tutto
Una volta messe in campo tutte le forme di prevenzione, occorre capire come reagire al meglio nel caso in cui l’attacco abbia successo e un dispositivo IOT/IIOT collegato alla rete risulti infetto.
Con tempi che possono variare a seconda dall’architettura, i firewall intercettano l’attacco e impediscono di attraversarla, ma non possono fare nulla contro una diffusione orizzontale.
Una volta rilevato, il firewall informa l’IT manager e da quel momento è necessario agire in maniera tempestiva per evitare ulteriori danni. Le azioni necessarie sono nelle mani del team IT e quindi legati ai tempi degli individui. Il danno subito dall’azienda è direttamente proporzionale al tempo necessario per ripristinare la rete affinché funzioni in sicurezza.
Questo tempo di reazione dipende da una moltitudine di fattori: la complessità della rete, l’esperienza, la presenza o disponibilità del personale, la capacità di individuare il dispositivo infetto e il tempo necessario per scollegarlo dalla rete. Non a caso la maggior parte degli attacchi viene lanciata nelle ore serali o durante il fine settimana quando il personale IT non è presente o ha tempi di intervento più dilatati. Non di rado occorrono giorni per individuare la sorgente di un attacco e porvi rimedio.
La soluzione di iper-automazione di Allied Telesis
Per rispondere a queste esigenze la soluzione “Self-Defending Network” di Allied Telesis adotta un approccio di automazione spinta che minimizza i tempi di reazione, implementando una rete in grado di difendersi autonomamente.
La soluzione è composta da tre elementi:
- Un sistema di rivelazione efficiente, basato su un approccio multidisciplinare in cui ai firewall vengono affiancati strumenti basati su AI.
- L’AMF Security (AMF-Sec) Controller che grazie alla tecnologia “Isolation Adapter” interpreta i messaggi dei sistemi di rivelazione e decide come reagire
- L’“Autonomous Management Framework” (AMF), il sistema di management centralizzato in grado di ricevere le indicazioni dal controller AMF-Sec e implementarle immediatamente.
Questa soluzione ha il vantaggio di essere compatibile con ogni sistema di rilevazione, sia con la famiglia di “security appliance” di Allied Telesis che con firewall e sistemi di terze parti.
Il lavoro integrato di questi componenti permette di bloccare la macchina compromessa immediatamente, minimizzando l’impatto sul resto della rete.
I sistemi di iper-automazione per la protezione della rete saranno il tema principale del workshop gratuito: “Sicurezza degli endpoint IOT/IIOT nelle reti Industrial Ethernet” che Allied Telesis terrà il 20 ottobre 2022 dalle ore 9:30 alle 12:30 a Milano a cui è possibile iscriversi attraverso questo link.
