Network Segmentation

0
197

fig3I tradizionali meccanismi di segmentazione di rete adottati nell’Information Technology non sono in grado di rispondere alle esigenze dell’OperationTechnology, e serve un nuovo approccio che tenda conto della specificità e della complessità dell’ambientazione industriale.

L’anno scorso si stimavano in 10 miliardi i dispositivi connessi all’Internet of Things, con una previsione di oltre 30 miliardi entro il 2020, e questa espansione, se rappresenta un successo per le implementazioni IoT in molteplici contesti, con tutti i benefici che arriveranno dalla digitalizzazione dei processi, dall’analisi e condivisione di dati, comporta anche un ampliamento della “superficie” di attacco del malware in tutte le sue forme. Di questo si inizia ad avere piena coscienza, come dimostrano le sempre più numerose ricerche e analisi sulla sicurezza delle Operation Technologies. Ma da dove iniziare? Dal blocco fondamentale della Cyber Security, la Network Segmentation, pratica da tempo consolidata nell’Information Technology aziendale.

IT e OT sono ambientazioni diverse

La segmentazione di rete nasce in ambiente IT, inizialmente per migliorare le performance, per esempio con la suddivisione in domini di collisione dei dispositivi in rete e per migliore contenimento del traffico in sottoreti dedicate a specifiche aree aziendali o gruppi di lavoro. Ma poi si è evoluta come supporto a una sicurezza di rete proattiva, e questo è un passaggio importante in quanto la sola difesa perimetrale, che tiene conto solo di quanto entra o esce dalla rete, non è sufficiente: quando un malware penetra il perimetro creandosi un punto d’appoggio, la diffusione in rete è inevitabile. Serve allora una protezione all’interno della rete, e qui la segmentazione gioca un ruolo fondamentale, permettendo la creazione di politiche di sicurezza specifiche per zona: detto diversamente, la rete viene segmentata in zone che possono essere separatamente e diversamente controllate, monitorate e protette. Visto il successo di questo approccio nell’Information Technology, lo stesso andrebbe proposto per l’ambientazione OT, da intendersi, in modo sintetico, come l’insieme dell’hardware e del software che monitora e controlla dei processi, cioè come dei dispositivi fisici svolgono le previste operazioni. Se in passato le tecnologie OT, comunque intese, non erano collegate in rete, ora lo sono sempre più, esponendosi ai rischi derivanti da indesiderate intrusioni che possono avere effetti ben più devastanti di quelli riferibili all’IT: basti pensare a grandi impianti, oleodotti, utilities pubbliche o trasporti. Si potrebbe allora applicare la segmentazione anche alle reti OT, ma non è così semplice, soprattutto per tre motivi principali: l’air gapping si sta dissolvendo, la sicurezza perimetrale è insufficiente, gli strumenti e le tecniche tipiche dell’IT non funzionano con l’OT. L’air gapping, o muro d’aria, deve il suo nome al fatto che tra un sistema e l’accesso a internet o a una LAN non c’è nulla, da cui una vera e propria separazione fisica. Ma oramai questo isolamento dei sistemi industriali è impossibile stante la necessità di comunicazione e condivisione delle informazioni, senza dimenticare che questo “muro” è sempre più spesso bucato dagli insider che, per incompetenza o anche solo per disattenzione, rappresentano quasi la maggior fonte di infiltrazione e infezione. Il cosiddetto “perimetro” da proteggere è poi sempre più difficilmente identificabile, a causa della necessità dei sistemi di comunicare tra loro e con i relativi sottosistemi di dispositivi. Più precisamente, in una ambientazione OT vengono a crearsi perimetri multipli e una soluzione potrebbe essere quella di attribuire a ciascun gruppo di sistemi uno specifico set di requisiti di sicurezza. Considerando un’architettura che parte dal livello base dei sensori sul campo e arriva fino ai router della rete aziendale, i diversi livelli vanno separati in zone individuando i canali attraverso i quali si hanno i flussi di informazioni e rendere sicuri questi canali predisponendo verifiche di tipo granulare sul traffico, il che non può che risultare complesso, oneroso e non privo di impatto sulle performance operative, anche se in tal modo si potrebbe considerare di avere l’equivalente della difesa perimetrale dell’IT. Ma così non è perché le tecnologie perimetrali dell’IT non sono trasferibili pari pari a all’OT, in quanto non concepite fin dall’origine per questa ambientazione. Da aggiungere che i produttori di automazione di fatto indirettamente impongono il modo in cui si devono progettare i livelli di controllo e supervisione, come conseguenza delle specifiche caratteristiche di macchine e sistemi, e una segmentazione di rete potrebbe andare al di fuori delle architetture di riferimento supportate. Infine, se anche alla fine VLAN e routing, meccanismi tradizionali di una segmentazione di rete, funzionassero adeguatamente in ambito OT dirigendo il traffico di rete e contenendolo in specificate zone, non sarebbe garantito che il traffico sia esente da malware, che non siano utilizzati dei comandi non autorizzati a scopo malevolo, o che con un dato comando si sfrutti una vulnerabilità di un dispositivo per poi lanciare un attacco. A questo si potrebbe porre rimedio utilizzando un firewall, letteralmente “muro tagliafuoco” di difesa perimetrale che, opportunamente configurato, filtra i pacchetti in ingresso e in uscita da e verso due sezioni di rete secondo regole prestabilite. Al riguardo vi sono delle opinioni contrastanti, in quanto per alcuni i firewall sono da considerarsi come IT Firewall, per cui efficaci per controllare i protocolli IT ma non quelli OT, nel senso che non possono “vedere” cosa si verifica in una rete industriale e soprattutto non sono in grado di interpretare il contesto, cioè garantire che comandi e payload  siano autorizzati.

Segmentazione di rete in ambito OT

L’obiettivo di una segmentazione è sostanzialmente semplice: creare un confine attorno a gruppi di asset e qui definire specifiche politiche di sicurezza adeguate ai requisiti di business dell’azienda. Ma le tecniche di segmentazione disponibili tramite VLAN e routing, che isolano il traffico di rete ma non “comprendono” il contesto in cui si muovono i pacchetti, mal si adattano all’OT, per cui occorre porre in atto un nuovo approccio omogeneo con le caratteristiche dell’Operational Technology. Non mancano produttori che propongono soluzioni adeguate al caso: il punto base è che occorre uscire dal contesto IT e guardare a offerte concepite per l’OT. Queste soluzioni, come sempre diverse tra loro pur miranti allo stesso obiettivo, sono caratterizzate da alcune prestazioni comuni, e la prima è la semplicità con cui ottenere una segmentazione virtuale o logica, dato che è improponibile pensare a una riallocazione fisica di dispositivi e sistemi solo per farli rientrare in una delle zone che si sono individuate come ottimali, considerando anche che alcuni asset sono allocati in siti remoti o più, banalmente, sono troppo ingombranti. L’aspetto di semplicità è importante in quanto, a differenza di un’ambientazione puramente IT, in un sito produttivo la complessità di intervento è molto elevata stante la combinazione di protocolli standard e proprietari e la presenza di sistemi di controllo industriale multi vendor, e in ciò deve essere di supporto un’interfaccia utente allo stato dell’arte che permetta una segmentazione anche da remoto, senza che si debba procedere a riconfigurazione fisica alcuna della rete OT. Poi la soluzione deve garantire la “protocol recognition”, cioè la comprensione dei protocolli di comunicazione tipici dell’ambientazione industriale, e una conseguente “deep protocol inspection”, ricordando che vi potrebbero essere dei comandi formalmente corretti per quel dato protocollo standard, ma finalizzati a scopi illegittimi. Questo comporta che la soluzione che si intende adottare deve essere in grado di prendere delle decisioni, se consentire un certo traffico di rete oppure bloccarlo e segnalarlo, per evitare danni ad asset critici di rete.

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here