I cyberattacchi che compromettono i sistemi OT sono in aumento
Fortinet presenta il suo 2024 State of Operational Technology and Cybersecurity Report. I risultati sono rappresentativi dello stato attuale della sicurezza della tecnologia operativa (OT) ed evidenziano le opportunità di continuo miglioramento per le organizzazioni, con l’obiettivo di metterle in sicurezza, data la continua espansione del panorama delle minacce IT/OT. Oltre alle tendenze e agli approfondimenti che hanno un impatto sulle organizzazioni OT, il report curato da Fortinet propone anche delle best practice per aiutare i team che si occupano proprio della sicurezza IT e OT a proteggere meglio gli ambienti in cui operano.
“Il 2024 State of Operational Technology and Cybersecurity Report di Fortinet mette in luce che, sebbene le organizzazioni OT stiano facendo progressi nel rafforzare la loro postura di sicurezza, i team devono ancora affrontare delle sfide significative nella protezione degli ambienti IT/OT convergenti. Per queste realtà sarà fondamentale l’adozione di strumenti e funzionalità essenziali per migliorare la visibilità e la protezione sull’intera rete quando si tratterà di ridurre il tempo medio di detection and response e, in definitiva, di ridurre il rischio complessivo di questi ambienti“, ha spiegato John Maddison, Chief Marketing Officer di Fortinet.
Se da un lato il report di quest’anno indica che le organizzazioni hanno fatto progressi negli ultimi 12 mesi per quanto riguarda l’avanzamento della loro postura di sicurezza OT, ci sono ancora aree critiche da migliorare in quanto gli ambienti di rete IT e OT continuano a convergere tra loro.
I risultati principali relativi allo studio globale includono le seguenti evidenze:
- I cyberattacchi che compromettono i sistemi OT sono in aumento. Nel 2023, il 49% degli intervistati ha subito un’intrusione che ha colpito solo i sistemi OT oppure sia i sistemi IT che quelli OT. Quest’anno, invece, sono state colpite quasi tre quarti (73%) delle organizzazioni. I dati dello studio mettono in luce anche un aumento di anno in anno delle intrusioni che hanno colpito solo i sistemi OT (dal 17% al 24%). Dato l’aumento degli attacchi, quasi la metà (46%) degli intervistati indica di misurare il successo in base al tempo di ripristino necessario per riprendere le normali operazioni.
- Negli ultimi 12 mesi, le organizzazioni hanno subito un numero elevato di intrusioni. Quasi un terzo (31%) degli intervistati ha segnalato di aver subito più di sei attacchi, rispetto all’11% dello scorso anno. Tutte le tipologie di intrusione sono aumentate rispetto all’anno precedente, ad eccezione di un calo nel malware; quelle che si sono svolte tramite phishing e compromissione delle email aziendali sono state le più comuni, mentre le tecniche più utilizzate sono state le violazioni della sicurezza mobile e la compromissione del web.
- I metodi di rilevamento non riescono a stare al passo. Le minacce diventano sempre più sofisticate, ma il report suggerisce che la maggior parte delle organizzazioni abbia ancora dei punti ciechi nel proprio ambiente. Gli intervistati che dichiarano che la loro realtà ha una visibilità completa dei sistemi OT all’interno delle security operation centrali sono diminuiti rispetto allo scorso anno, passando dal 10% al 5%. Sono, tuttavia, aumentati coloro che dichiarano una visibilità del 75%, dato che evidenza come le organizzazioni stiano acquisendo una comprensione più realistica della propria postura di sicurezza. Inoltre, più della metà (56%) degli intervistati ha subito intrusioni di ransomware o wiper – un aumento rispetto al 32% del 2023 – il che indica che c’è ancora spazio per migliorare la visibilità della rete e le capacità di rilevamento.
- In alcune organizzazioni la responsabilità della cybersecurity OT si sta elevando nei ranghi della leadership dirigenziale. La percentuale di organizzazioni che affidano la sicurezza OT al CISO continua a crescere, passando dal 17% del 2023 al 27% di quest’anno. Allo stesso tempo, è aumentata la propensione, fino a raggiungere il 60% nei prossimi 12 mesi, a spostare la responsabilità della sicurezza OT ad altri ruoli dirigenziali, tra cui CIO, CTO e COO, il che mostra chiaramente la preoccupazione per la sicurezza e il rischio OT nel 2024 e oltre. I risultati evidenziati da Fortinet indicano anche che in alcune realtà, in cui il CIO non è responsabile in prima persona, queste responsabilità si spostano verso l’alto: dal Director of Network Engineering al Vice President of Operations, dato che illustra una vera e propria escalation nelle responsabilità. Questa elevazione nei ranghi dirigenziali e al di sotto, indipendentemente dal ruolo della persona che ha in carico la supervisione della sicurezza OT, potrebbe suggerire che essa stia diventando un argomento di più alto profilo a livello di CDA.
Best Practice
Il 2024 State of Operational Technology and Cybersecurity Report di Fortinet propone dei passi concreti che possono essere utili alle organizzazioni per migliorare la loro postura di sicurezza. Le sfide della sicurezza OT possono essere affrontate adottando le seguenti best practice:
- Sviluppare la segmentazione. Per ridurre le intrusioni è necessario un ambiente OT rafforzato che sia protetto mediante solidi controlli dei criteri di rete in tutti gli access point. Questo tipo di architettura OT difendibile ha inizio con la creazione di zone o segmenti di rete. I team dovrebbero anche valutare la complessità generale della gestione delle diverse soluzioni e considerare i vantaggi di un approccio integrato o platform-based con funzionalità di gestione centralizzata.
- Stabilire la visibilità e i controlli di compensazione per gli asset OT. Le organizzazioni devono essere in grado di visualizzare e comprendere tutto ciò che si trova sulla rete OT. Una volta che si ottiene la visibilità, è quindi necessario proteggere tutti i dispositivi che sembrano essere vulnerabili, il che richiede controlli protettivi di compensazione costruiti appositamente per i dispositivi OT sensibili. Funzionalità come i criteri di rete protocol-aware, l’analisi delle interazioni tra sistemi e il monitoraggio degli endpoint possono rilevare e prevenire la compromissione delle risorse vulnerabili.
- Integrare l’OT nelle security operation e nella pianificazione della risposta agli incidenti. Le organizzazioni dovrebbero evolvere verso SecOps IT-OT. Per raggiungere questo obiettivo, i team devono considerare specificamente l’OT in relazione ai piani SecOps e di incident response. Un passo che si può compiere per muoversi in questa direzione è la creazione di playbook che incorporino l’ambiente OT delle varie realtà.
- Adottare servizi di intelligence e sicurezza delle minacce specifici per il settore OT. La sicurezza OT dipende da una consapevolezza puntuale e da insight analitici precisi sui rischi imminenti. Le organizzazioni devono assicurarsi che la loro threat intelligence e i loro contenuti sulle minacce includano informazioni affidabili e specifiche per l’OT nei loro feed e servizi.
- Considerare un approccio basato su piattaforma per l’architettura di sicurezza complessiva. Per affrontare le minacce OT in rapida evoluzione e una superficie di attacco in espansione, molte realtà utilizzano un’ampia gamma di soluzioni di vendor diversi; ne risulta però un’architettura di sicurezza eccessivamente complessa. Un approccio alla sicurezza platform-based può aiutare le organizzazioni a consolidare i propri fornitori e a semplificare così l’architettura. Una piattaforma di sicurezza solida, costruita appositamente per proteggere sia le reti IT che gli ambienti OT, può offrire l’integrazione delle soluzioni per migliorare l’efficacia della sicurezza, consentendo al contempo una gestione centralizzata per aumentare l’efficienza.