Quando si parla di cyber security a livello industriale, la logica della detection rappresenta uno dei pilastri fondamentali. La gestione della sicurezza informatica a livello di sistemi di produzione gestiti attraverso strumenti digitali, infatti, richiede in primo luogo l’implementazione di sistemi di monitoraggio che consentano di rilevare, ordinare e analizzare tutti gli eventi di sicurezza attraverso sistemi SIEM (Security Information and Event Management) per individuare e contrastare eventuali attacchi informatici. Perché questi abbiano efficacia in chiave di detection and response, però, è necessario che il contesto in cui operano abbia caratteristiche ben definite.
Obiettivo visibilità
La predisposizione di un sistema di monitoraggio granulare a livello di reti attraverso sistemi di industrial SIEM ha, come prerequisito fondamentale, la possibilità di avere una visione complessiva del network e di tutte le risorse collegate al suo interno. In ambito industriale l’obiettivo di ottenere la visibilità del network, soprattutto quando il processo riguarda linee di produzione e controllo che si sono sviluppate a partire da un contesto “analogico”, richiede l’esecuzione di una accurata mappatura delle infrastrutture e, se necessario, una razionalizzazione o riorganizzazione della rete stessa. I processi di digitalizzazione in ambito industriale, infatti, sono spesso evoluti in maniera progressiva, attraverso una stratificazione di tecnologie diverse che rendono più complessa la mappatura stessa. In altre parole, il rischio è che alcune parti della rete rimangano in una situazione di “opacità” che rischia di pregiudicare l’efficacia dei sistemi SIEM.
Il ruolo degli standard
Direttamente collegato al tema della visibilità, è quello degli standard utilizzati per generare i log che consentono l’attività di industrial SIEM. Un tema che deve essere affrontato su due fronti. Il primo è quello della scelta della soluzione SIEM, che deve garantire la massima affidabilità e compatibilità con l’ecosistema presente sulle linee di produzione. In ambito industriale, infatti, eventuali falsi positivi possono portare a conseguenze estremamente dannose a livello di produzione. Il secondo, ispirato al concetto di “security first”, coinvolge la fase di pianificazione e implementazione degli strumenti digitali utilizzati per la gestione dei sistemi OT e la loro evoluzione. Definire a priori un’architettura che consenta di adottare sistemi industrial SIEM efficienti deve rappresentare, infatti, una priorità nell’ottica di garantire un adeguato livello di cyber security nei sistemi produttivi.
Industrial SIEM e vulnerability management
Qualsiasi attività di monitoraggio richiede un background di intelligence e verifica continua delle criticità che emergono a livello di cyber rischio. Nell’ottica dell’industrial SIEM, questo aspetto assume un’importanza prioritaria. La capacità di rilevare attività collegate a specifici pattern di attacco o a vulnerabilità conosciute è, infatti, un fattore abilitante per sfruttare al massimo le potenzialità dei sistemi SIEM. In ambito industriale è necessario di conseguenza attivare risorse mirate, che consentano di “istruire” gli strumenti di monitoraggio e fornire le coordinate necessarie per contrastare gli attacchi conosciuti e prevenire quelli non ancora emersi. L’attività di vulnerability management, in questo senso, deve essere interpretata come un processo continuo, attraverso il quale sia possibile adattare gli strumenti di difesa in tempo reale a seconda delle esigenze.
Coordinamento a livello di intervento
L’efficacia dei sistemi industrial SIEM non dipende solo dalla scelta degli strumenti tecnici e dalla loro corretta implementazione. Come in qualsiasi ambito inerente alla cyber security, richiede l’adozione di policy e procedure rigorose che consentano di intervenire tempestivamente per contrastare eventuali attacchi informatici. Nel caso specifico, le particolarità del settore OT richiedono una forma di stretto coordinamento tra il SOC (Security Operation Center), che gestisce e organizza i sistemi di industrial SIEM, e gli addetti alla gestione delle linee produttive. Molti degli interventi a livello di sistemi di gestione OT, infatti, non possono essere effettuati in remoto ma richiedono accessi “fisici” ai dispositivi. La definizione di procedure in cui security e OT collaborino in maniera strutturale (seguendo la stessa logica che gli sviluppatori di software definiscono DevSecOps) è, quindi, un elemento fondante dello stesso processo di cyber security.