La protezione delle reti e degli asset OT è un tema di attualità da più di un decennio, da quando cioè la digitalizzazione degli ecosistemi operativi (trainata dallo sviluppo del modello 4.0) ha ridotto il cosiddetto air gap tra le reti OT e IT nel nome dell’innovazione e dell’efficienza, ma ha anche creato non pochi rischi per le componenti OT, che tradizionalmente non hanno mai avuto una sicurezza built-in. Se poi consideriamo che un attacco cyber a una rete industriale può avere conseguenze non solo per la continuità del business ma anche per la sicurezza delle persone, comprendiamo perfettamente la priorità assunta dal tema.
Il tema del Remote Access sicuro agli asset OT
Nel macrocosmo della OT security, uno degli ambiti su cui focalizzare l’attenzione è l’accesso remoto ad asset che vanno da sensori e attuatori fino a sistemi di controllo e supervisione di intere linee produttive. Nell’era della connettività totale, il remote access è fondamentale per rendere efficienti attività critiche come gli aggiornamenti, l’identificazione delle cause dei guasti e il monitoraggio delle performance dei sistemi, così da ridurre i tempi di fermo macchina e ottimizzare i processi produttivi. In assenza di remote access, l’unica possibilità per i team OT dell’azienda, così come per i vendor dei dispositivi, è il sopralluogo fisico, con tutti i limiti, le complessità e i costi del caso.
Abilitare l’accesso remoto sicuro alle reti e ai dispositivi OT non è però banale. I siti possono essere fortemente distribuiti e gli asset si possono trovare in reti private difficilmente accessibili, cosa che richiede configurazioni particolari dei firewall e l’implementazione di gateway hardware, con un significativo overhead per i team IT e OT. Capita inoltre che i produttori dei macchinari e/o i fornitori di servizi di manutenzione installino direttamente e usino le proprie soluzioni (software) di accesso remoto, che di fatto sfuggono dal controllo dell’IT aziendale.
Zero Trust nel mondo della OT security
Come abilitare, dunque, una capacità di accesso remoto ai dispositivi OT che sia al tempo stesso sicura ed economicamente sostenibile?
Da qualche anno, il paradigma Zero Trust si è imposto nel mondo della sicurezza IT e si sta estendendo anche in quello della Operation Technology. Uno dei pilastri di questo approccio è ZTNA (Zero Trust Network Access), un modello che fornisce accesso sicuro alle risorse sulla base della verifica continua e rigorosa dell’identità e dell’integrità di utenti e dispositivi. ZTNA, inoltre, limita l’accesso alle sole risorse indispensabili e per il tempo strettamente necessario.
Per implementare ZTNA è solitamente necessaria l’installazione di gateway hardware dedicati, che creano percorsi di comunicazione sicuri verso gli asset OT. Come accennato precedentemente, questo determina non pochi problemi: a volte manca fisicamente lo spazio per nuove appliance, ma in generale si tratta di un costo di deployment, di gestione e di manutenzione non indifferente, e del quale molte aziende farebbero volentieri a meno. Un’altra possibilità è quella di implementare il gateway ZTNA nella DMZ, ma a quel punto vanno messi in conto limiti di visibilità degli asset.
La soluzione Cisco: Secure Equipment Access (SEA)
Tra le soluzioni disponibili per implementare ZTNA, quella di Cisco (Secure Equipment Access) punta a ottimizzare il rapporto tra la sicurezza – che resta il punto di riferimento primario – la praticità, la semplicità di adozione e, ovviamente, l’efficienza, che si traduce nell’ottimizzazione dei costi.
In pratica, la soluzione Cisco integra le funzionalità di gateway ZTNA direttamente negli switch e nei router industriali del brand. Con SEA, Cisco trasforma il remote access sicuro nel paradigma Zero Trust OT, in una semplice funzionalità che va attivata su dispositivi già presenti in rete. Come afferma la stessa azienda, infatti, “(Con SEA, ndr) non c’è hardware dedicato da installare e gestire, né complesse regole del firewall da configurare e mantenere”.
Grazie a questa caratteristica è possibile attivare la funzionalità su più dispositivi, ovvero in prossimità degli oggetti da raggiungere. Questo consente di accedere agevolmente a tutti gli asset industriali, a prescindere dalla loro posizione nella rete e dalla strategia NAT implementata dall’azienda pur mantenendo centralizzato (anche tramite un semplice browser) il punto di accesso per gli utenti.
In altri termini, con SEA i dispositivi che tradizionalmente fornivano solo la connettività LAN, diventano una componente fondamentale per garantire la sicurezza degli asset connessi. Previa applicazione di policy di sicurezza basate su identità e contesto, si possono anche implementare policy di microsegmentazione delle reti, attivando quindi un ulteriore meccanismo di difesa.
ll tutto è gestibile attraverso un portale di accesso SEA (serve solo un browser, non è necessario un client specifico) caratterizzato dalle seguenti funzionalità:
- Autenticazione dual factor
- Integrazione con qualsiasi sistema SSO del cliente
- Autorizzazione granulare in base ad utente e asset da raggiungere
- Processo di autorizzazione distribuito su più funzioni aziendali
- Trasferimento sicuro di file con analisi anti malware
- Monitoraggio e registrazione delle sessioni per training o controllo ex-post
Grazie a questa soluzione, le aziende potranno estendere il concetto di Zero Trust all’accesso remoto ai dispositivi OT per un migliore controllo a livello di sicurezza e compliance.