Ridefinire il Privileged Access Management per proteggere i dispositivi OT e IoT
Se trascurati, i dispositivi fisici possono rappresentare una fonte significativa di rischio per un’azienda. La tecnologia operativa (OT), ad esempio, è fondamentale per le imprese, ma spesso non è progettata e gestita con una mentalità orientata alla sicurezza. Il rischio è reale, ovunque. Come riportato nell’ultimo rapporto Clusit, nel 2023 in Italia è andato a segno l’11% degli attacchi gravi globali, cifra che segna un incremento del 65% rispetto all’anno precedente, con il 56% che ha avuto conseguenze di gravità critica o elevata. Spesso i sistemi OT non rientrano nella sfera di competenza dei CISO, e si focalizzano sul raggiungimento di obiettivi specifici - tempo di attività ed efficienza del sistema -, non considerando con la stessa priorità le potenziali vulnerabilità. Con gli attaccanti che cercano di sfruttare ogni possibile opportunità, tutte le identità – umane e non - diventano potenzialmente pericolose, per i livelli di accesso che offrono. Tra queste:
- Dispositivi utilizzati da fornitori di terze parti che spesso operano in remoto e offrono assistenza ai sistemi OT dei propri clienti.
- Dispositivi utilizzati dai dipendenti, il cui accesso ad applicazioni o endpoint collegati all’OT è protetto da password che possono essere facilmente compromesse tramite phishing o ransomware.
- Dispositivi integrati con identità macchina, dotati di accesso ad alto rischio a dati e infrastrutture, come sistemi di controllo industriale (ICS) e SCADA.
Al di fuori dell’OT restano i dispositivi Internet of Things (IoT), tra cui quelli interconnessi come termostati o lampadine intelligenti, indossabili, e telecamere di sicurezza connesse. Che cosa hanno in comune tutte queste variabili tra OT, IoT e ICS? I rischi dell’interconnettività.
Un’identità compromessa può consentire agli attaccanti di installare malware che consentono il controllo dei dispositivi OT o IoT, e che possono portare a esiti devastanti, come la chiusura degli impianti di un produttore, l’impossibilità di essere conformi alle normative o la messa offline dei dispositivi IoT a causa di un attacco DDoS distribuito. Si tratta di tecnologie cruciali per lo svolgimento delle attività aziendali, il che le rende interessanti per i cybercriminali.
Comprendere i rischi inclusi nei dispositivi OT e IoT
Gli attaccanti hanno sempre cercato di sfruttare l’accesso privilegiato e ora hanno ampliato la loro visione del privilegio. La protezione di questo accesso rimane fondamentale, ma ora sanno di poter tracciare un percorso di attacco simile sfruttando identità umane e macchina all’interno di ambienti OT e dispositivi IoT. È di vitale importanza conoscere lo stato di tutti i device della rete e adottare misure efficaci per proteggerli da potenziali attacchi.
Secondo il Report Digital Defense 2023 di Microsoft, il 25% dei dispositivi OT utilizza sistemi operativi non supportati, cosa che li rende più vulnerabili agli attacchi. Tradizionalmente, le aziende separavano i dispositivi OT da Internet con l’“air-gapping”, ma la crescente interconnessione dei dispositivi, anche negli ambienti un tempo air-gapped, ha posto nuove minacce alla continuità aziendale, aumentando di fatto la necessità di una protezione completa al di fuori delle pratiche fondamentali che un tempo soddisfacevano la sicurezza OT.
Perché è essenziale ridefinire il programma PAM per le minacce OT e IoT
Le sfide da affrontare legate alla sicurezza OT sono numerose, ad esempio obsolescenza e debolezza della tecnologia, sistemi operativi e software non più supportati e durata di vita più lunga che comporta vulnerabilità. Esiste anche l’opportunità di migliorare e prepararsi prima che sia troppo tardi, ad esempio ridefinendo i programmi PAM per proteggere un insieme più ampio di identità con accesso ad alto rischio. Sebbene OT e IoT siano intrinsecamente diversi, questi dispositivi hanno un punto in comune dal punto di vista della sicurezza. Analizziamo tre aree principali di rischio con le relative possibilità di ridurlo, quando si protegge il più ampio ecosistema di dispositivi non gestiti o connessi liberamente, compresi i dispositivi OT, IoT e ICS.
1. Rilevamento dei dispositivi e aggiornamenti del firmware
I programmi di gestione degli accessi privilegiati devono individuare e integrare continuamente nuovi dispositivi e account quando aggiunti in rete, migliorando controllo e supervisione. Questi account, e le credenziali utilizzate per gestire device e risorse aziendali, devono essere gestiti e ruotati in modo sicuro, evitando in particolare password predefinite. Isolare l’accesso per il monitoraggio e la registrazione delle sessioni aiuta a fornire report proattivi e a raggiungere una conformità continua. La gestione delle credenziali privilegiate su alcuni dispositivi OT può essere scoraggiante a causa della complessità e della mancanza di visibilità sull’intero ambiente. Le migliori soluzioni PAM consentono di controllare e ruotare le credenziali su questi dispositivi in modo sicuro, garantendo la riduzione degli accessi non autorizzati e possono lavorare con il gateway che controlla questi dispositivi al fine di garantire che le credenziali siano protette, ruotate regolarmente e gestite centralmente per ridurre il rischio di furto.
È fondamentale fornire in modo sicuro le credenziali per le soluzioni di gestione dei dispositivi che eseguono aggiornamenti del firmware e patch. Le funzionalità di gestione dei secret archiviano e le forniscono in modo sicuro, garantendo che i dispositivi rimangano aggiornati e mantengano i protocolli di sicurezza.
2. Vulnerabilità di gateway e accesso remoto
Gestire i privilegi degli endpoint per proteggere le postazioni di lavoro (con MFA per i desktop, se possibile) e bloccare la diffusione di ransomware e malware nell’OT. La sicurezza degli endpoint deve essere implementata anche sui sistemi di tipo IT che si trovano all’interno del confine OT. Ad esempio, le postazioni di lavoro condivise che si trovano all’interno delle fabbriche. Le apparecchiature sensibili richiedono controlli di sicurezza rigorosi sulle workstation e sui server che possono raggiungere i dispositivi OT tramite la rete.
Utilizzare un endpoint privilege manager (EPM) per irrobustire i sistemi, mantenere una rigorosa sicurezza dei privilegi degli endpoint e applicare privilegi minimi, riducendo il rischio di modifiche non autorizzate ai sistemi critici. Il ransomware rimane la minaccia più significativa per le infrastrutture industriali e si è osservato uno spostamento verso gli attacchi ransomware specificamente rivolti agli ambienti OT.
Molte identità diverse possono accedere fisicamente e da remoto ai dispositivi IoT e agli ambienti OT. È fondamentale garantire una connessione remota sicura e controlli avanzati durante l’utilizzo di queste macchine. Le funzionalità di accesso remoto delle soluzioni PAM forniscono un accesso sicuro ai vault di credenziali senza VPN, password o agent, oltre alla possibilità di fornire accesso offline alle credenziali.
L’accesso sicuro remoto è un vettore per il vault o un punto di ingresso all’ambiente OT. È opportuno applicare controlli per garantire che fornitori o partner che operano in ambienti air-gapped possano recuperare in modo sicuro le credenziali offline e ruotare le credenziali in base ai criteri organizzativi, sincronizzandole con i dispositivi mobili degli utenti dopo l’uscita e prima dell’accesso nei luoghi di lavoro offline.
3. Difesa in profondità: reset paperclip, gateway unidirezionali e monitoraggio dei dispositivi
Gli attaccanti non smetteranno mai di elaborare nuovi metodi per sfruttare credenziali e dati. Utilizzeranno anche vecchi trucchi come il reset paperclip sui dispositivi, che consente loro di reimpostare le password predefinite per poi prendere il controllo. È opportuno ricercare soluzioni di sicurezza progettate per rilevare questo tipo di azione e porre automaticamente rimedio alla minaccia ruotando le credenziali del dispositivo. Osservazione, analisi e gestione attive delle attività dei dispositivi e dei sistemi connessi sono fondamentali per la sicurezza di dispositivi IoT e ambienti OT. Le principali soluzioni PAM offrono funzionalità di rilevamento e risposta alle minacce all’identità (ITDR), come monitoraggio in tempo reale, rilevamento delle anomalie, monitoraggio degli eventi di sicurezza e dell’integrità, analisi del comportamento degli utenti e controllo della conformità alle normative, per garantire che tutti i dispositivi interconnessi siano accessibili correttamente dal personale autorizzato.
Proteggere e rafforzare il flusso di dati negli ambienti OT è essenziale. Integrazioni di gateway unidirezionali o diodi di dati con partner OT e ICS consentono di monitorare e rilevare qualsiasi tentativo di aggirare il PAM, impedendo l’accesso non autorizzato e l’utilizzo di account ad alto rischio.
Non dimenticare la visibilità per audit e conformità
Ridefinire il programma PAM per soddisfare i casi d’uso OT e IoT consente di rispettare audit e conformità specifici del settore, come SOC, NIST e NERC CIP, e iniziare a implementare un’architettura Zero Trust. La creazione di un programma completo di cybersecurity non inizia e finisce con l’IT. L’estensione dei concetti di sicurezza dell’identità al di là delle “mura” dell’IT per rafforzare l’OT consente di contrastare in modo proattivo le minacce informatiche che possono compromettere le operazioni critiche per l’azienda, interrompere i servizi essenziali ed eventualmente minacciare la sicurezza della salute pubblica.