La protezione OT è ormai fondamentale per la messa in sicurezza delle infrastrutture critiche nazionali, dagli ospedali all’energy, passando per il manifatturiero. Quali sono i problemi che riscontrate più di frequente e gli ambiti in cui è più urgente intervenire?

Negli anni, gli attacchi informatici alle infrastrutture critiche (reti elettriche, impianti petroliferi e del gas, trasporti, telco e servizi sanitari) sono cresciuti sensibilmente. Un aumento principalmente dovuto alla maggiore interconnessione e interoperabilità tra le tecnologie OT e IT. Una delle più importanti lacune degli strumenti OT è che non dispongono di funzionalità di sicurezza informatica, in quanto i device sono progettati per svolgere compiti specifici senza l'interazione diretta dell'uomo. Inoltre, l'adozione della tecnologia 5G offre l'opportunità di una connettività più veloce e affidabile, estendendone ulteriormente le capacità e le vulnerabilità.

Tra le principali violazioni alle tecnologie OT che si sono verificate basta ricordare nel 2010 quando il worm Stuxnet ha agito per distruggere le centrali nucleari iraniane; a seguire nel 2015 è stato avviato un attacco alla rete elettrica ucraina che ha provocato interruzioni in tutto il paese. Nel 2017 il malware Triton è stato usato per attaccare i sistemi di un impianto petrolchimico dell'Arabia Saudita mentre nel 2021 gli hacker hanno tentato di contaminare l'approvvigionamento idrico di Oldsmar, in Florida e, sempre nel 2021 l'attacco ransomware a tutti i sistemi IT di Colonial Pipeline ha interrotto la fornitura di carburante in tutta la costa orientale degli Stati Uniti.

Le imprese dovrebbero esaminare tutte le vulnerabilità dei sistemi OT e analizzare le diverse minacce informatiche, con le rispettive probabilità e conseguenze. Un piano di gestione del rischio strutturato contribuirà a dare priorità alle misure di sicurezza e ad allocare le risorse in modo oculato. A seguire, il processo di Network Segmentation che consiste nel dividere la rete OT in segmenti più piccoli e isolati, aiuterà a contenere il malware e le altre minacce all'interno di un particolare settore e a impedirne la diffusione. Serve poi un controllo rigoroso degli accessi ai sistemi OT (tutti gli elenchi di accesso devono essere periodicamente rivisti e aggiornati) così come sono indispensabili continue attività di monitoraggio e rilevamento, unitamente all’implementazione di un Incident Response Plan, al training e alla sensibilizzazione dei dipendenti sui processi necessari a garantire la sicurezza dei sistemi OT. L'integrazione dell’AI e del Machine Learning nell'OT promuoverà poi una maggiore efficienza e sicurezza in quanto le analisi basate sull’AI consentono la manutenzione predittiva, che riduce al minimo i tempi di inattività e ne incrementa l'efficienza operativa.

Quali sono le soluzioni che SentinelOne propone alle imprese pubbliche e private per ottenere la resilienza necessaria?

Parlando dell’offerta ai clienti, la nostra piattaforma SentinelOne Singularity offre funzionalità specifiche per garantire la sicurezza dei dispositivi OT. In particolare, poiché gli attacchi a velocità macchina richiedono una risposta adeguata la Singularity Platform offre una sicurezza guidata dall'AI che abbraccia diversi sistemi operativi e workload in cloud. Questa protezione, che non costringe a continui aggiornamenti di firme, è ideale per difendere le workstation di controllo di dispositivi specializzati in ambito OT. L’AI monitora migliaia di processi OS simultanei su ogni endpoint, ogni millisecondo di ogni giorno, per rilevare comportamenti dannosi. In modalità Protect, l'agent di SentinelOne non solo identifica l'attacco ma elimina la sequenza di attacco prima che si diffonda. Il sistema brevettato 1-Click Remediation consente di riportare l’azienda in attività rapidamente. La SentinelOne Singularity Platform potenzia anche la visibilità in rete grazie alla funzionalità di Network Discovery, per ottenere un inventario aggiornato con rilevamento di set di vulnerabilità automatico per ambienti IoT, come Ripple20. Network Discovery individua e rileva le impronte digitali di ogni dispositivo abilitato all'IP connesso alla rete, consentendo di inventariare le risorse a livello globale e di gestire la superficie di attacco in tempo reale. Network Discovert utilizza gli agent SentinelOne come sensori di rete distribuiti che proteggono autonomamente le infrastrutture critiche da dispositivi sospetti o dannosi senza richiedere agent aggiuntivi, hardware o modifiche alla rete.

SentinelOne Singularity Data Lake, integrato nella piattaforma SentinelOne, permette la raccolta e la normalizzazione di log eterogenei, potenziando le capacità di rilevamento anomalie grazie a regole di custom detection e osservabilità tramite dashboard personalizzate. HyperAutomation, infine, accelera l’operatività dei team di sicurezza e non creando flussi di lavoro automatizzati trasversali alle piattaforme in modalità no-code. Permette cioè di misurare in modo tangibile ed efficace il risparmio di tempo introdotto da questa piattaforma nelle Security e IT Operations.

In sintesi, SentinelOne Singularity Platform abilita il censimento di tutti i dispositivi presenti nel network, IT, IoT ed OT. Le organizzazioni ottengono una trasparenza totale su tutto ciò che accade nella rete IT e OT. I clienti possono quindi isolare le infrastrutture critiche da dispositivi non gestiti, sospetti o dannosi con un solo clic.