La convergenza tra IT e OT è un processo storico ormai evidente. Dal punto di vista del risultato diretto, l’efficienza del software, si tratta di un matrimonio di grande successo. Non c’è dubbio, però, che dal punto di vista della sicurezza l’approccio non sia ancora altrettanto robusto.

Il termine convergenza lascia pensare ad un equilibrio tra le componenti, ma non è così. Le operations sono infatti la controparte più a rischio, in termini di sicurezza. Gli attacchi informatici, ormai automatici e gestiti da software che apprendono, hanno via libera nel trovare l’anello debole lungo la catena.

A guardarlo bene, il fronte da difendere ha avuto una improvvisa espansione, per l’esplosione della forza lavoro in remoto e dell’adozione del paradigma IoT (Internet of Things). In alcuni casi si parla più esplicitamente di convergenza IT/OT/IoT, inglobando il remote working nella classica ICT.

Inoltre, va citato il problema della sicurezza negli ambienti industriali, dove i sistemi SCADA (Supervisory Control And Data Acquisition), nonostante la recente sensibilizzazione alla problematica, creano ancora grande perplessità.

In un panorama in continua rivoluzione, gli investimenti vengono rimodulati. La situazione attuale ha portato molte aziende a rallentare le spese necessarie all’OT. In molti casi, i manager più furbi hanno adottato una soluzione tattica, aggiornando qualcosa nel piano di lavoro per mostrarlo come risolutivo. La furbizia, però, non ha presa sugli attacker, per cui il numero di security exploit è cresciuto ancora più rapidamente negli ultimi anni, che non nel passato.

Il nuovo perimetro da difendere e gli scarsi investimenti hanno permesso la propagazione degli attacchi anche in aree strategiche dell’ICT aziendale con un approccio che oggi viene chiamato supply chain attack.

Applicazioni in primo piano

Bisogna quindi alzare l’asticella dal lato delle operations. Finora i punti focali della sicurezza OT sono stati la sicurezza della rete e degli endpoint, ma la valutazione è certamente parziale: oggi sono le applicazioni il punto nevralgico al quale dare la massima attenzione.

A guardarlo bene, il panorama del software è estremamente frammentato, sia per la coesistenza di più ere informatiche, sia per l’attuale ampiezza del numero dei tool di sviluppo. Sebbene il mercato offra molte soluzioni, non c’è ancora un set di pratiche di operations sufficientemente robusto e sotto controllo. Anche le soluzioni interne a stack di applicazioni, e gli stessi container più o meno orchestrati, lasciano al manager la possibilità di fare risparmi a discapito della sicurezza reale.

RASP e nuovi paradigmi a supporto dell’IT/OT security

Finora la sicurezza delle applicazioni è stata affidata sostanzialmente a due riferimenti, WAF e xAST. I firewall delle applicazioni Web, in breve WAF, e i test di sicurezza delle applicazioni (statici, dinamici e interattivi), abilitano un livello di sicurezza minimo, ma certamente non sufficiente neanche in caso di corretta e continua configurazione.

Al momento si parla molto di RASP, Runtime Application Self Protection. Il termine non è nuovissimo, ma sta acquisendo grande importanza negli ultimi tempi.

L’evoluzione nella direzione di container, IaaS, PaaS e altre forme di virtualizzazione espongono il codice a nuove vulnerabilità. RASP non opera da un dispositivo di rete, ma nel runtime stesso, ovvero all’interno del software e intercetta le chiamate dall’app ad un sistema assicurandosi che siano sicure. In caso di attacco, l’azione viene bloccata in modo rapido ed efficace. RASP, quindi, oltre alla protezione fa intelligence, rendendo visibili gli attacchi con le relative tecniche.

IT/OT security: 4 azioni di mettere in pratica

In definitiva, le migliori soluzioni per massimizzare la sicurezza nell’ICT di oggi sono:

  1. non rallentare gli investimenti di aggiornamento OT;
  2. investire nelle competenze necessarie per settare correttamente i WAF;
  3. investire in formazione e adeguamento dei test xAST e del loro ambiente completo;
  4. valutare l’adozione del controllo RASP che opera al livello del runtime.

Gli investimenti per assicurare l’IT/OT security, con azioni su base continuativa, possono sembrare onerosi. Tuttavia, in un mondo security first, la connessione tra i vari aspetti IT/OT amplifica i risultati, ma estende anche le falle locali all’intero sistema, esponendo a rischio che possono avere conseguenze disastrose. Per questo motivo, affiancarsi ad un partner, che sappia individuare i giusti investimenti per la migliore difesa, è sempre più strategico per la salvaguardia del business.