“Le aziende stanno superando il tradizionale approccio perimetrale per adottare una gestione continua del loro profilo di rischio, basata sulla visibilità completa di tutti gli asset: la parte IT, la parte OT e anche la componente IoT. Questo è fondamentale, perché i sistemi sono sempre più articolati e interconnessi, e garantire la sicurezza senza interrompere le operazioni è una priorità”: così Nicola Altavilla, Director of the Mediterranean Region di Armis, sintetizza come sta – opportunamente – cambiando l’approccio delle aziende alla sicurezza delle loro infrastrutture, soprattutto critiche ed operative. Di fronte a uno scenario delle minacce che, anche per questioni di geopolitica, non sta certamente migliorando col tempo.

Il tema chiave, che peraltro la convergenza tra IT e OT si porta dietro da sempre, resta quello della visibilità: vale ancora il vecchio detto secondo cui non si può proteggere quello che non si conosce, e che a volte nemmeno si sa più di avere. “Serve in primo luogo un approccio olistico – conferma Altavilla – cioè in concreto soluzioni di cybersecurity che siano in grado di vedere sia la parte IT che la parte OT. Chi attacca ormai non va a caso ma punta direttamente sui sistemi più deboli, come dispositivi che non sono monitorati o account che non sono configurati correttamente. La parte OT espone molte di queste possibili vie di attacco, che senza una piena consapevolezza di ciò che compone il proprio ecosistema non si possono proteggere”.

Il rischio è concreto – una ricerca Armis dal titolo “A World Under Pressure: Navigating The Reality of AI-Driven Cyberwarfare” indica che oltre il 40% degli asset di un'azienda che non sono monitorati - e non lo si può più gestire con strumenti di vecchia concezione e nemmeno con quelli, anche moderni, che restano incompatibili con i sistemi industriali. “I sistemi unmanaged sono ancora la maggioranza dei componenti delle infrastrutture OT: telecamere, macchine industriali, sistemi SCADA, componenti di building automation… l’elenco è lungo. Sistemi sui quali a priori non puoi installare un software di protezione, ma di cui comunque devi monitorare attentamente lo stato: se sono ancora supportati, se i loro firmware sono aggiornati, se hanno comportamenti difformi da quello atteso”, spiega Altavilla.

La risposta a questa estrema eterogeneità da gestire è, purtroppo o per fortuna, chiara e obbligata: bisogna essere in grado di dialogare con tutti i possibili oggetti che compongono una infrastruttura OT. Per dialogare con uno specifico device bisogna conoscerlo e valutarlo, ed è quello che Armis fa attraverso il suo Asset Intelligence Engine. Ogni volta che in una infrastruttura monitorata da Armis appare un device sconosciuto, i software Armis ne identificano il tipo e le caratteristiche, poi ne monitorano il comportamento per definirne una baseline corretta: con quali altri device comunica, quanto spesso, come, scambiando quanti dati, e via dicendo.

Questi dati, anonimizzati, costituiscono un data lake da (attualmente) oltre sei miliardi di asset distribuiti in oltre 25 mila siti per clienti di 17 settori di mercato. In sostanza, sottolinea Armis, un data lake che raggruppa circa un quinto di tutti gli oggetti connessi alle reti globali, una messe di informazioni su cui fare analisi di sicurezza che spaziano dalla cyber intelligence e al threat hunting. E su cui si basano poi le soluzioni di protezione Armis Centrix per svolgere le loro funzioni di difesa delle reti.

È sempre questione (anche) di mentalità

La tecnologia per difendere le reti quindi evolve, ma un elemento altrettanto positivo è che dopo decenni in cui la parte IT e quella OT delle imprese sono state domini letteralmente - e anche organizzativamente - separati, oggi la mentalità sta cambiando anche nelle aziende molto OT-oriented. “Tutti i principali stakeholder - spiega Altavilla - sanno che è importante colmare il gap di sicurezza tra le due parti IT e OT e che oggi entrambe hanno la stessa priorità e la medesima necessità di essere monitorate costantemente”.

La mentalità sta cambiando anche sulla spinta di nuove normative come la citatissima NIS2, ma qualsiasi nuova legge richiede il suo tempo per essere fatta propria dalle aziende. “Le nuove normative ovviamente stanno spingendo le organizzazioni verso modelli più strutturati di gestione del rischio e della sicurezza - conferma Altavilla - ma il percorso non è immediato. Soprattutto, resta sempre un problema di percezione: il 79% delle organizzazioni si ritiene assolutamente preparato ad affrontare un attacco, ma molto spesso questa auto-valutazione è troppo ottimistica. Diciamo che oggi si sta affermando positivamente un modello di gestione continua dell'esposizione cyber, la cui adozione è stata accelerata anche dal contesto geopolitico”.

Ad alcune aziende può non piacere che le normative fissino paletti e requisiti cyber più esigenti, perché rispettarli è comunque un impegno. Ma si tratta di elementi comunque utili perché danno punti fermi e di riferimento al mercato. Come ad esempio la certificazione ACN, che Armis ha conseguito e che per Altavilla è un elemento di distinzione in generale. “È vero che la certificazione ACN viene associata principalmente alla PA e sembra poco collegata all’OT security - commenta il manager di Armis - ma essere certificati comunque è complesso e le aziende lo sanno bene, a qualsiasi settore appartengano. Anche per le organizzazioni più ‘da OT’, quindi, sapere che un vendor è certificato ACN è una forma di garanzia sul livello delle sue tecnologie”.

Il ruolo dell’AI

Con sempre più minacce da gestire, molti guardano all’intelligenza artificiale come a uno strumento utile in più. Armis è sostanzialmente d’accordo: “Sicuramente l'AI può fare la differenza, per prima cosa automatizzando le attività di routine e liberando così risorse preziose per le iniziative più strategiche. Noi la consideriamo anche un importante strumento di ‘early warning’: offre la capacità di analizzare una grande quantità di dati di sicurezza, identificando schemi di attacco, trend e anche minacce emergenti. Inoltre garantisce valutazioni del rischio coerenti, esaminando continuamente le configurazioni degli asset, le loro vulnerabilità, gli stati di conformità e ricavando da queste analisi un indice di rischio e raccomandazioni sulle possibili misure di remediation in tempo reale”, spiega Altavilla.

Il vantaggio non è solo tattico, ma anche di approccio alla cybersecurity: “Se si adotta l’AI - sintetizza il manager - come strumento per classificare automaticamente gli asset, monitorarli, stabilirne i comportamenti attesi e segnalare le anomalie prima che diventano incidenti, di fatto si porta in azienda una postura di sicurezza proattiva”. Proprio quella ‘security posture’ che per lungo tempo il mondo OT ha fatto fatica a recepire.