Una buona strategia di cybersecurity in azienda oggi deve partire dal presupposto che il punto più importante di un’infrastruttura informatica è la parte di networking. Detto ciò, per implementare delle corrette misure di sicurezza della rete, questa non può essere una rete piatta, ovvero senza gerarchie né sottoreti. Nella nostra esperienza in Netech nello sviluppo di progetti di sicurezza e protezione IT nelle aziende, vediamo invece che nel 90% dei casi le reti non sono costruite in maniera adeguata, ossia non sono segmentate. La segmentazione della rete è un argomento importantissimo per quanto attiene la sicurezza informatica e la difesa dalle moderne tecniche di attacco. Aspetto che diviene ancora più importante con l’avvento di Industria 4.0 e Transizione 5.0, che ha creato reti molto estese e complesse, dove tutto il mondo delle OT è interconnesso direttamente al mondo IT. Centri di lavoro, MES e PLC sono stati messi in comunicazione con i sistemi IT, avendo però spesso alle spalle sistemi che non sono adeguati ad essere messi in rete in maniera sicura.
Questo ha portato ad avere in moltissime situazioni delle reti molto estese in ambienti IIoT, dove 250 host non sono più sufficienti a contenere tutti i vari dispositivi presenti, che non sono più solo PC e stampanti. Più la rete diventa grande e complessa, più diventa allora necessario suddividerla in tante reti mediante la segmentazione, onde poter gestire in maniera più attenta tutti gli host presenti. Un concetto chiave in tema di infrastrutture IT è la topologia della rete, ovvero le varie forme che questa può assumere in base a ciò che si vuole ottenere a livello logico e organizzativo, ossia come i vari device sono connessi tra loro e come le informazioni si muovono all’interno della rete. Avere una buona ridondanza è in particolare un classico esempio di una rete aziendale ben costruita, progettata per eliminare i colli di bottiglia e garantire un flusso rapido ed efficiente delle informazioni e la possibilità di interpolarle, con l’obiettivo di diminuire la latenza, migliorare le performance e aumentare la banda passante.
Una rete ben progettata semplifica quindi anche l’allocazione delle risorse da parte degli amministratori, e facilita l’implementazione di misure di sicurezza aggiuntive. Ad esempio i firewall, che bloccano l’accesso a determinate parti della rete in base a politiche delineate in un ACL, elenco di controllo degli accessi. Oltre alla topologia, un altro aspetto importante è quindi, appunto, la segmentazione. E’ possibile avere una segmentazione fisica, che fa ricorso a diversi firewall, switch e connessioni internet per separare parti di una rete di computer. Si tratta del tipo di segmentazione più costosa e meno scalabile, in cui ad esempio su una porta del firewall viene connessa l’infrastruttura LAN, mentre sull’altra porta viene connessa l’infrastruttura OT, ossia la parte industriale.
Laddove vi siano invece le opportunità e lo spazio economico per realizzare un buon progetto, è possibile passare a una segmentazione virtuale, chiamata anche segmentazione logica. Questa in genere segmenta il flusso di rete utilizzando una VLAN (Virtual Local Area Network), che può essere protetta dallo stesso firewall. La segmentazione virtuale della rete è una forma di difesa di tipo proattivo, e non più reattivo, uno dei metodi più comuni per affrontare i potenziali rischi e le vulnerabilità cui il manifatturiero oggi è esposto, a causa della grande quantità di dispositivi che fanno parte dell’infrastruttura.
Diverse sono quindi le tecniche di segmentazione per mitigare il rischio di attacchi cyber nei moderni sistemi IoT. Innanzitutto, bloccare i movimenti laterali, ovvero le minacce esterne: in una rete segmentata, la violazione in un dato segmento non rappresenta una minaccia immediata per i dati presenti in un altro segmento. Quindi, interrompere i movimenti laterali dell’aggressore nel momento in cui vengono rilevati all’interno della rete. Si sa infatti che oggi i threat actor, dopo la persistenza all’interno della rete, iniziano a muoversi per fare attività di scansione e di previous escalation, andando a studiare sempre più nel dettaglio la topologia della rete per cercare di controllare quelle che sono le macchine strategiche ivi presenti.
Un’altra tecnica da implementare consiste quindi nel segmentare l’accesso alle risorse presenti in rete in base alle esigenze aziendali: stabilire ad esempio che i dati finanziari non siano accessibili alle HR riduce il rischio di attacchi esterni. Quindi si può procedere a separare le reti interne dalle reti guest, mantenendo utenti guest in un segmento separato, offrendo loro connettività senza mettere a rischio dispositivi e dati interni. Un’altra cosa che purtroppo si vede spessissimo nel lavoro con le aziende è che invece le reti guest usate per gli ospiti in realtà non sono state segmentate, ma sono poste all’interno dello stesso perimetro.
Infine, proteggere i dati in generale, archiviando i dati sensibili in un segmento ad accesso limitato. Questo aiuta a proteggerli al meglio e ad ottemperare alle normative sui dati.
Diversi sono infatti i vantaggi che la segmentazione porta alle aziende, a partire da un vantaggio normativo, in quanto la segmentazione rappresenta una buona base per l’applicazione di quelle che sono le best practice e le misure minime richieste dalle normative in tema di cybersecurity. Non solo come la privacy by design, ma ad esempio limitare il numero e la tipologia di utenti che possono accedere a certi dati semplifica la conformità al GDPR. Inoltre, segmentare le infrastrutture strategiche – ovvero sistemi di backup, storage repository o jump host, che se segmentati risultano più robusti – contribuisce a incrementare la sicurezza degli endpoint stessi. Ciò non solo in virtù del fatto che gli endpoint sono più sicuri se le minacce non possono diffondersi con facilità tra i diversi segmenti della rete, ma soprattutto perché la segmentazione permette di operare attività di monitoraggio e rilevamento su una quantità minore e limitata di device contenuti all’interno di uno stesso segmento della rete.