Perché i CIO del settore manifatturiero stanno estendendo il modello zero trust alle fabbriche

Perché i CIO del settore manifatturiero stanno estendendo il modello zero trust alle fabbriche
 

I modelli di sicurezza basati sul perimetro si stanno rivelando del tutto inefficienti negli ambienti industriali, dove i confini della rete sono diventati sempre più difficili da definire. I firewall tradizionali hanno difficoltà a proteggere dei sistemi che ormai si connettono regolarmente a servizi cloud, flussi di lavoro di monitoraggio da remoto e dispositivi IoT (Internet of Things, o Internet delle cose). Molti sistemi industriali, progettati prima dell'attuale era dell'interconnessione, non dispongono di funzionalità di sicurezza avanzate e non sono in grado di adattarsi in modo ottimale ai moderni approcci alla protezione.

Per andare oltre la sicurezza basata sul perimetro e implementare lo zero trust all'interno delle fabbriche è necessario superare diversi ostacoli, come l'impossibilità di installare agenti sui dispositivi legacy, la necessità di ridurre al minimo il movimento laterale delle minacce e l'imperativo di mantenere la produzione priva di ininterruzioni. Se i modelli tradizionali si rivelano inadeguati in questi ambienti dinamici, l'approccio agentless di Zscaler, al contrario, consente un'implementazione rapida e ottimale su diversi sistemi OT: offre un controllo granulare, riduce la superficie di attacco e impedisce il movimento laterale di minacce come i ransomware, il tutto senza compromettere la continuità operativa.

Il percorso realistico da seguire richiederà ai responsabili IT e OT di esplorare approcci ibridi, che uniscano i framework di segmentazione tradizionali, come il modello Purdue, con i principi dello zero trust. Questo metodo consente ai team di applicare controlli di sicurezza più granulari, senza interferire con l’infrastruttura esistente dei sistemi di controllo industriale (ICS).

Comprendere l'intersezione tra sicurezza IT, OT e delle infrastrutture

Gli ambienti industriali ora vedono la conversione tra IT e OT. I reparti di produzione, un tempo fisicamente separati dalle reti aziendali, sono ora collegati a sistemi con base cloud per supportare l'analisi, la manutenzione e la collaborazione della forza lavoro. I responsabili delle infrastrutture e delle operazioni condividono la responsabilità di proteggere questi ambienti senza compromettere la produzione, ma sono chiamati ad affrontare diverse sfide:

• Un'architettura di sicurezza basata sul perimetro che non è stata progettata per la connettività tra più sedi
• Operazioni in tempo reale che richiedono tempi di fermo minimi
• Una supervisione frammentata tra i team IT e OT, che complica la gestione della sicurezza

Il modello Purdue ha a lungo guidato la sicurezza ICS separando i livelli di sistemi ICS/OT e IT e isolandoli per contenere le minacce. La trasformazione digitale, che include l'adozione dell'IoT e del cloud, ha reso però le reti industriali così integrate da rendere del tutto inadatto questo approccio basato sull'isolamento.

Perché i modelli tradizionali di sicurezza IT sono inefficienti negli ambienti industriali

Le architetture di sicurezza basate sul perimetro sono state progettate per una realtà che ormai non esiste più. Questi modelli presuppongono un confine netto tra le reti interne attendibili e i sistemi esterni non attendibili, ma tali confini sono sempre più offuscati negli ambienti industriali. L'esplosione dei dispositivi connessi, la necessità di concedere l'accesso da remoto e il bisogno di accedere costantemente a informazioni strategiche sulle operazioni sono tutti fattori che rimarcano l'importanza di un modello di sicurezza più dinamico.

Inoltre, molti sistemi e dispositivi industriali sono stati progettati decenni fa, pertanto non di certo per soddisfare gli standard di sicurezza moderni, il che li rende potenziali punti di ingresso per gli aggressori, se sono connessi a reti IT-OT interconnesse. Gli approcci tradizionali fondati sull'isolamento e la segmentazione prevista dal modello Purdue forniscono una solida base di sicurezza, ma poiché i dispositivi e i sensori IoT spesso si integrano direttamente con le applicazioni cloud, la sicurezza ICS richiede un controllo più agile rispetto ai firewall statici.

Gli ostacoli che impediscono l'adozione dello zero trust da parte dei responsabili IT e delle infrastrutture

Lo zero trust può risolvere le principali sfide legate alla sicurezza ICS attraverso l'implementazione di un accesso adattivo e basato sul contesto alle applicazioni, senza che sia necessario segmentare fisicamente i livelli di sistemi IT e OT. Esistono però degli ostacoli comuni che possono rallentare l'adozione dello zero trust in ambito industriale, tra cui:

• I sistemi basati sul perimetro: si tratta di sistemi che non sono compatibili con il framework zero trust e poco adattabili a supportare la verifica continua, che è uno dei principi fondamentali dello zero trust.
• I rischi operativi: molti leader industriali sono preoccupati che una trasformazione della sicurezza possa comportare delle interruzioni delle operazioni.
• Una visibilità frammentata: la mancanza di una supervisione unificata tra gli ambienti IT e OT genera dei punti ciechi nella gestione della sicurezza.
• La resistenza al cambiamento: le norme o le priorità operative potrebbero entrare in conflitto con i nuovi approcci alla sicurezza, provocando resistenze da parte dei team interni.

Oltre a questi ostacoli, le organizzazioni devono inoltre destreggiarsi tra complessità organizzative e normative più radicate, che possono rallentare ulteriormente l'adozione.

Come allineare la leadership di IT, OT e infrastrutture

Ogni gruppo ha le proprie priorità: i responsabili della sicurezza IT si concentrano sulla mitigazione delle minacce informatiche, i professionisti OT danno la priorità alla produzione senza interruzioni, mentre i dirigenti delle infrastrutture cercano ci bilanciare affidabilità e modernizzazione. Sebbene queste priorità possano variare, il successo della sicurezza è dato dalla collaborazione.

Lo zero trust si è dimostrato una soluzione efficace negli ambienti aziendali e nei data center, ma gli ecosistemi produttivi sono caratterizzati da requisiti OT specifici che hanno da sempre ostacolato l'adozione di questo approccio. Zscaler offre un nuovo paradigma, applicando i principi dello zero trust specificamente alle operazioni industriali e interne. Grazie alla segmentazione avanzata dei dispositivi e all'accesso remoto con privilegi (Privileged Remote Access, PRA), Zscaler offre soluzioni sicure e agentless appositamente progettate per i sistemi OT essenziali per garantire l'operatività, aiutando le organizzazioni a ridurre al minimo i rischi operativi, senza compromettere la produttività.

Semplificando la collaborazione interfunzionale, Zscaler consente ai team IT e OT di allinearsi su obiettivi condivisi. L'implementazione agentless riduce al minimo le superfici di attacco, applica la segmentazione zero trust e garantisce una visibilità in tempo reale sia sui sistemi moderni che su quelli legacy, accelerando così la convergenza tra OT e IT e preservando la continuità operativa.

Come destreggiarsi tra le complessità normative

I settori industriali, tra cui quello manifatturiero, dell'energia e dei trasporti, devono attenersi a normative stringenti per proteggere le infrastrutture critiche. Queste disposizioni possono però rallentare l'adozione della tecnologia e sollevare interrogativi su come lo zero trust interagisca con le attuali pratiche per la conformità.

Gli enti regolatori sono però sempre più consapevoli che una maggiore visibilità e controlli dell'accesso più rigorosi migliorano la resilienza informatica. Lo zero trust risponde garantendo la conformità delle aziende attraverso controlli di sicurezza documentati, log dettagliati delle connessioni approvate e controlli granulari dell'accesso.

Le soluzioni per sbloccare lo zero trust in ambito industriale

Le organizzazioni industriali possono superare gli ostacoli all'adozione del modello zero trust:

• Eseguendo valutazioni della sicurezza pensate per gli ambienti OT: tali valutazioni specializzate devono tenere conto delle caratteristiche specifiche dei sistemi industriali, tra cui apparecchiature obsolete, protocolli proprietari e requisiti operativi essenziali per il business.
• Eliminando le frammentazioni tra IT e OT: stabilendo canali di comunicazione regolari, gruppi di lavoro congiunti e sessioni di pianificazione integrate per abbattere le barriere storiche tra questi team e allinearli su obiettivi di sicurezza condivisi.
• Sfruttando le soluzioni zero trust con base cloud: queste soluzioni offrono un percorso flessibile per integrare i principi dello zero trust, rispettando al contempo la segmentazione prevista dal modello Purdue esistente. 

Partendo implementando il modello zero trust nei sistemi meno critici può contribuire a consolidare la fiducia nel suo valore aggiunto. Una volta che la dirigenza si renderà conto che la stabilità della produzione rimane inalterata, estendere il modello zero trust alle aree più sensibili risulterà molto più semplice.

Perché un approccio agentless è fondamentale all'interno delle fabbriche

L'adozione del modello zero trust all'interno degli ambienti produttivi richiede soluzioni che affrontino i limiti dei sistemi OT legacy e dei sensori industriali, molti dei quali non sono in grado di supportare gli agenti di sicurezza tradizionali. Zscaler offre funzionalità di segmentazione e isolamento agentless che garantiscono una distribuzione rapida e un funzionamento non intrusivo. Eliminando la dipendenza da porte esposte o agenti software, Zscaler protegge i sistemi critici mantenendo al contempo l'uptime che risulta essenziale per la continuità operativa. Questo approccio agentless è fondamentale per applicare il modello zero trust all'interno delle fabbriche, senza aggravare la complessità o rischiare delle interruzioni.

La microsegmentazione dei sistemi legacy e industriali

La microsegmentazione suddivide i segmenti della rete in zone più piccole e isolate per ridurre la superficie di attacco e limitare il movimento laterale. Ogni singolo dispositivo o workload dispone di una policy di sicurezza specifica, in modo che i flussi di dati non autorizzati vengano bloccati, anche se un aggressore riesce a infiltrarsi in una data area.

Negli ambienti industriali e ibridi, la microsegmentazione garantisce una protezione efficace per i dispositivi moderni, come i sensori IoT, nonché per i macchinari più datati che potrebbero non disporre di sistemi di sicurezza integrati. Riduce inoltre i rischi di incorrere in periodi di fermo, poiché impedisce che una vulnerabilità in un punto della rete si propaghi ai sistemi critici per la produzione.

Perché Zscaler è la chiave per sbloccare lo zero trust in ambito industriale

Zscaler Zero Trust Exchange™ unifica la sicurezza IT, OT e infrastrutturale in un unico framework nativo del cloud e scalabile per coprire tutte le reti industriali. La piattaforma estende la sicurezza e la segmentazione zero trust ai sistemi IT e OT interconnessi, consentendo di mantenere una visibilità e un controllo completi su tutti i dispositivi IoT e i server dell'organizzazione.

Zero Trust Exchange™ offre:

• Protezione in tempo reale dalle minacce, che si adatta per ispezionare tutto il traffico e bloccare istantaneamente le minacce
• Integrazione ottimale di IT e OT, tramite controlli basati su policy che preservano l'uptime della produzione
• Microsegmentazione degli ambienti ibridi, per proteggere i flussi di dati e i dispositivi industriali critici
• Accesso remoto con privilegi ai dispositivi IoT e OT con controlli completi di sicurezza informatica e governance

Zscaler ha recentemente acquisito anche Airgap, che sfrutta il modello Purdue per neutralizzare le minacce informatiche avanzate sui sistemi OT, sui dispositivi IoT e sui dispositivi che non supportano gli agenti. Aggiungendo le funzionalità di Airgap a Zero Trust Exchange™, le organizzazioni industriali possono usufruire di una soluzione di sicurezza completamente integrata che elimina il movimento laterale delle minacce, riducendo al contempo la complessità operativa associata alle soluzioni basate sul perimetro.

L'avanguardia nell'adozione dello zero trust per i leader industriali

I professionisti IT e OT devono affrontare minacce in continua evoluzione, oltre a destreggiarsi tra esigenze prestazionali, visibilità frammentata, vincoli normativi e altre sfide specifiche degli ambienti ICS. Zscaler sta ridefinendo il concetto di zero trust per i leader industriali, implementando la segmentazione avanzata e l'accesso remoto con privilegi (PRA) in linea con il modello Purdue. Questo approccio consente alle fabbriche di preservare i workload e i processi industriali essenziali, affrontando al contempo le criticità legate alla connettività dell'Industria 4.0. Grazie a funzionalità quali l'isolamento dei dispositivi agentless e controlli dell'accesso senza interruzioni, le organizzazioni industriali possono adottare in sicurezza il modello zero trust, senza aggravare la complessità operativa o compromettere l'uptime.

Proteggi oggi stesso il tuo futuro connesso con Zscaler. Scopri le nostre soluzioni per la sicurezza industriale o richiedi una dimostrazione per saperne di più.