Quando alla fine del mese di gennaio Microsoft annunciò la general availability di Azure Defender for IoT lo fece nella consapevolezza di quanto si stia ampliando la superficie di attacco della quale i CISO sono e sempre più saranno chiamati a rispondere.
In un mondo nel quale gli endpoint IoT, in particolare nel mondo industriale, e le tecnologie OT non supportano l’installazione di agenti e risultano “unmanaged” e di conseguenza invisibili ai team IT e di sicurezza i rischi per la sicurezza crescono esponenzialmente.
Ne abbiamo parlato spesso su queste pagine, crescono le preoccupazioni in relazione ai rischi cui sono esposti i sistemi Cyber Physical (CPS) e i sistemi di controllo industriale (Industrial Control System) e all’impatto che da un attacco potrebbe derivare: fermi di produzione, furto di proprietà intellettuale, sicurezza sul lavoro e incidenti ambientali.
Azure Defender for IoT per gli ambienti industriali
È chiaro, sottolinea Microsoft riprendendo un’evidenza da tempo chiara agli operatori del settore, che gli strumenti di sicurezza tradizionali sviluppati per le reti IT non sono in grado di affrontare le sfide del mondo industriali, sia in termini di protocolli sia in termini di dispositivi e apparati connessi.
Ed è qui che entra in gioco Azure Defender for IoT, pensato per offrire un monitoraggio della sicurezza IoT e OT, indagando in modo proattivo e continuo le minacce negli ambienti IoT e OT e incorporando analisi comportamentali specializzate.
Nato dall’acquisizione di CyberX, Azure Defender for IoT di fatto rileva automaticamente le risorse IoT e OT, identifica le vulnerabilità e definisce le priorità delle mitigazioni, monitora in continuo minacce, anomalie e dispositivi non autorizzati.
Inoltre, è profondamente integrato con Azure Sentinel, la piattaforma SIEM e SOAR nativa per il cloud di Microsoft, e dunque condivide informazioni contestuali sulle risorse IoT e OT e sulle minacce.
Si tratta di una soluzione agentless che non solo integra una profonda conoscenza dei diversi protocolli industriali, ma fa anche ampio uso di machine learning e tecniche di automazione.
Non richiede dunque lunghe e onerose implementazioni e può dunque essere adottato in modo molto veloce negli ambienti industriali, sia on premise, sia in cloud, sia ancora in ambienti ibridi, a seconda delle necessità e delle policy aziendali.
Roberto Filipelli: La soluzione per rendere sicuri anche gli impianti più datati
Delle peculiarità di Azure Defender for IoT abbiamo parlato con Roberto Filipelli, Azure Application and Infrastructure Partner Development Director at Microsoft, che la considera una killer application per il mondo industriale.
“Azure Defender for IoT va a colpire un bisogno finora non adeguatamente indirizzato. È una soluzione che indirizza i bisogni del brownfield e che è in grado di ascoltare le trame di rete e ciò che succede nel plant, riconoscendo le comunicazioni in corso. Ma non lo fa con l’obiettivo di capire quali dati vengono scambiati, ma il perché avviene questo scambio. Perché qualcuno, ad esempio, vuole cambiare un firmware?”.
Azure Defender IoT, di fatto, aiuta a riconoscere le azioni malevole in ambienti, come quelli industriali, nei quali sono sempre più numerose le postazioni collegate ad Internet e che dunque possono essere oggetto di phishing, di hacking e di qualunque altra azione malevola.
“È vero che sempre più spesso si parla di isolamento di security in-depth, è vero che tutti parlano di segmentazione della rete, ma è altrettanto vero che più apparati metti in rete, più aumenti la superficie di attacco. Il risultato è che le aziende si ritrovano con impianti nei quali non hanno idea di cosa sta accadendo ai loro PLC, ai loro controllori numerici. Azure Defender for IoT è una soluzione che in mezza giornata è in grado di risolvere un problema. Lavora con la logica dello sniffer e capisce quali comunicazioni bidirezionali sono in corso e si integra con Azure Sentinel sfruttandone le logiche di artificial intelligence per comprendere i comportamenti malevoli”.
La logica è semplice, spiega Filipelli: “Se nel giro di poche ore ci si ritrova con 70 PLC che stanno modificando il firmware, ci vuol poco a capire che c’è qualcosa che non va. Diverso è individuare comportamenti malevoli e attacchi ad hoc, condotti in modo centellinato: qui serve l’artificial intelligence che consente di correlare gli eventi in maniera strutturata. Bisogna entrare in una logica SIEM”.
A chi fa rilevare che molti PLC non sono oggi aggiornabili, Filipelli risponde con sicurezza: “La logica dello struzzo non va comunque bene. Se si ha un PLC non aggiornabile, significa che molto probabilmente si ha firmware degli Anni ’90, privo cioè di Secure Boot o della firma dei certificati digitali. A maggior ragione serve uno strumento che intercetti sulla rete il comportamento di qualcuno che vuole ad esempio modificare un firmware. Proprio perché non si può cambiare un PLC, proprio perché non è pensabile di cambiare un macchinario che costa decine di migliaia o milioni di euro perché c’è un PLC non aggiornabile, a maggior ragione bisogna dotarsi di un prodotto di sniffing. Azure Defender for IoT rappresenta una opportunità: semplicemente sniffa sugli switch, ha un costo del deployment praticamente nullo, ma almeno consente di essere consapevoli di ciò che sta succedendo sul plant. Per questo lo considero un prodotto killer, su cui puntare nel brownfield”.