{"id":141398,"date":"2022-10-11T08:01:00","date_gmt":"2022-10-11T08:01:00","guid":{"rendered":"https:\/\/sandboxenv.alliedtelesis.com\/i-rischi-della-convergenza-it-e-ot\/"},"modified":"2026-05-11T09:21:38","modified_gmt":"2026-05-11T09:21:38","slug":"risks-it-and-ot-convergence","status":"publish","type":"post","link":"https:\/\/sandboxenv.alliedtelesis.com\/it\/risks-it-and-ot-convergence\/","title":{"rendered":"I rischi della convergenza IT e OT"},"content":{"rendered":"

I mondi dell’Information Technology (IT) e dell’Operational Technology (OT) sono rimasti separati per molti anni. Le reti IT sono utilizzate esclusivamente per l’interconnessione di computer, data center e reti pubbliche, mentre le reti OT interconnettono tipicamente i macchinari di produzione industriale. <\/p>\n

Questa separazione “a prova di bomba” ha mantenuto le reti OT isolate e lontane dai problemi causati dai cyberattacchi che affliggono le reti IT, ma impedendo le sinergie tra i due mondi.<\/p>\n

Negli ultimi anni, tuttavia, si \u00e8 assistito a un movimento di convergenza delle reti IT e OT<\/a> su un’unica infrastruttura fisica basata sul protocollo IP. Questa tendenza ha finalmente permesso ai sistemi di produzione di collaborare con altre funzioni aziendali (vendite, marketing, acquisti, ecc.). Questa integrazione comporta una riduzione dei costi e l’opportunit\u00e0 di aumentare l’agilit\u00e0 aziendale, ma ha ancje esposto le reti OT ai cyber-attacchi con conseguenti rischi economici per l’azienda. <\/p>\n

Un attacco che colpisce un’area uffici pu\u00f2 causare danni significativi, ma i backup e i sistemi di disaster recovery possono essere una mitigazione efficace. Al contratio, gli attacchi che colpiscono le linee di produzione o le infrastrutture critiche causano danni immediati, possono espandersi rapidamente e potrebbero non essere facilmente recuperabili. <\/p>\n

Le fonti degli attacchi informatici<\/h2>\n

Il primo aspetto da considerare quando si costruisce un sistema difensivo \u00e8 la fonte degli attacchi. Sappiamo che la maggior parte degli attacchi informatici proviene da Internet. Poich\u00e9 ogni rete aziendale si connette alla rete pubblica, questo apre la porta a innumerevoli tentativi di attacco. <\/p>\n

I sistemi di difesa convenzionali basati sull’IT proteggono il confine tra reti private e pubbliche. Pertanto, l’approccio abituale \u00e8 quello di inserire un firewall<\/a>, preferibilmente con funzionalit\u00e0 UTM (Unified Threat Management), per evitare che le minacce attraversino il confine e infettino l’interno della rete. <\/p>\n

\"Local<\/div>\n

Diagramma 1: il firewall al confine della WAN non pu\u00f2 proteggere dalle infezioni locali e dalle minacce laterali.<\/strong><\/p>\n

Oltre a questi, altri confini della rete possono essere superfici di attacco. Spesso questi confini sono meno protetti e possono esporre la rete a rischi inutili. Ad esempio, le reti wireless possono essere vulnerabili oppure se un malintenzionato ha accesso fisico alla rete, ogni porta di ogni switch di rete rappresenta un potenziale punto di attacco. <\/p>\n

In una rete OT, qualsiasi dispositivo connesso, come un sensore IoT o una telecamera IP, pu\u00f2 diventare un cavallo di Troia in grado di attaccare la rete dall’interno. Sostituire un sensore o una telecamera remota con un computer effettuando lo spoofing dell’indirizzo MAC del sensore \u00e8 un modo ovvio per cercare di accedere alla rete di produzione. <\/p>\n

Il problema principale degli attacchi informatici dall’interno della rete \u00e8 che si muovono lateralmente (da un dispositivo all’altro), incontrando il firewall solo quando comunicano con il server di comando e controllo via internet. Questo rende gli attacchi interni molto pi\u00f9 pericolosi perch\u00e9 c’\u00e8 il rischio che si diffondano sulla rete locale per ore o addirittura giorni senza che il firewall sia in grado di rilevarli o intercettarli. <\/p>\n

Architetture che minimizzano il rischio<\/h2>\n

Esistono architetture di sicurezza che superano le capacit\u00e0 di un singolo firewall di confine per aumentare la protezione della rete, anche dagli attacchi interni. Due possibili architetture possono migliorare la protezione, ma non sempre sono praticabili per motivi di costo o di prestazioni: <\/p>\n

    \n
  1. Utilizzare un unico firewall molto potente attraverso il quale viene reindirizzato tutto il traffico di rete.<\/li>\n
  2. Dividere la rete in sottoreti e posizionare un firewall dedicato per proteggere ogni sottorete.<\/li>\n<\/ol>\n
    \"Cyber<\/div>\n

    Diagramma 2: i firewall in linea con gli switch possono analizzare tutto il traffico ma aggiungono latenza e sono costosi.<\/strong><\/p>\n

    Il tempo di risposta \u00e8 fondamentale<\/h2>\n

    Finora abbiamo parlato dei modi per prevenire un attacco, ma dobbiamo anche considerare la risposta migliore nel caso in cui un attacco riesca a infettare un dispositivo connesso.<\/p>\n

    A seconda dell’architettura di sicurezza implementata, potrebbe passare del tempo prima che il firewall rilevi l’attacco. Questo perch\u00e9 i firewall impediscono agli attacchi di attraversare un confine, ma non possono fare nulla per evitare che una minaccia si diffonda lateralmente. <\/p>\n

    Nello scenario tipico, una volta rilevato un attacco, il firewall informa il responsabile IT, che deve agire rapidamente per evitare ulteriori danni, ma non \u00e8 sempre cos\u00ec.<\/p>\n

    Le azioni necessarie per identificare la fonte, porre rimedio al problema e ripristinare i dispositivi in uno stato sicuro sono nelle mani del gruppo IT e sono quindi legate ai tempi di risposta della reazione umana. Inoltre. Ogni volta che l’uomo deve rispondere sotto pressione a una situazione in rapida evoluzione, \u00e8 possibile che si verifichi un errore umano<\/a>. Spesso questi errori possono causare ritardi e ulteriori danni o lasciare vulnerabilit\u00e0 non rilevate che espongono l’azienda a maggiori rischi in futuro. <\/p>\n

    I tempi di risposta possono variare in base a una moltitudine di fattori: la complessit\u00e0 della rete, l’esperienza del gruppo IT, la presenza o la disponibilit\u00e0 del personale in ufficio al momento del rilevamento, la capacit\u00e0 di rilevare l’attacco e il tempo necessario per sventare l’attacco e prevenire ulteriori danni. Gli attacchi informatici vengono spesso lanciati la sera o nel fine settimana, quando il team IT non \u00e8 presente o \u00e8 pi\u00f9 lento a rispondere. <\/p>\n

    Il danno subito dall’azienda \u00e8 direttamente proporzionale al tempo necessario per riportare la rete in uno stato sicuro. Pertanto, pi\u00f9 tempo passa, pi\u00f9 ampio sar\u00e0 l’impatto e maggiore il danno economico per l’azienda. <\/p>\n

    Possono essere necessari giorni o addirittura settimane per identificare la fonte di un attacco e porre rimedio alla situazione, il che rende pi\u00f9 dannoso qualsiasi attacco informatico. Oltre all’impatto economico, i danni alla reputazione, alle relazioni commerciali e, nel caso di infrastrutture critiche, il rischio per la vita umana possono essere gravi. <\/p>\n

    Automazione per una risposta immediata<\/h2>\n

    La soluzione \u00e8 ridurre il pi\u00f9 possibile il tempo che intercorre tra il rilevamento dell’attacco e il ripristino della sicurezza. Per poterlo fare occorre affidarsi a risposte automatizzate che consentano alla rete di difendersi da sola ed evitare i ritardi tipici dell’intervento umano. In altre parole, occorre una “rete self-defending”. <\/p>\n

    Affinch\u00e9 una rete self-defending<\/strong> sia in grado di reagire autonomamente, tutti gli elementi coinvolti devono lavorare insieme. Pertanto, i requisiti principali di un sistema di questo tipo sono: <\/p>\n