NTS Threat Detection Service | OT

Omicron Stationguard

Con la crescente digitalizzazione e la convergenza delle reti IT e OT (Operational Technology), la cybersicurezza acquista un ruolo sempre più significativo. Lo dimostra l’aumento degli attacchi informatici registrati negli ultimi anni alle aziende di produzione e di fornitura di energia. Per individuare tempestivamente queste minacce, NTS collabora con l’azienda OMICRON per proporre il suo Threat Detection Service | OT.

UNA STRATEGIA DI SECURITY COMPLETA

Un progetto incentrato sulla sicurezza dei quadri elettrici dovrebbe spaziare dal controllo degli accessi fisici, al monitoraggio degli accessi digitali o di attività sospette o non autorizzate sulla rete. Ciò richiede sistemi che garantiscano un elevato livello di sicurezza a fronte di una bassa manutenzione nel lungo periodo. Inoltre, questi sistemi dovrebbero poter essere integrati facilmente nei processi operativi e di manutenzione aziendali.

I centri di controllo e i relativi computer (1) non sono gli unici punti vulnerabili di una rete elettrica ad essere soggetti agli attacchi informatici. Anche i quadri elettrici sono infatti obiettivi privilegiati degli hacker. Il vettore di attacco più comune è rappresentato dalla connessione all’IT aziendale (2), oppure dai punti di accesso della teleassistenza in quanto scarsamente protetti. Ma anche i PC e i dispositivi di prova compromessi o infetti, utilizzati a scopo di manutenzione (3) e test (4), così come un elevato numero di vulnerabilità informatiche note o non note (i cosiddetti zero-day) dei sistemi OT, incrementano ulteriormente il rischio.

UN PONTE TRA DUE MONDI: IT & OT

Insieme a OMICRON, NTS offre soluzioni di Security che soddisfano tutti i requisiti di sicurezza informatica e della smart grid. Con questa partnership, costruiamo un ponte tra l’IT e l’OT e garantiamo un elevato livello di sicurezza IT e OT grazie alla disponibilità di competenze intersettoriali.

OMICRON possiede una grande esperienza nel campo delle tecnologie di protezione e controllo e con la soluzione Stationguard completa perfettamente il portafoglio di sicurezza proposto da NTS consentendo di offrire ai nostri clienti un livello di sicurezza senza precedenti. Il Threat Detection Service | OT di NTS combina infatti entrambi gli ambiti di competenza, assicurando al cliente un approccio olistico.

Tutte le informazioni rilevanti ai fini della sicurezza dell’infrastruttura IT e OT vengono analizzate e correlate in tempo reale nel Threat Detection Service di NTS, al fine di individuare il più rapidamente possibile ogni eventuale incidente di cybersecurity. Il Defense Team di NTS appositamente formato analizza tutti gli eventi sospetti e li valuta in termini di pericolosità e urgenza. I messaggi di allarme, sostenuti dalle conoscenze OT, e una dashboard intuitiva aiutano inoltre gli analisti del Security Operations Center (SOC) a valutare gli allarmi allo scopo di intervenire rapidamente, mentre il Defense Team di NTS e l’OMICRON OT Security Team rimangono in costante contatto.

A tal proposito, si precisa che informiamo il cliente solo in caso di eventi realmente rischiosi e che interveniamo unicamente in caso di minacce gravi. Ciò si traduce in una migliore visibilità delle minacce OT e in una protezione completa contro gli attacchi all’IT e all’OT.

L’APPROCCIO STATIONGUARD

Stationguard è una soluzione di monitoraggio che mira a rilevare le minacce informatiche e i problemi di comunicazione nei quadri elettrici. I quadri e i sistemi OT sono di tipo deterministico, ossia hanno un comportamento chiaramente definito, anche in situazioni eccezionali e in caso di eventi che richiedono protezione. Considerato che Stationguard, a differenza dei sistemi di Intrusion Detecion (IDS) basati sulle firme e sulle anomalie, conosce la funzione di ogni singolo dispositivo, è in grado di creare un modello sistematico del quadro elettrico e confrontare ogni singolo pacchetto di rete con questo modello live. Si crea così un approccio allowlist (whitelist), in cui viene descritto il comportamento consentito.

Tutto ciò che si discosta da questa descrizione, attiva quindi automaticamente un allarme. Questo approccio consente di rilevare anche attacchi completamente nuovi, potendo così identificare non solo le minacce informatiche e le attività non consentite, ma anche eventuali anomalie nelle funzioni di automazione e controllo. Questa combinazione di rilevamento degli attacchi e monitoraggio delle funzioni è anche definita “monitoraggio funzionale della sicurezza”.

VANTAGGI DELLA SOLUZIONE STATIONGUARD

• Configurazione semplice senza fase di apprendimento per una protezione immediata
• Deep Packet Inspection in conformità agli standard IEC 61850 e IEC 60870-5-104 e ai protocolli DNP3, Modbus TCP, PRP/HSR e molti altri
• Monitoraggio funzionale della sicurezza nei quadri elettrici che consente di rilevare in modo affidabile le attività consentite e le anomalie di funzionamento
• Inventario degli asset OT/ICS
• Bassa incidenza di falsi allarmi: rilevamento dei processi nel sistema, compresa la “modalità di manutenzione”
• Elevata comprensibilità degli allarmi, anche senza conoscere i protocolli
• Facile integrazione dei messaggi di allarme tramite contatti binari, inclusa l’interfaccia syslog