L'accesso remoto sicuro per i sistemi OT comincia dallo zero trust

Accelera la digitalizzazione delle reti industriali e aiuta l'azienda a massimizzare i tempi di attività, incrementare la produttività e proteggere i lavoratori.

L'accesso ai sistemi di tecnologia operativa (OT) è troppo ampio.

Molte aziende sono state vittime di violazioni della sicurezza, a causa dello sfruttamento delle vulnerabilità delle VPN tradizionali e di altre soluzioni di sicurezza basate sugli apparecchi di applicazione, utilizzate per fornire l'accesso remoto a sistemi di tecnologia operativa (OT) o sistemi di controllo industriale (ICS). Che si tratti di ransomware, malware o di terzi malintenzionati, i risultati sono gli stessi: costose violazioni della sicurezza che mettono a rischio le linee di produzione e hanno un impatto negativo sui ricavi aziendali e sulla reputazione del marchio.

In gran parte delle soluzioni di accesso remoto, dipendenti, appaltatori e partner terzi ricevono un accesso completo alle reti OT. Nella maggior parte dei casi, le soluzioni per l'accesso remoto, come le VPN, mettono a rischio i sistemi OT o ICS mantenendo l'accesso disponibile su Internet 24 ore su 24, 7 giorni su 7. Questi utenti terzi con privilegi eccessivi introducono un rischio elevato per l'ambiente di produzione, perché non è di fatto possibile controllarli mentre si trovano sulla rete OT.

Pertanto, in che modo è possibile fornire a terzi un accesso remoto sicuro ai sistemi ICS, consentendo al contempo la manutenzione tempestiva delle linee di produzione, senza però fornire loro un accesso completo alla rete OT?

grafico che mostra le OT tradizionali

I fornitori hanno solo bisogno di accedere ai propri sistemi ICS specifici, quindi perché introdurli sulla rete OT?

Sappiamo che è rischioso estendere l'accesso completo e laterale alla rete OT a tutti gli utenti, ma è necessario fornire loro l'accesso ai sistemi OT specifici. La soluzione consiste nel separare l'accesso al software di gestione dei sistemi OT dalla rete, segmentando l'accesso in base ai singoli utenti e alle app. L'unico modo per farlo è attraverso la tecnologia ZTNA (Zero Trust Network Access).

Sebbene la maggior parte delle soluzioni per l'accesso remoto, basate sul modello di riferimento Purdue per le reti OT, siano incentrate sulla rete, l'approccio ZTNA consiste nel fornire una connettività sicura tra l'utente (dipendente, partner terzo o appaltatore) e le applicazioni aziendali autorizzate, mai la rete. Il risultato è un accesso microsegmentato ai sistemi OT, in grado di preservare la sicurezza, riducendo al contempo i rischi derivanti dall'accesso di terzi con privilegi eccessivi.

Sicurezza

Prima: ai dipendenti, ai fornitori e agli appaltatori veniva concesso l'accesso alla rete laterale, esponendo i sistemi OT a rischi inutili.
Dopo: l'accesso zero trust consente ai partner di accedere solo ai sistemi ICS autorizzati, non alla rete OT.

Semplicità

Prima: le soluzioni per l'accesso remoto richiedevano il download di un client su un dispositivo gestito o personale.
Dopo: indipendentemente dal dispositivo o dalla posizione, un utente può sfruttare semplicemente un browser per accedere ai sistemi ICS autorizzati.

Superficie d'attacco ridotta

Prima: le soluzioni per l'accesso remoto erano soggette ad attacchi con molte vulnerabilità. Il fatto che non fosse possibile applicare patch al software del sistema OT ha aumentato questo rischio.
Dopo: le soluzioni ZTNA eliminano questa superficie di attacco, rendendo i sistemi OT invisibili. La migliore difesa contro i sistemi OT, a cui non è possibile applicare patch, consiste nel mantenere il miglior divario possibile tra IT e OT.

Eliminare il rischio di accesso remoto è facile con un servizio ZTNA (Zero Trust Network Access)

L'accesso remoto sicuro per i sistemi OT, abilitato da Zscaler Private Access, è un servizio ZTNA che adotta un approccio alla sicurezza OT incentrato sull'utente e sulle applicazioni. Che si tratti di un dipendente, un appaltatore o un partner terzo, ZPA garantisce che solo gli utenti autorizzati abbiano accesso a specifici sistemi ICS o applicazioni, senza mai consentire l'accesso alla rete OT. Anziché affidarsi ad apparecchi di applicazione fisici o virtuali, ZPA utilizza software leggeri a infrastruttura agnostica, come docker container o macchine virtuali, abbinati alle funzionalità di accesso da browser, per connettere in modo fluido tutti i tipi di utenti ai sistemi OT e alle applicazioni, tramite connessioni inverse collegate all'interno di Zscaler Zero Trust Exchange.

Grafico delle OT Zscaler

Il concetto di perimetro definito dal software

1.  Servizio di accesso da browser o accesso basato sul client
    • Entrambi i metodi reindirizzano il traffico all'IDP per l'autenticazione e a più fattori
    • L'accesso da browser elimina la necessità di scaricare il client sul dispositivo
    • L'accesso da browser sfrutta lo streaming basato sull'HTML5
    2.  Service Edge pubblico di ZPA
    • Protegge la connessione da utente ad app
    • Applica tutte le policy di amministrazione personalizzate
    3.  App Connector
    • Si colloca di fronte alle app e ai sistemi OT nel data center, in Azure, AWS e in altri servizi di cloud pubblico
    • Fornisce connessioni TLS 1.2 inverse, dirette al broker
    • Rende i sistemi OT invisibili per prevenire gli attacchi DDoS
    Siemens
    Siemens e Zscaler:
    Partnering to extend zero trust security to smart factories.

    L'accesso al browser consente l'accesso sicuro dei fornitori terzi in pochi minuti

    Grazie al servizio di accesso da browser di ZPA, i partner e gli utenti terzi ottengono un accesso sicuro ai sistemi  OT, senza la necessità di un client. I partner non hanno più bisogno di fare delle acrobazie per accedere in modo sicuro ai sistemi OT: utilizzano semplicemente il proprio dispositivo per accedervi facilmente tramite Internet. Il risultato è un accesso di terzi altamente controllato, che consente agli utenti di connettersi ai sistemi OT da qualsiasi dispositivo, in qualsiasi luogo e in qualsiasi momento.

     

    Vantaggi
    • Esperienza perfetta per partner e utenti
    • Accesso sicuro al sistema OT da BYOD
    • Limita l'esposizione dei sistemi ICS a cui non è possibile applicare patch
    • Integrazioni con i principali IDP
    una donna che opera sul proprio laptop riesce a consentire l'accesso sicuro ai partner in pochi minuti, grazie all'accesso da browser di ZPA
    Nozomi Logo

    Nozomi Networks e Zscaler:

    Extend zero trust security to the industrial OT/IoT edge.

    LE STORIE DEI CLIENTI
    MAN Energy Solutions

    MAN Energy Solutions supporta la trasformazione della rete e delle app grazie a Zscaler

    ZENITH LIVE

    Scopri come distribuire lo zero trust nel reparto di produzione

    Risorse suggerite

    ARTICOLO

    Che cos'è la sicurezza OT?

    Blog

    Le cinque cose che i CIO e i CISO devono sapere per proteggere i sistemi OT

    VIDEO

    Adattare le misure di difesa nell'ambito della sicurezza informatica per la convergenza di IT-OT grazie a Siemens e Zscaler

    UNA PANORAMICA

    Accesso remoto sicuro di Zscaler per massimizzate i vantaggi dei sistemi OT

    COMUNICATO STAMPA:

    Siemens e Zscaler collaborano per creare soluzioni di sicurezza zero trust integrate per OT/IT

    STORIA DEL CLIENTE:

    Kubota Australia supporta magazzini senza infrastrutture grazie a Zscaler