Capacità 5. Fornire monitoraggio della sicurezza e risposta agli incidenti - AWS Guida prescrittiva
RationaleConsiderazioni relative alla sicurezzaCorrezioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Capacità 5. Fornire monitoraggio della sicurezza e risposta agli incidenti

Questa funzionalità supporta le best practice 9 e 10 delle best practice AWS SRA per l'IoT.

Capability 5 si concentra sull'implementazione di meccanismi completi di monitoraggio della sicurezza e risposta agli incidenti in ambienti IIo IoT, T, OT, edge e cloud. Questa funzionalità comprende l'implementazione di meccanismi di registrazione e monitoraggio, la gestione centralizzata degli avvisi di sicurezza e la creazione di playbook di risposta agli incidenti e piani di continuità aziendale personalizzati in base alle sfide uniche delle architetture OT e IT ibride.

Rationale

L'integrazione delle tecnologie OT, IoT e IIo T con i sistemi IT tradizionali e i servizi cloud introduce nuovi vettori di attacco ed espande la superficie complessiva di attacco informatico. Gli eventi di sicurezza possono avere origine negli ambienti OT e propagarsi ai sistemi IT, oppure possono avere origine nei sistemi IT e propagarsi negli ambienti OT. Ciò rende fondamentale l'implementazione di un monitoraggio completo della sicurezza su tutta la superficie di attacco. L'implementazione di questa funzionalità consente alle organizzazioni di:

  • Stabilisci una visione unificata della sicurezza in ambienti OT, IIo IoT, IT, edge e cloud.

  • Rileva e rispondi alle anomalie e alle minacce di sicurezza in tempo reale.

  • Mantieni la continuità operativa di fronte agli incidenti informatici.

  • Migliora la resilienza complessiva della sicurezza informatica e riduci il potenziale impatto delle violazioni della sicurezza.

Inoltre, lo sviluppo di playbook di risposta agli incidenti e piani di continuità aziendale, specificamente adattati ai carichi di lavoro OT e IIo T connessi al cloud, garantisce che le organizzazioni possano gestire e ripristinare efficacemente gli incidenti di sicurezza. Questo approccio proattivo riduce al minimo i tempi di inattività, aiuta a proteggere dalle perdite finanziarie e salvaguarda la reputazione di un'organizzazione in caso di violazione della sicurezza o interruzione dell'operatività.

Considerazioni relative alla sicurezza

La considerazione principale affrontata da questa funzionalità è il rischio di un rilevamento ritardato degli incidenti di sicurezza a causa del monitoraggio isolato degli ambienti OT e IT. Ciò potrebbe essere aggravato dall'incapacità di correlare gli eventi di sicurezza tra questi diversi stack tecnologici. Questa frammentazione spesso si traduce in una visibilità insufficiente del traffico e delle anomalie della rete industriale e lascia i sistemi critici esposti a eventi non rilevati. Inoltre, la natura interconnessa dei moderni sistemi industriali crea il potenziale di guasti a cascata, in cui un evento di sicurezza in un'area può propagarsi rapidamente tra sistemi OT e IT interconnessi e può amplificare l'impatto di un incidente.

Un'altra preoccupazione importante è l'incompatibilità delle procedure di risposta tradizionali quando si tratta di incidenti di OT/IT sicurezza ibridi, che richiedono conoscenze specialistiche e un'azione coordinata su più domini. Ciò è particolarmente importante data la crescente minaccia di eventi cyberfisici che colpiscono i processi industriali. Inoltre, la natura unica dei sistemi OT e IIo T interconnessi spesso significa che i meccanismi di ripristino dopo un incidente di sicurezza potrebbero essere insufficienti e potrebbero potenzialmente portare a tempi di inattività prolungati e interruzioni operative.

La figura seguente mostra un'architettura SOC (System and Organization Controls) unificata per sistemi IT e OT.

Architettura SOC unificata IT/OT

Correzioni

Registrazione e monitoraggio della sicurezza

Utilizza i servizi centralizzati di AWS Security Hub CSPM e Amazon Security Lake per acquisire e gestire eventi rilevanti per IIo IoT, IT e soluzioni OT connesse al cloud in combinazione con il resto dell'organizzazione. AWS Utilizza preoccupazioni, responsabilità, set di autorizzazioni IAM e assegnazioni di centri di identità separati per identificare i team in grado di modificare le configurazioni dedicate alle risorse degli Account AWS account OT, IIo T e Industrial Isolation. Tutti gli eventi di sicurezza possono essere inviati a Security Hub CSPM per ottenere una visione centralizzata dei risultati di sicurezza negli ambienti OT, IoT, IIo T, edge e cloud. Consulta i consigli per la registrazione e il monitoraggio nella sezione relativa all'account Log Archive dell'SRA. AWS

Implementa un SOC unificato integrando i dati di sicurezza IT e OT in Security Lake, che può fornire un'ampia visibilità negli ambienti IT e OT e consentire il rilevamento coordinato delle minacce, una risposta più rapida agli incidenti e la condivisione immediata degli indicatori di compromesso () tra gli ambienti. IoCs Ciò consente una migliore comprensione dei percorsi e delle origini delle minacce negli ambienti OT, IIo IoT, T, edge e cloud. La sezione Soluzioni SaaS per partner IIo IoT, T e OT mostra come le soluzioni di monitoraggio della sicurezza OT e IIo T di fornitori AWS Partner Network (APN) e altri possono essere utilizzate per integrare i servizi di sicurezza IoT edge e cloud forniti da. AWS

Risposta agli incidenti

Inizia identificando potenziali scenari di incidenti specifici per la tua implementazione, come la compromissione di dispositivi IoT o gateway edge, violazioni dei dati operativi o interruzioni dei processi industriali. Per ogni scenario, crea procedure di risposta dettagliate (playbook) che descrivano i passaggi per il rilevamento, il contenimento, l'eradicazione e il ripristino. Questi playbook dovrebbero definire chiaramente ruoli e responsabilità, protocolli di comunicazione e procedure di escalation. Prova questi playbook usando esercizi da tavolo. Questi esercizi testano le procedure e istruiscono i team che dovranno implementarle sotto la pressione di un incidente in corso.

Implementa controlli sanitari e sistemi di monitoraggio continui per rilevare le anomalie prima che si trasformino in incidenti gravi. Automatizza le azioni di risposta iniziali, ove possibile, per contenere rapidamente gli eventi e riportare i sistemi a uno stato di buono stato noto. Man mano che il tuo ambiente IoT matura, rivedi e aggiorna regolarmente questi playbook per affrontare nuove minacce e incorporare le lezioni apprese da incidenti o simulazioni precedenti.

Per la continuità aziendale e il disaster recovery, definisci parametri chiari per il comportamento del sistema in caso di guasti o interruzioni. Determina se i sistemi devono essere aperti o chiusi, se il ripristino deve essere automatico o richiedere l'intervento umano e le condizioni in base alle quali i controlli manuali devono essere abilitati o disabilitati. Queste decisioni devono essere basate sulla criticità dei sistemi e sul potenziale impatto sulla sicurezza, sulle operazioni e sull'ambiente. Verifica i tuoi piani di continuità e ripristino per assicurarti che funzionino come previsto in vari scenari.