Mettere in sicurezza la rete: una guida pratica alla cyber analitiche per il settore energetico e delle Utilities

In che modo le moderne piattaforme di dati stanno trasformando le attività operative di cybersecurity nelle infrastrutture critiche

Il settore energetico e delle Utilities (E&U) affronta sfide di cybersecurity senza precedenti con la convergenza dei sistemi di tecnologia operativa (OT) e di tecnologia dell'informazione (IT), che crea nuove vulnerabilità sfruttate in modo aggressivo dai threat actor. Con gli attacchi ransomware ai sistemi OT/ICS in aumento dell'87% nel 2024 ¹ e le violazioni di terze parti che causano il 45% di tutti gli incidenti di sicurezza nel settore energetico ² , le soluzioni SIEM tradizionali si stanno dimostrando inadeguate per la scalabilità e la complessità delle moderne attività operative di sicurezza.

La soluzione consiste nell'adottare un approccio basato su una piattaforma dati unificata in grado di gestire i volumi enormi di telemetria di sicurezza provenienti da ambienti IT e OT, fornendo al contempo la profondità di analisi necessaria per il rilevamento avanzato delle minacce, la reportistica sulla conformità e l'analisi forense a lungo termine. Questa guida completa esplora come le piattaforme lakehouse, in particolare Databricks, stanno rivoluzionando le attività operative di cybersecurity per le organizzazioni del settore energetico e dei servizi pubblici.

Perché la sicurezza informatica nel settore Energia e Servizi Pubblici è diversa (e urgente)

La sfida della convergenza IT/OT

Le organizzazioni del settore energetico e dei servizi pubblici operano in un panorama di cybersecurity unico, in cui le reti IT tradizionali si intersecano sempre più con i sistemi di tecnologia operativa che controllano le infrastrutture fisiche. Questa convergenza crea diverse sfide critiche:

Espansione della superficie di attacco: i sistemi OT legacy, originariamente progettati per l'isolamento e l'affidabilità piuttosto che per la sicurezza, sono ora connessi alle reti aziendali e ai servizi cloud. Il 94% delle organizzazioni ha dichiarato di essere a rischio di incidenti informatici OT nel 2024 ³ e il 98% ha subito incidenti IT che hanno interessato i propri ambienti OT.

Paesaggio normativo complesso: le organizzazioni del settore energetico devono districarsi in una complessa rete di requisiti di conformità, tra cui gli standard NERC CIP per le utility elettriche e le direttive sulla sicurezza delle pipeline della TSA per gli operatori di pipeline. L'aggiornamento del 29 maggio 2024 della direttiva sulla sicurezza delle pipeline della TSA SD-2021-01D ⁴ sottolinea una maggiore resilienza della cybersecurity attraverso il monitoraggio continuo e la segnalazione degli incidenti.

Ambiente ad alto rischio: a differenza dei tradizionali ambienti IT, le falle di sicurezza nel settore energetico e delle Utilities possono avere effetti a cascata sulla sicurezza pubblica e nazionale. L'attacco ransomware alla Colonial Pipeline nel 2021 ⁵ ha dimostrato come un singolo incidente informatico possa interrompere la distribuzione di carburante lungo la East Coast, con conseguenti e diffuse ripercussioni operative ed economiche.

Panorama delle minacce in aumento

Lo scenario delle minacce che il settore energetico e delle Utilities si trova ad affrontare si è intensificato notevolmente:

Aumento degli incidenti ransomware OT/ICS: +87% nel 2024 ⁶.

Proliferazione dei rischi legati a terze parti: una ricerca mostra che il 67% delle violazioni nel settore energetico coinvolge fornitori di software e IT ⁷, evidenziando l'importanza critica del monitoraggio della sicurezza della supply chain. Il tasso di violazioni da parte di terze parti nel settore energetico, pari al 45%, supera in modo significativo la media globale del 29% ⁸.

Minacce da stati-nazione e Advanced Persistent Threats: il SANS ICS/OT Cybersecurity Survey del 2024 ⁹ ha rilevato una crescente sofisticazione negli attacchi rivolti alle infrastrutture critiche, con gruppi sponsorizzati da stati che si concentrano specificamente sugli ambienti OT per ottenere un vantaggio strategico.

Impatto finanziario: il costo medio di una violazione dei dati nel settore energetico ha raggiunto i 4,78 milioni di dollari nel 2023, mentre gli attacchi informatici distruttivi hanno raggiunto in media i 5,24 milioni di dollari ¹⁰. Questi costi continuano ad aumentare man mano che gli attacchi diventano più sofisticati e diffusi.

I principali casi d'uso di cui i team di sicurezza hanno bisogno ora

1. Data lake di sicurezza unificato in ambienti IT, cloud e OT/ICS

Impatto aziendale: elimina i silos di dati e fornisce una visibilità completa negli ambienti ibridi, riducendo il tempo medio di rilevamento (MTTD) fino al 60% grazie alle analitiche centralizzate.

Sorgenti di dati principali:

• Sistemi IT: log di Windows/Linux, eventi di Active Directory, dati di flusso di rete, telemetria di rilevamento degli endpoint
• Infrastruttura cloud: AWS CloudTrail, Log attività di Azure, Audit Log di GCP, dati sulla postura di sicurezza del cloud
• Reti OT/ICS: dati Historian, log SCADA, eventi HMI, traffico di protocolli industriali (Modbus, DNP3, IEC 61850)
• Infrastruttura di rete: log del firewall, avvisi IDS/IPS, configurazioni dei dispositivi di rete

Metriche principali:

• Conservazione dei dati: Hot (30-90 giorni), Warm (1-2 anni), Cold (7-10 anni)
• Velocità di acquisizione: 16 TB/giorno in media da fonti IT, cloud e OT.
• Prestazioni delle query: risposta in meno di un secondo per la ricerca interattiva

Volumi giornalieri dei log di sicurezza per fonte

2. Rilevamento e ricerca avanzati delle minacce

Impatto sul business: consente il rilevamento di attacchi sofisticati che aggirano i controlli di sicurezza tradizionali, in particolare quelli rivolti agli ambienti OT in cui le regole SIEM convenzionali potrebbero non essere applicabili.

Funzionalità principali:

• Analitiche OT-Aware: analisi comportamentale dei dati Historian per rilevare modifiche anomale dei processi o modifiche non autorizzate alle apparecchiature
• Correlazione interdominio: collegamento tra il furto di credenziali IT e la successiva ricognizione della rete OT
• Monitoraggio della supply chain: analisi automatizzata dei modelli di accesso dei fornitori e del comportamento del software di terze parti

Metriche principali:

• Riduzione dei tassi di falsi positivi del 40-70% attraverso il rilevamento potenziato dal ML
• Migliora l'efficienza del threat hunting con query 10 volte più veloci sui dati storici
• Rilevamento dei movimenti laterali dalle reti IT a quelle OT entro 15 minuti

3. Risposta agli incidenti e analisi forense su scala petabyte

Impatto sul business: accelera la risposta agli incidenti e le indagini forensi, riducendo il tempo medio di ripristino (MTTR) da settimane a giorni per incidenti complessi multi-dominio.

Funzionalità principali:

• Ricostruzione della timeline: correlazione rapida di eventi tra sistemi IT e OT per creare timeline complete degli attacchi
• Conservazione delle prove: archiviazione immutabile dei dati con verifica dell'integrità crittografica per requisiti normativi e legali
• Indagine collaborativa: notebook e flussi di lavoro condivisi che consentono ai team di sicurezza distribuiti di collaborare su incidenti complessi.

Metriche principali:

• Esegui query su petabyte di dati storici in pochi secondi
• Riduzione dell'80% dei tempi di indagine forense
• Mantenimento di catene di prove legalmente valide con audit trail completi

4. Reporting normativo ed evidenze di controllo

Impatto sul business: automatizza la reportistica di conformità per NERC CIP, direttive sulla sicurezza della TSA e altri framework normativi, riducendo l'impegno manuale del 90% e migliorando al contempo accuratezza e coerenza.

Framework di conformità supportati:

• NERC CIP-011-4: prove del programma di protezione delle informazioni e reporting dell'inventario degli asset informatici ¹¹
• CIP-015-1: requisiti di monitoraggio e registrazione della sicurezza della rete interna ¹²
• Direttive sulla sicurezza delle pipeline della TSA: monitoraggio continuo e segnalazione degli incidenti per le infrastrutture critiche delle pipeline ¹³

Funzionalità chiave:

• Tracciamento automatizzato della provenienza dei dati per i requisiti di audit
• Dashboard di conformità in tempo reale con avvisi per le eccezioni
• Template di report predefiniti per le presentazioni alle autorità di regolamentazione

5. Analitiche dei rischi di terze parti/della supply chain

Impatto sul business: fornisce un monitoraggio continuo della postura di sicurezza dei fornitori e dei rischi della supply chain, fondamentale dato che le violazioni di terze parti rappresentano quasi la metà di tutti gli incidenti nel settore energetico.

Funzionalità di valutazione del rischio:

• Punteggio di sicurezza dei fornitori: valutazione automatizzata della postura di sicurezza di terze parti utilizzando la telemetria esterna e interna
• Analisi dei modelli di accesso: monitoraggio dell'accesso alla rete e delle interazioni con i dati da parte dei fornitori per il rilevamento di anomalie
• Mappatura della supply chain: visualizzazione delle interdipendenze e degli scenari di rischio a cascata

Metriche principali:

• Visibilità a 360 gradi sull'accesso e sull'attività dei fornitori
• Aggiornamenti del punteggio di rischio in tempo reale basati sui feed di threat intelligence
• Avvisi automatici per attività dei fornitori ad alto rischio o violazioni delle policy

Il contributo di Databricks: funzionalità concrete

Architettura Lakehouse per la sicurezza

Architettura Lakehouse di Databricks per la cybersecurity nel settore energetico e delle Utilities

La Piattaforma di Data Intelligence di Databricks ¹⁴ fornisce un'architettura unificata che affronta le sfide uniche con cui si confrontano i team di sicurezza del settore energetico e dei servizi pubblici:

Delta Lake Foundation: l'archiviazione di dati in formato aperto con transazioni ACID garantisce l'integrità dei dati ed elimina il vendor lock-in. La telemetria di sicurezza è archiviata in un formato a colonne ottimizzato che supporta sia le analitiche batch che le query di streaming in tempo reale.

Governance di Unity Catalog: fornisce una governance dei dati completa con controlli degli accessi granulari, tracciamento automatizzato della provenienza dei dati per la conformità normativa e policy di sicurezza coerenti per tutti gli asset.

Elaborazione in tempo reale: Structured Streaming e Auto Loader consentono l'acquisizione continua di dati di sicurezza da fonti IT e OT, supportando scenari di rilevamento inferiori al secondo e aggiornamenti delle dashboard in tempo reale.

Analitiche avanzate e funzionalità di ML

Integrazione con MLflow: gestisce l'intero ciclo di vita del machine learning per i casi d'uso di sicurezza, dallo sviluppo del modello di rilevamento delle minacce fino alla distribuzione e al monitoraggio. I modelli predefiniti per il rilevamento di anomalie, l'analisi del comportamento degli utenti e la classificazione delle minacce possono essere personalizzati per gli ambienti del settore energetico.

Monitoraggio Lakehouse ¹⁵: monitora la qualità dei dati e le prestazioni dei modelli per garantire che la precisione del rilevamento rimanga elevata con l'evolversi del panorama delle minacce. Il rilevamento automatizzato del drift aiuta a mantenere l'efficacia dei modelli nel tempo.

Delta Live Tables: semplifica la creazione e la gestione di pipeline di elaborazione dati, garantendo che i flussi di dati di sicurezza passino dall'ingestion non elaborata a formati pronti per l'analisi con controlli di qualità e tracciamento del lineage appropriati.

Flessibilità e integrazione multicloud

Porta le tue analitiche: le organizzazioni possono mantenere gli investimenti SIEM/SOAR esistenti sfruttando Databricks per la conservazione dei dati a lungo termine, l'analisi avanzata e il rilevamento delle minacce basato su ML. Questo approccio offre il meglio di entrambi i mondi: capacità di rilevamento immediate e una profonda potenza analitica.

Conservazione economicamente vantaggiosa: le opzioni di archiviazione a più livelli consentono alle organizzazioni di mantenere i dati "hot" prontamente accessibili per le attività operative in tempo reale, archiviando al contempo i dati storici in modo economico a fini di conformità e forensi. Ciò è particolarmente importante per le organizzazioni del settore energetico che potrebbero dover conservare i log di sicurezza per 7-10 anni.

Integrazione aperta: il supporto per API e formati di dati standard del settore garantisce un'integrazione perfetta con gli strumenti di sicurezza esistenti, dalle piattaforme di rilevamento degli endpoint alle soluzioni di monitoraggio dei sistemi di controllo industriali.

Perché Databricks si differenzia

Standard aperti: a differenza delle soluzioni nativo per il cloud che bloccano i dati in formati proprietari, Databricks utilizza standard aperti come Delta Lake e Apache Parquet, garantendo che le organizzazioni mantengano il controllo sui propri dati e possano adattarsi alle mutevoli esigenze.

Vero multicloud: mentre i concorrenti si concentrano principalmente sui loro ambienti cloud nativi, Databricks offre funzionalità coerenti su AWS, Azure e Google Cloud, consentendo alle organizzazioni di implementare un'analitiche della sicurezza unificata indipendentemente dalla loro strategia cloud.

Leadership in ML/AI: la combinazione di MLflow per la gestione del ciclo di vita dei modelli e Unity Catalog per la governance dei dati offre funzionalità ineguagliabili per l'implementazione e la gestione di casi d'uso di sicurezza basati su ML su scala aziendale.

Ottimizzazione dei costi: la suddivisione in livelli dei dati intelligente e le funzionalità di ottimizzazione come Photon e Delta Engine offrono un rapporto prezzo/prestazioni superiore per i carichi di lavoro di analisi della sicurezza su larga scala, riducendo spesso il costo totale di proprietà del 40-60% rispetto agli approcci tradizionali di data warehouse.

Risultati pronti per il cliente e passi successivi

Piano pilota di 90 giorni

Fase 1 (Giorni 1-30): Configurazione delle basi

• Implementa il workspace Databricks con la governance di Unity Catalog
• Configurare l'acquisizione dei dati da 3-5 fonti di log prioritarie (Windows, firewall, log di controllo del cloud)
• Stabilire un'architettura dei dati bronze/silver/gold con controlli di qualità di base

Fase 2 (giorni 31-60): rilevamento e analitiche

• Implementa 5 casi d'uso di rilevamento principali (ad es. movimento laterale, escalation dei privilegi, attività di rete anomala)
• Implementare 2 playbook di threat hunting incentrati sui percorsi di attacco da IT a OT
• Creare una dashboard dirigente che mostri le metriche sulla postura di sicurezza

Fase 3 (Giorni 61-90): Conformità e ottimizzazione

• Creazione di report di conformità automatizzati per il quadro normativo primario (NERC CIP o TSA)
• Calcolare i risparmi sui costi di conservazione rispetto al SIEM esistente (in genere una riduzione del 50-70%)
• Stabilire metriche di successo e un business case per l'implementazione completa.

Risultati attesi

Miglioramenti operativi:

• Riduzione del 60% del tempo necessario per rilevare minacce sofisticate
• Indagini forensi più veloci dell'80% grazie all'accesso unificato ai dati
• Automazione del 90% del reporting di conformità normativa

Vantaggi in termini di costi:

• Riduzione del 50-70% dei costi di conservazione dei dati a lungo termine
• Eliminazione dei limiti di volume dei dati SIEM e dei relativi costi per l'eccedenza
• Riduzione della necessità di strumenti forensi specializzati grazie a un approccio basato su una piattaforma unificata

Vantaggi strategici:

• Architettura a prova di futuro, scalabile con l'aumento dei volumi di dati
• Indipendenza dai fornitori grazie a formati di dati aperti
• Maggiore capacità di attrarre e trattenere analisti della sicurezza qualificati attraverso strumenti moderni

Invito all'azione

Le sfide di cybersecurity che il settore Energy & Utilities deve affrontare non faranno che intensificarsi con l'accelerazione della convergenza IT/OT e con l'aumento della sofisticazione degli attori delle minacce. Le organizzazioni che agiscono ora per modernizzare le loro piattaforme di analitiche della sicurezza saranno meglio posizionate per difendersi dalle minacce emergenti e al contempo soddisfare i requisiti normativi in evoluzione.

Pronto a trasformare le tue attività operative di cybersecurity? Pianifica un workshop sulla cybersecurity di Databricks per scoprire come la piattaforma lakehouse può affrontare le tue specifiche sfide di sicurezza.

(Questo post sul blog è stato tradotto utilizzando strumenti basati sull'intelligenza artificiale) Post originale