Come le soluzioni OT/ICS cyber security possono essere utilizzate con Azure, AWS, ecc.

Dale Peterson, grande esperto di OT Cyber Security, CEO e fondatore di DigitalBond, ed organizzatore/animatore di S4X, la più autorevole conferenza di Industrial Cyber Security, in un suo recentissimo articolo dal titolo “Wanted: ICS Cloud Services Security Product”, ovvero “come collegare in modo sicuro reti ed impianti con i servizi in Cloud?” ci illustra interessanti punti, alcuni dei quali anche da noi sottolineati da qualche tempo. Eccone un breve riassunto, per consultare l’originale clicca qui.

La maggior parte dei servizi Cloud legati a sistemi di fabbrica (ICS) attualmente proposti sul mercato sono per la manutenzione predittiva e l’analisi delle prestazioni (KPI, OEE, ecc.) di impianti e delle linee di produzione.

Questi sono, per la quasi totalità, servizi “loop (anello) aperto”. Loop aperto, nel senso che i servizi Cloud ricevono i dati dall’impianto ma non possono inviare indietro alcun dato al sistema di controllo ICS sull’impianto.

Un diodo dati, ovvero un dispositivo unidirezionale è la soluzione di sicurezza ideale per questo tipo di servizi. È un ostacolo fisico, e quindi non software, a impedire che dati vengano rispediti dal Cloud all’ICS.

I prodotti dei leader di mercato dei diodi one-way sono quelli di Waterfall, Owl e Bayshore Networks e già i prezzi hanno iniziato a scendere. Idealmente, un diodo unidirezionale sarebbe un’opzione per qualsiasi servizio Cloud a loop aperto. Oggi però sono presenti in una piccola percentuale di implementazioni, in genere Aziende con persone molto attente alla security. La maggior parte dei fornitori di servizi in Cloud non propone dispositivi unidirezionali e spesso si oppone alla loro installazione in quanto, dicono, potrebbero aggiungere complessità al progetto e, cosa più importante, potrebbero chiudere la strada per proporre in futuro servizi bidirezionali, a loop chiuso. Ma questo, ovvero la possibilità per il fornitore di servizi in Cloud di poter inviare dei dati indietro, potrebbe anche portare nuove minacce per il sistema di controllo.

La reazione istintiva per la maggior parte dei professionisti di OT security potrebbe essere: “Non vogliamo applicazioni bi-direzionali, perché se il provider di servizi in Cloud venisse compromesso, da remoto potrebbero controllare il nostro processo. E questo non va bene”.

La vera domanda dovrebbe essere: quali benefici ha il proprietario dell’impianto utilizzando il servizio in Cloud e quale potrebbe essere la massima conseguenza derivante da un servizio in Cloud compromesso e divenuto malevolo?
Un semplice esempio dal mondo reale potrebbe essere il controllo di una caldaia industriale.

Esistono servizi in Cloud per il monitoraggio delle caldaie che offrono la possibilità di regolare un numero limitato di parametri e impostazioni, interventi ammessi per migliorare le prestazioni al variare delle condizioni. Possono quindi calcolare i miglioramenti di efficienza della caldaia e trasformarli in un notevole risparmio di energia e quindi costi. Proprio per questione di security e safety, e proprio per non mettere in pericolo sia l’impianto stesso, l’ambiente o eventuali operatori nei paraggi, consigliamo di assicurarsi che i parametri accessibili non siano tra quelli “critici” per l’integrità dell’impianto.

Quale potrebbe essere quindi la massima conseguenza della compromissione di questo servizio a loop chiuso?

La connessione sicura avviene di solito con una VPN tra il servizio in Cloud e il sistema di controllo ICS e di solito permette al fornitore di servizi un accesso illimitato all’ICS. Le limitazioni sono semplicemente “contrattuali”: il fornitore di servizi che fa solo ciò che ha promesso di fare e non di più. Ovviamente, un utente malintenzionato che ha compromesso il provider di servizi Cloud non avrebbe queste restrizioni “contrattuali”.

Ciò che è necessario per questi sistemi a loop chiuso è un dispositivo perimetrale con Deep Packet Inspection (DPI) che limiterà il provider di servizi Cloud alle sole funzionalità definite dalle Policy in contratto.

Nel nostro esempio della caldaia, il fornitore di servizi Cloud potrebbe modificare solo un set limitato di parametri e potrebbe essere specificato un intervallo massimo per le modifiche. Ne consegue che la massima conseguenza con questa protezione potrebbe essere una resa della caldaia meno efficiente durante un ipotetico attacco.

La buona notizia è che questo tipo di prodotti che fa DPI sui protocolli industriali, originariamente creata da Eric Byres e dal team di Tofino nel 2005, esiste da oltre un decennio. La predisposizione ad utilizzare questo tipo di dispositivi meno “sentito” a causa di alcune acquisizioni di piccole-medie aziende che li producono e che hanno portato questi prodotti ad essere solo una piccola parte della proposta di aziende molto più grandi che sono focalizzate a vendere prodotti e soluzioni IT omnicomprensive, molto più grosse e costose. Ovvero, oltre mezzo miliardo di dollari di capitale di rischio versato in questi ultimi anni nel mercato della “ICS Detection” ha anche ridotto il loro impatto di marketing.

Idealmente un fornitore di servizi Cloud potrebbe collaborare efficacemente con un’azienda che offra soluzioni di security sia a loop aperto che loop chiuso e offrirle come opzione a pagamento ai propri clienti. Spesso vengono utilizzati entrambi. Servizio solo unidirezionale, e ove possibile, anche la capacità di controllo da remoto, minima e controllata utilizzando dispositivi con DPI. In tal modo dimostrano di essere preparati in anticipo per la domanda “cosa diciamo quando si parla di security?”.

I potenziali attori nel mercato dei prodotti di sicurezza ICS, DPI e Diodi one-way, potrebbero includere:

• abbiamo detto che i principali fornitori di diodi one-way, sono Waterfall e Owl. Hanno il prodotto per la manutenzione a loop aperto / predittiva e devono solo creare un prodotto DPI. Potrebbero costruirlo in casa con la loro esperienza di protocollo o acquisendo una delle società che producono DPI e firewall industriali. Potrebbe essere un escamotage per offrire anche un prodotto bi-direzionale.
• Bayshore Networks è l’unica azienda a cui riesco a pensare oggi (chi altri?) che ha già entrambi i prodotti, sia firewall industriale con DPI e che diodo one-way. Si sono affacciati di recente sul mercato e quindi c’è da fare un sacco di lavoro per far accettare e far mettere a specifica i loro prodotti.
• Le società di firewall industriali.
• Microsoft … e qui Bayshore Networks o altri che cercano di entrare in questo mercato potrebbero intravvedere alcuni rischi. L’acquisizione di CyberX da parte di Microsoft e la maggiore funzioni ICS e DPI nel loro dispositivo Edge potrebbe essere la risposta di fatto per mettere su Azure i dati dai sistemi OT/ ICS sugli impianti. La domanda è se Microsoft costruirà il prodotto giusto o tenterà di usare il suo potere/presenza per forzare la soluzione più facile sul mercato. Se seguirà questa seconda ipotesi, allora avremo un’apertura per altri fornitori che vogliano proporre soluzioni DPI e Diodi one-way per Clienti proprietari di impianti attenti alla security. Ovviamente, se Microsoft avrà successo vedremo mosse simili anche da parte di AWS.
• Una o più startup che potrebbero iniziare con una strategia di branding mirata.

In definitiva dipenderà da ciò che i Clienti proprietari di impianti da monitorare da remoto potranno richiedere in termini di security. Ovvero se l’attuale modalità di tunnel VPN diretto a sistemi di controllo ICS del tipo “sentiti libero, fai come a casa tua” e/o “mi fido di te” rimarrà accettabile per i proprietari di impianti. E se la situazione rimane questa, i provider di servizi Cloud non si complicheranno la vita con ulteriori limitazioni e security. Purtroppo.

Ma siamo anche convinti che una corretta e continua azione di Awareness sul mercato faccia maturare nei Clienti la consapevolezza che la OT/ICS cyber security sia una parte importante “da includere nel sistema di controllo dell’impianto”.