La cronaca ormai quotidiana dimostra che anche le tecnologie per la produzione industriale (OT), che pure sono relativamente poco esposte, non sono esenti dalle problematiche di vulnerabilità che normalmente destano preoccupazioni nel ben più visibile mondo IT.

In un tessuto industriale come quello italiano dove la PMI è dominante è interessante vedere dove e come vengono affrontate le tematiche della Cyber Security: approfondimento sul sito INNOVATION POST…

Difendersi però è meno semplice di quanto si possa pensare per via delle caratteristiche specifiche degli ambienti manifatturieri: Conosci le differenze tra la Cyber Security in ambiente IT e OT?

Due punti chiave per meglio comprendere le specificità della Sicurezza in ambiente di Processo:

  1. Tecnologie specifiche di settore: La configurazione e la gestione dei meccanismi e dei protocolli di comunicazione in ambito industriale richiedono competenze specifiche. Chi si occupa da sempre della sicurezza in ambito IT non ha conoscenza (o, nel migliore dei casi, non ne ha a sufficienza) delle specificità dei sistemi di controllo industriali (ICS).  
  2. Carenze tecnologiche operative: i PLC e le RTU sono computer a basso fattore computazionale, costruiti per il controllo di componenti fisici come valvole, pompe, motori, ecc. Siamo in presenza quindi di dispositivi fuori dagli standard IT che richiedono strategie di difesa mirate e specifiche.

Cos’è l’ANOMALY DETECTION? LEGGI QUI…

Per comprendere meglio il problema, basta leggere questo breve elenco di vulnerabilità specifiche dei sistemi SCADA e ICS, tenendo presente che ce ne sono, in realtà, molte altre.

Possiamo affermare che già l’installazione di un software per Anomaly Detection è un grosso passo in avanti verso la “verifica della propria infrastruttura” ed il rilevamento di terminali non tracciati: in pratica quando il sistema viene messo in funzione comincia creando un’immagine della rete, mappando PLC, Server, client, storicizzatori, sensoristica e dispositivi mobili…insomma, tutto ciò che è collegato in rete.

Può sembrare banale, ma molte volte ci siamo ritrovati ad aggiungere manualmente terminali sui disegni delle architetture di rete…

 

Successivamente si analizzano comportamenti dell’architettura e traffico di rete al fine di rilevare le seguenti anomalie:

  1. Anomalie di processo e di rete: dispositivi che variano improvvisamente il loro comportamento, sovraccarico o riduzione del carico nella comunicazione.
  2. Dispositivi sconosciuti in rete: dispositivi di personale esterno o di terze parti non autorizzati all’utilizzo nel perimetro di rete operazionale.
  3. Dispositivi collegati direttamente su rete pubblica: modem dati, telecamere IP, dispositivi IOT.
  4. Firmware e Sistemi operativi obsoleti: non più supportati e aggiornati
  5. Sistemi Operativi non aggiornati con le ultime dotazioni di sicurezza: service packs, SIMs, patchs, ecc.
  6. Mancanza di autenticazione: la mancanza di password o password deboli (es. admin / admin o admin / 123456) può portare ad accessi e a modifiche non autorizzate nella configurazione di un sistema critico.
  7. Mancanza di crittografia: le comunicazioni in chiaro, non criptate, sono facilmente intercettabili e manipolabili anche da chi non ha specifiche conoscenze di settore.
  8. Backdoors: SCADA e ICS possono esposti ad attacchi attraverso le reti di comunicazione standard ma anche mediante i protocolli industriali che, quasi sempre, sono intrinsecamente non-sicuri.
  9. Overflow dei buffer: i buffer possono essere oggetto di attacchi specifici che possono causare sovraccarichi, corruzione di aree di memoria e portare al crash dei sistemi.
  10. Attacchi personalizzati ai componenti di controllo fisici: l’uso estensivo di protocolli di rete senza dotazioni di sicurezza e l’interazione diretta degli ICS con i dispositivi fisici rende possibili attacchi che impattano sulla sicurezza fisica delle persone.

Tali vulnerabilità possono essere facilmente individuate mediante l’adozione di sistemi di Vulnerability Detection specifici per gli ambienti OT.

Questi sistemi utilizzano principi di whitelisting, machine learning e deep packet inspection (DPI) dedicati ai protocolli industriali e consentono di acquisire rapidamente una mappa delle connessioni segnalando tempestivamente eventi anomali o sospetti.

Se siete interessati ad approfondire l’argomento ci troverete il 6 Febbraio a Milano al Forum Software Industriale: leggi di seguito la presentazione dell’evento e il programma degli interventi.