Il parere di GCI System Integrator

Quali sono le esigenze per la difesa cyber delle infrastrutture critiche e degli ambienti OT?

I sistemi di controllo industriale sono costituiti dai componenti più disparati, tuttavia, ciascun sistema è unico in termini di esatta composizione, quantità e criticità. Esistono obiettivi comuni all'interno delle reti industriali, nonostante le tante differenze di sistema. Tra questi troviamo anche i directory services e i sistemi di Identity and Access Management, che possono essere condivisi tra le zone industriali degli impianti; stazioni di lavoro di ingegneria che potrebbero essere utilizzate per esfiltrare, alterare o sovrascrivere le logiche del processo e, ovviamente, le applicazioni industriali (server SCADA, storico, asset management, ecc..) con i loro protocolli (Modbus, DNP3, EtherNet Industrial Protocol, ecc..) che potrebbero essere sfruttati per alterare, manipolare o distruggere quasi ogni aspetto di un ICS.

Tra i tanti exploit, quello di Adobe Reader per i sistemi ICS risulta una vera e propria falla del sistema, in quanto può rimanere senza patch e hotfix nel corso del tempo. Con Metasploit è possibile sfruttare le vulnerabilità intrinseche di molti reader .pdf per occultare – attraverso "wrapping" tools - un codice malevolo all'interno di file in formato .pdf. Tornando al mondo prettamente OT, a differenza delle tipiche minacce a livello di applicazione ICT (vedasi Adobe Reader), le minacce ad un sistema ICS non richiedono sempre lo sfruttamento di specifiche vulnerabilità.

Poiché queste applicazioni sono progettate con il solo scopo di influenzare gli ambienti di controllo industriale, i relativi protocolli non sono nati con l'attenzione ad aspetti di sicurezza informatica (“insecure by design”) e non hanno necessariamente bisogno di essere compromessi con malware per causare danni. Avvalendoci di comandi apparentemente legittimi tra sistemi autorizzati, si può costringere un ICS a eseguire una funzione esterna allo scopo e ai parametri previsti dal vendor. Questo metodo può essere pensato come sfruttamento delle funzionalità, e, se considerato nel contesto della cybersecurity ICS, rappresenta un problema che tipicamente non viene affrontato attraverso i tradizionali controlli di sicurezza informatica.

Le risorse da proteggere e monitorare (o "asset") si possono suddividere tra risorse fisiche, logiche o umane.

• asset fisici e sistemi virtualizzati: includono i componenti digitali fisici o gruppi di componenti virtualizzati appartenenti all'organizzazione. Oltre a sistemi server, firewall e router, in ambito industriale si includono anche componenti per il controllo dei sistemi e qualsiasi altro oggetto fisico che sia in qualche modo coinvolto con il controllo, monitoraggio o l’analisi dei processi produttivi.
• asset logici: sono di natura informativa e possono includere beni di natura intellettuale, algoritmi, pratiche proprietarie, conoscenza specifica del processo o altri elementi informativi che incapsulano la capacità di un'organizzazione di operare o innovare.
• risorse umane: nell’ambito della cybersecurity possono includere l’organigramma aziendale dettagliato con le competenze e le foto degli addetti. Attacchi particolarmente insidiosi in questo campo sono quelli che sfruttano tecniche di social engineering e nei casi peggiori, mirati a vere e proprie frodi aziendali in grado di trafugare milioni di euro tramite tecniche BEC (Business Email Compromise ) ed email spoofing (quest’ultima per veicolare anche ransomware).

Se il PLC contiene anche un solo uplink Ethernet per connettersi a un sistema ICS centralizzato, è potenzialmente possibile accedere al PLC tramite quella rete, quindi manipolarlo per alterare le comunicazioni. Per complicare ulteriormente le cose, molti dispositivi hanno capacità di accesso remoto, come modem, ricevitori a infrarossi, trasmettitori bluetooth, radio o altre opzioni di connettività che potrebbero non essere considerate “percorribili”, ma possono essere facilmente accessibili da un attacker.

Ad oggi i protocolli industriali trasmettono i loro dati in chiaro, pertanto, quando parliamo di sicurezza industriale dobbiamo rendere queste comunicazioni confinate in zone altamente sicure. Inoltre, alcuni organismi di standardizzazione protocollare stanno lavorando per dare linee guida sull’approccio alla protezione dei protocolli OT, ovvero di incapsularli all’interno di un protocollo TLS (Transport Layer Security) e utilizzare l’autenticazione reciproca.

Quali soluzioni offrite per soddisfare la domanda del mercato?

Verificate le opportune condizioni sopra descritte, da sottoporre a successivo monitoraggio e vulnerability assessment periodico, la piattaforma fornita da GCI System Integrator provvederà a una prima analisi dello stato delle risorse attraverso un software che è stato sviluppato dal team di risposta alle emergenze informatiche industriali. Il software fornisce un processo di valutazione di un ICS basato su pratiche di cybersecurity che vengono confrontate con una serie di standard industriali riconosciuti. Le risposte fornite al software generano un output sotto forma di un elenco di raccomandazioni, con elementi utilizzabili per migliorare la cybersecurity del sistema in esame, secondo degli standard di base (compresi l’IEC 62443) selezionati. Inoltre, dispone di una GUI che consente di creare diagrammi della topologia di rete e identificare le "criticità" dei componenti stessi.