Sicurezza delle infrastrutture critiche nel 21mo secolo
Il parere di Check Point
Risponde Marco Fanuli, Security Engineer Team Leader di Check Point
Autore: Redazione SecurityOpenLab
Che cosa significa difendere un'infrastruttura critica e che differenza c'è rispetto a una rete aziendale "comune"?
Le maggiori differenze fra un’infrastruttura critica e una comune passano prima di tutto per la presa di coscienza di che cosa significa mettere in sicurezza questo tipo di rete. Negli ultimi decenni siamo stati abituati a mettere in sicurezza delle infrastrutture passo dopo passo e a prendere progressivamente confidenza con quella che è la loro definizione di security.
Storicamente, le infrastrutture critiche sono nate come reti isolate e come tali non sono mai state coinvolte nello sviluppo di alcun protocollo di sicurezza. Oggigiorno, necessità aziendali, di processo o di raggiungibilità hanno fatto sì che queste reti OT (Operational Technology) siano sempre più connesse alle reti IT e di conseguenza ad Internet. Ed è qui che emerge la necessità di estendere il concetto di sicurezza informatica anche alle reti critiche.
Per quanto detto, molti addetti ai lavori nell’ambito OT non conoscono la security così come la controparte IT. Dall’altra parte, invece, gli amministratori delle reti IT sono coinvolti in questi processi ormai da decenni e ogni IT manager ha, ad esempio, una lista completa dei device all’interno della propria rete con tanto di tool automatizzati per avere informazioni in tempo reale riguardo all’evoluzione della stessa. Nella parte OT quando chiediamo quali siano gli asset da proteggere, spesso la risposta è “non lo so”.
Ad aggravare la situazione, capita nella maggior parte dei casi che le macchine installate all’interno di reti critiche abbiano dei sistemi operativi e dei software obsoleti e pieni di vulnerabilità. In ambito produttivo, tali software non vengono aggiornati come normalmente avviene per laptop o server e questo è un vero e proprio invito a entrare per chiunque possa mettere in pratica tecniche di attacco anche basilari.
Si deve quindi partire dalla consapevolezza di dover proteggere queste reti. La controparte IT sa benissimo che i propri server web e i propri database vanno difesi da attacchi esterni. I responsabili della parte OT tuttora spesso, ed erroneamente, credono che quelle reti siano isolate dal mondo esterno. E prima ancora della sicurezza c’è il tema della visibilità: se non so che cosa devo difendere è difficile fare security.
Secondo la vostra esperienza, quali sono oggi le minacce maggiori per le infrastrutture critiche?
Le minacce maggiori ormai vanno di pari passo con quelle minacce che troviamo anche nel mondo informatizzato. Ad esempio, i ransomware. Gli stessi ransomware che sono stati creati per cifrare dei dati e farsi pagare un riscatto hanno colpito diverse aziende anche all’interno delle proprie reti OT. In questi ambienti di produzione i ransomware possono installarsi a bordo di PLC, server, engineering workstation e via dicendo e cifrare i dati necessari all’apparato stesso per operare. Immaginiamo un controller che debba monitorare i giri al minuto di una ventola o istruire un braccio meccanico: un ransomware potrebbe bloccare totalmente qualsiasi operatività del controller e di conseguenza la produzione in toto.
Rispetto agli apparati della controparte IT, quando c’è un disservizio nelle infrastrutture critiche, questo provoca danni di diverse centinaia di migliaia di euro. Anche blocchi di poche ore possono impattare in maniera catastrofica sulla produttività dell’azienda. Tutto, banalmente, per un ransomware, che non è nemmeno stato creato per causare questi danni. Teniamo conto che i principali attacchi nelle infrastrutture critiche mirano proprio a bloccarle, quindi a creare un disservizio. È una minaccia pesante perché un blocco del sistema produttivo è molto più impattante del blocco del PC di un singolo lavoratore.
I vostri prodotti per quali reti sono adatti e quali azioni difensive svolgono?
Check Point ha un approccio a tre livelli. Il primo livello consiste nel mettere in protezione la parte IT. Si fa con la più completa tecnologia nell’ambito della difesa perimetrale su cui Check Point ormai innova da anni, ad esempio con dei Next Generation Firewall. Questo perché gli attacchi mirati spesso vengono dall’esterno. Una protezione perimetrale della componente IT sui varchi di uscita ed entrata dall’azienda dev’esserci.
Il secondo passo è creare una segmentazione tra mondo IT e mondo OT, un firewall fra network e infrastruttura critica. Questo perché bisogna evitare in ogni modo che se qualcuno viene infettato nella parte IT, l’infezione possa raggiungere la componente OT. Si evitano così ulteriori danni. In molte realtà ci capita purtroppo di vedere le cosiddette reti “piatte”, dove una qualsiasi macchina della rete IT può potenzialmente collegarsi su un apparato del mondo SCADA. Così, un PC infetto di un qualsiasi dipendente diventa il ponte ideale per estendere l’attacco a infrastrutture critiche.
Il terzo e ultimo step riguarda il mondo SCADA/OT: grazie a R80.40, che è l’ultima versione del software che abbiamo rilasciato, ci integriamo nativamente con delle soluzioni di asset detection e anomaly detection in maniera tale da dare la visibilità mancante degli asset presenti all’interno della rete, catalogarli e individuare le possibili vulnerabilità che questi asset si portano dietro. Inoltre, possiamo utilizzare gli asset scoperti per fare delle policy di sicurezza ad hoc e condurre analisi approfondite non più su degli indirizzi IP ma sui “nomi e cognomi” parlanti degli asset coinvolti.
Che cosa servirebbe nel nostro Paese per mettere in sicurezza le infrastrutture critiche?
Ogni azienda sta agendo e reagendo a suo modo. Mettere in sicurezza le infrastrutture critiche non è un compito banale, anche perché è un mondo molto frammentato. Le infrastrutture critiche vivono di protocolli proprietari di chi ha inventato quei macchinari, quei controller o quell’infrastruttura nella fattispecie. Non esiste standardizzazione. Sarebbe un ottimo punto di partenza iniziare a ragionare nell’ottica della standardizzazione di alcuni protocolli là dove possibile.
Nel nostro Paese servirebbe per lo più consapevolezza: le infrastrutture critiche sono da difendere perché ormai interconnesse. L’Italia è fatta da tantissime aziende medie, piccole e grandi che sono leader di mercato per la loro specializzazione e sono una ricchezza che solo noi abbiamo. Purtroppo, in queste piccole grandi realtà spesso manca la consapevolezza. Non è più vero che le infrastrutture critiche vivono di vita propria, che sono isolate. È vero invece che sono sempre più connesse all’esterno e che c’è qualcuno al di fuori del nostro perimetro che potrebbe accorgersene. Purtroppo, finora chi si è protetto è perché ha già subito un attacco, invece occorre prevenzione, non la rincorsa dei guai.