Autore: Redazione SecurityOpenLab
L’ambito del manufacturing è senza dubbio uno dei comparti maggiormente soggetto ad attacchi, come emerge anche dall’ultima e recente edizione del Cybersecurity Readiness Index, in cui risulta essere uno dei vertical più colpiti insieme all’healthcare e al settore finanziario. Come facile presumere, quest’ultimo è maggiormente interessato dalle frodi finanziarie a vario titolo (come per esempio gli attacchi BEC), mentre il comparto della sanità è bersagliato da attacchi mirati al furto e sottrazione di dati - dato che è quello che genera la maggiore quantità di dati sensibili. Il manufacturing è invece colpito per lo più da attacchi che mirano al blocco produttivo, con ripercussioni sui volumi finanziari delle aziende, sulla sicurezza delle macchine e anche sulla brand reputation.
Gli attaccanti colpiscono in egual misura tutti gli ambiti della produzione, dalle infrastrutture critiche fino alle piccole e medie imprese. Nel primo caso l’obiettivo è fermare la produzione, creare un forte disservizio, ottenere grande risonanza mediatica. Nel caso delle PMI l’attacco è il più delle volte motivato dal fatto che sono più facili da colpire perché hanno difese più deboli rispetto ad altre realtà. Gli attaccanti sono opportunisti e contro le PMI impiegano ransomware che bloccano i servizi e rubano informazioni sensibili o brevetti, quindi chiedono un riscatto. Purtroppo sono molte le realtà italiane che decidono di pagare il riscatto pur di riavere i dati, tornare all’operatività ed evitare le sanzioni del garante della privacy.
A trasformare il manufacturing in un target appetibile per i criminali informatici è stata, fra le altre cose, l’Industry 4.0, a cui fa capo tutta una serie di facilitazioni ed efficienze del ciclo produttivo, ma dall’altro canto ha anche fatto in modo che tutta una serie di asset (beni strumentali, sistemi SCADA e PLC, eccetera) senza protezione venisse esposto su Internet. È importante ricordare a tale riguardo che ogni oggetto che è connesso ad Internet si espone a un rischio, quindi dev’essere protetto secondo una strategia e un approccio maturo alla sicurezza. Proprio la strategia di security è l’elemento che è mancato nelle realtà del mondo industriale, dove per anni le aziende hanno innovato investendo quasi esclusivamente sulla parte strumentale, riservando poco spazio alla sicurezza.
Fra i problemi più gravi del manufacturing denotiamo la mancanza di coscienza, da parte delle aziende di settore, delle caratteristiche fisiche della propria infrastruttura produttiva. In altre parole: non hanno contezza di quali asset compongano l’infrastruttura e di quali siano le relazioni fra di essi, di conseguenza è carente tutta la parte di governance e la capacità di proteggere questi ambienti.
Un esempio su tutti è quello relativo all’assistenza remota: è stata attivata per motivi di efficienza, ma ha esposto le aziende a forti rischi a causa dell’approccio legacy con cui è stato gestito l’accesso via web: username e password, che spesso sono “admin e admin”. Non è un caso che l’attacco più diffuso nel settore sia il brute forcing delle password: avere accesso a un sistema con presupposti di sicurezza così bassi richiede pochi secondi, da lì si attivano i movimenti laterali e si compromette via via tutto l’impianto produttivo, fino ad arrivare all'attacco massivo, che consiste nell’interrompere il sistema di produzione e mettere in crisi il funzionamento della catena di supply chain.
L’altro tema che espone l’OT agli attacchi cyber è la gestione delle vulnerabilità, che è spesso trascurata sia per quanto riguarda l’hardware obsoleto, sia per i sistemi operativi e i software obsoleti. Così facendo si crea un’autostrada per gli attaccanti che agevola gli attacchi, perché le vulnerabilità degli ambienti obsoleti sono “exploitabili”, ossia sono già state utilizzate per un accesso non autorizzato all'azienda ed è facile entrare in rete per poi attaccare i sistemi adiacenti con i ben noti movimenti laterali. Le opportunità che il cybercrime vede nel manufacturing sono talmente ampie da giustificare la specializzazione di alcuni gruppi criminali sugli ambienti OT (con ransomware o SQL Injection creati per colpire particolari protocolli impiegati in ambiente OT) per essere più efficaci con le azioni mirate.
La difesa si sviluppa su diverse direttive. La prima è applicare tutte quelle best practice che si applicano in ambiente IT. Si deve quindi partire con un risk assessment degli ambienti industriali, quindi formulare un maturity assessment per comprendere il livello di maturità da cui bisogna partire per sviluppare una protezione efficace. Il tutto richiede il supporto di un system integrator o di un partner che abbia una competenza verticale nell'ambiente industriale.
Solo a questo punto emerge il gap di processo e tecnologico fra risk e maturity assessment, che dev’essere colmato attraverso quello che si chiama “multi-year plan”: sulla base della gravità dei rischi si programmano investimenti mirati a mitigare prima i rischi più critici e via via quelli meno gravi che sono emersi dal risk assessment. Si tratta quindi di un approccio strutturato di tipo “people, process, technology” che richiede competenze e processi, perché ricordiamo che la security è un processo strutturato e la gestione stessa di un incidente cyber è un processo (l’Incident Response Plan) in cui dev’essere chiaro chi deve fare cosa, chi si deve chiamare, chi deve gestire la comunicazione, come si devono comportare l’IT e il top management, e via dicendo.
Sul fronte delle tecnologie, Cisco ha una parte del suo portfolio che è specializzata sulle soluzioni di security in ambiente industriale, quindi soluzioni verticali e specifiche per protocolli di ambienti operativi distanti dall'ambiente classico dell'IT.
Per quanto riguarda le grandi aziende e il settore enterprise Cisco è allineata allo standard internazionale IEC 62443, che è lo standard di Industrial Cybersecurity basato sul concetto strutturato di Cybersecurity Management System, che prescinde da un approccio maturo alla sicurezza. Per il principio che non si può proteggere ciò che non si conosce, questo approccio parte dall’asset inventory/asset discovery, ossia dall’inventario digitale di tutti gli asset presenti all'interno del contesto industriale: quanti sono, quali sono, che cosa fanno, quali sono connessi alla rete, quali sono esposti su Internet, quali contengono vulnerabilità e potenziali minacce.
Il secondo passaggio è l’application mapping: comprendere a livello applicativo chi parla con chi; quale componente, quale asset di un determinato ecosistema dialoga con altri sistemi. Queste informazioni sono importanti perché tali dialoghi potrebbero essere intercettati da un attaccante interessato a rubare dati o a modificare le informazioni in transito fra un sistema e l’altro con l’obiettivo di alterare lo stato dell’arte della produzione. Ricordiamo a tale proposito che un tipico attacco contro il manufacturing consiste nella modifica dei dati relativi alle giacenze di magazzino, cosicché quando l’azienda deve avviare la produzione si trovi senza materia prima e non possa rispettare le scadenze nelle consegne.
Terzo elemento fondamentale è una soluzione di Vulnerability Management, ossia un sistema in grado di identificare in real time le vulnerabilità che sono presenti all'interno dell'ambiente industriale. Cisco offre questo servizio mediante le soluzioni a portafoglio frutto dell'acquisizione di Kenna Security, che oltre a identificare le vulnerabilità consentono anche di classificarle secondo un modello di risk scoring e di suggerire le remediation da applicare per ridurre il rischio che è stato evidenziato, come per esempio l'applicazione di patch, l'applicazione di fix, il cambiamento delle regole del firewall e altro. Queste indicazioni vengono erogate attraverso la piattaforma Cisco Vulnerability Management.
A differenziare la proposta di Cisco da quelle concorrenti è che queste segnalazioni vengono fatte in real time, con il risk scoring aggiornato di ora in ora, grazie a diverse sorgenti di Threat Intelligence - tra cui la nostra Talos - per individuare le vulnerabilità e assegnare loro un indice di criticità per l’ambiente specifico su cui viene svolta l'analisi. Si tratta di una peculiarità tattica che avvantaggia il cliente rispetto al concetto ormai superato del Penetration Test e del Vulnerability Management condotti con cadenza di 3 o 6 mesi.
A questo punto si aggiungono i concetti di segmentazione e micro-segmentazione della rete. È un principio fondamentale per ridurre l’impatto di un eventuale attacco ostacolando la facilità con cui un attaccante si muove all'interno di una rete. In una realtà completamente flat il cyber criminale non ha barriere, quindi una volta entrato in rete è libero di prendere possesso di tutti gli asset. Introducendo dei livelli di segmentazione basati sull’application mapping è possibile segmentare la rete cosicché un attaccante che compromette un ambiente difficilmente riuscirà a compromettere tutto il resto della rete.
Cisco svolge questo compito con prodotti differenti da quelli impiegati per la segmentazione delle reti IT, lavorando direttamente con i protocolli industriali. La piattaforma Cyber Vision permette di fare Threat Intelligence e Vulnerability Management, la soluzione di Next Gen IPS permette di identificare e quindi bloccare il traffico malevolo. I sistemi di gestione di accesso remoto (Secure Connectivity Access) permettono infine l'accesso sicuro ai sistemi strumentali utilizzando concetti di multifactor authentication o di connessione sicura attraverso protocolli che utilizzano l’encryption.
Per le Piccole e Medie Imprese la proposta di Cisco è totalmente differente. In questo caso non si applicano i concetti di segmentazione e micro-segmentazione perché diverrebbe troppo complicato e finanziariamente gravoso fare una gestione operativa. Si introducono invece delle soluzioni NDR (Network Detect and Response) che permettono di fare l’inspection di tutto il traffico di rete (incluso quello crittografato) e di bloccare automaticamente il traffico malevolo grazie a particolari header e a meccanismi di intelligenza artificiale, machine learning e threat intelligence capaci di distinguere qualsiasi componente malevola.
Ogni volta che individua un pacchetto malevolo, la soluzione Cisco Security Analytics può inviare degli alert e bloccarlo automaticamente, impedendogli di transitare attraverso sistemi quali gli switch industriali e i router. È richiesta una fase iniziale di rodaggio e apprendimento, che può durare da due a quattro settimane a seconda della dimensione dell’azienda, in cui il traffico viene analizzato ma non viene bloccato. Al termine del rodaggio si passa alla fase di blocking del traffico. Ogni volta che un pacchetto malevolo viene individuato e bloccato, il sistema ne rileva le signature in modo da scartare automaticamente tutti i pacchetti futuri che si presenteranno con la stessa firma, senza nemmeno procedere con l’analisi.
Oltre ad essere efficace, Cisco Security Analytics presenta diversi vantaggi. Il primo è che non è invasiva in quanto non è legata al singolo asset, non richiede l’installazione di agenti a bordo dei server o degli ambienti delle console industriali, che spesso creano problemi di compatibilità. Inoltre, il suo elevato livello di automazione è fondamentale per realtà industriali in cui la presenza di personale è ridotta al minimo e una soluzione automatizzata non richiede skill aggiuntive. Terzo, il lavoro a velocità macchina accorcia notevolmente il Time to detect e il Time to respond, togliendo all’attaccante il tempo necessario per attuare movimenti laterali, compromissione degli asset, controllo e abuso di Active Directory e via dicendo.