Cybersecurity [PDF]

Cybersecurity nell’Industria 4.0 Cosa significa Industria 4.0? L’industria 4.0 si può definire come un processo che po

42 0 353KB

Report DMCA / Copyright

DOWNLOAD PDF FILE

Papiere empfehlen

Cybersecurity [PDF]

  • 0 0 0
  • Gefällt Ihnen dieses papier und der download? Sie können Ihre eigene PDF-Datei in wenigen Minuten kostenlos online veröffentlichen! Anmelden
Datei wird geladen, bitte warten...
Zitiervorschau

Cybersecurity nell’Industria 4.0

Cosa significa Industria 4.0? L’industria 4.0 si può definire come un processo che porterà a una produzione industriale del tutto automatizzata e interconnessa, grazie all’integrazione totale di tecnologie digitali nei processi di fabbricazione: si parla, a tal proposito, di Quarta Rivoluzione Industriale. In questo cambiamento, una delle maggiori sfide a cui si deve far fronte è la convergenza tra i settori IT (Information Technology) e OT (Operational Technology), storicamente tenuti separati e caratterizzati ciascuno dai propri asset e dalle proprie regole di gestione. In questo nuovo contesto, gli apparati lungo le linee di produzione diventano sempre più intelligenti, in grado di scambiare dati col mondo esterno; un mondo industriale ora connesso verticalmente verso piattaforme Cloud e orizzontalmente verso altri asset aziendali. Tuttavia, ogni apparato connesso alla rete costituisce una potenziale vulnerabilità e un possibile punto di attacco da parte di criminali informatici.

Il Cyber crimine Il Cyber crimine è sempre più diffuso e i costi per l’economia globale sono stimati in 400 miliardi di dollari all’anno. Tuttavia lo sviluppo della security è visto ancora come un costo accessorio, quando invece dovrebbe entrare a far parte della cultura di ogni azienda in modo da creare un business sicuro, affidabile e in grado di difendersi e reagire ad ogni tipo di attacco.

La security è uno scenario in continua evoluzione. Le minacce provengono dagli hacker, che continuano a evolversi nel tempo e a volte costituiscono dei veri e propri gruppi organizzati. Questi sono sempre più in grado di individuare e sfruttare a loro vantaggio le vulnerabilità presenti nel sistema, cioè le falle che permettono a un’entità esterna di eseguire operazioni non autorizzate dal sistema. Le minacce cyber che oggi esistono e attraversano le nostre reti sono numerose, ma tra queste la minaccia per eccellenza è rappresentata dagli zero-day exploit: questa acquisisce il massimo grado di pericolosità in quanto è una falla nel sistema di sicurezza di un software per cui non esistono rimedi o patches al momento dell’elaborazione. L’hacker scrive un codice (il cosiddetto exploit) per sfruttare tale vulnerabilità e lo vende su un vero e proprio mercato nero persino a diverse migliaia di euro. Con lo sviluppo della digitalizzazione, l’avvento dell’Industria 4.0 e dell’IOT (internet of things), sempre più oggetti vengono connessi ad internet, e gli attaccanti puntano sempre di più a strutture industriali o infrastrutture critiche.

OT vs IT Questa situazione ha portato alla stesura di normative che ci spiegano come difenderci e quali misure adottare. I paesi più industrializzati stanno sviluppando leggi che per ora riguardano la difesa di infrastrutture energetiche e di impianti nucleari, ma si stanno espandendo anche a tutti i riparti industriali. IT (Information technology) è un termine che comprende tutte le forme di tecnologia utilizzate per creare, archiviare, scambiare e utilizzare le informazioni nelle sue varie forme. In altre parole, l’IT mantiene il flusso corretto delle informazioni. Mentre l’OT (Operation Technology) rappresenta convenzionalmente l’insieme di tutti i sistemi e le tecnologie di controllo e automazione, necessarie al funzionamento degli impianti industriali di qualsiasi azienda manifatturiera. La sfida nasce dal fatto che le reti OT appartengono all’ambiente industriale e connettono i sensori e gli attuatori nel campo, mentre le reti IT connettono principalmente persone e server. Il mondo dell’automazione industriale è quindi molto suscettibile a questo argomento, poiché spesso nelle aziende si trovano dispositivi che, per quanto perfettamente funzionanti, sono ormai datati e non sono stati pensati per essere connessi a internet, risultando quindi vulnerabili. Il mondo della security industriale è molto diverso rispetto al mondo della cybersecurity in ambito Information Tecnology a cui siamo abituati. Questo perché il ciclo di vita dei prodotti è estremamente diverso, considerando ad esempio smartphone e laptot che vengono cambiati dopo cinque anni a fronte di impianti industriali che restano operativi anche per archi di vita di 20-40 anni. In questo modo non si ha la possibilità di aggiornamento dei software e dei servizi di sicurezza che si hanno invece nel mondo IT. Si creano quindi necessariamente delle differenze a livello strutturale, che vengono riportate nella figura seguente.

IT NETWORKS

INDUSTRIAL NETWORKS

3-5 anni

Ciclo di vita degli assets

20-40 anni

Migrazione obbligata (es. PC, Smartphone)

Ciclo di vita del software

Uso fintanto che ci sono parti di ricambio

Alta (>10 «agents» sui PC) Bassa (circa due generazioni, Windows 7 e 10) Standard (agents & forced patching)

Opzioni di SW per security

Bassa (sistemi vecchi senza disponibilità)

Eterogeneità

Alta (da Windows 95 up to 10)

Concetto di protezione

Specifica, a seconda del rischio

Nella tabella sono presenti le principali differenze tra il mondo industriale e quello informatico. Oltre a questo, bisogna sottolineare l’inversione dei valori che si ha nel mondo OT rispetto a quello IT. Nell’industria il valore principale è la disponibilità a produrre, accrescendo così il valore dell’impianto; solo in ultimo stadio si ha la protezione dei dati, che pur non essendo trascurabile, non sarà mai importante tanto quando nel mondo IT, che gestisce ad esempio dati di transazioni bancarie.

Lo standard si sicurezza IEC 62443 Quindi gli standard di sicurezza adatti per l’Information Technology devono essere riadattati all’Operational Technology. Quindi dall’ISO 27001, che è lo standard per la protezione dell’informazione – cyber security- in ambito office IT, si passa allo standard mondiale di protezione dei sistemi di controllo industriale, l’IEC 62443. Non esiste il concetto di una sola “barriera impenetrabile”, ma si parla più spesso di defense in depth, ossia in profondità, basata simultaneamente su più misure complementari. Ogni livello protegge i livelli seguenti, quindi l’attaccante dovrà spendere tempo ed effort per ogni transizione. La Commissione Economica delle Nazioni Unite per l’Europa, Nord America e Asia centrale (UNECE), ha reso noto che utilizzerà questo standard all’interno del Common Regulatory Framework on Cybersecurity (CRF) che rappresenterà la sua “posizione ufficiale” in tema di sicurezza informatica. L’IEC 62443 è senza dubbio lo standard più diffuso a livello internazionale per la protezione da rischi informatici di reti e sistemi di controllo e telecontrollo nell’industria come nelle utility: l’adozione di questo standard da parte dell’UNECE contribuirà ulteriormente alla sua diffusione ed adozione ove ci siano sistemi industriali critici. Purtroppo non esiste una misura di sicurezza valida universalmente, ma affinchè sia efficace deve essere adottata ad ogni contesto. Quindi lo standard di security per l’Operational Technology, IEC 62443, si basa proprio su questi due concetti: la difesa a strati, a partire dalle procedure, il controllo degli accessi fisici e quelli informatici tramite firewall e VPN ad esempio, tenendo sempre conto del contesto in cui vengono applicati.

Defense in depth

Come si vede dalla figura per avere una difesa efficace devo andare ad operare su tutti gli strati. La plant security riguarda le procedure e le persone, ossia l’accesso fisico all’impianto, la Network security tutto l’hardware e software che protegge la rete da accessi indesiderati e infine la system integrity sono le misure intrische del sistema che proteggono il sistema quando le altre difese sono state superate, ad esempio la password sul sistema e autenticazione

La serie di standard IEC 62443, definisce le linee guida per incrementare la sicurezza digitale degli Industrial Automation and Control Systems (IACS), quali possono essere: Industrial Control Systems (ICS) e Distributed Control Systems (DCS). 

Programmable Logic Controllers (PLCs).



Remote Terminal Units (RTUs).



Intelligent Electronic Devices (IEDs).



Supervisory Control and Data Acquisition (SCADA).



Networked Electronic Sensing & Control and Monitoring & Diagnostic Systems (inclusi Safety-Instrumented Systems - SIS).

Questi standard si applicano agli utilizzatori finali (es. proprietari della rete), system integrators, operatori di security e costruttori di sistemi di controllo. Tutti gli standard IEC 62443 sono organizzati su quattro livelli denominati : 1.

Generali, include informazioni e concetti generali, modelli e la terminologia. Sono descritti anche i parametri di sicurezza digitali e il ciclo di vita della sicurezza digitale per IACS.

2.

Politica e Procedure, destinata ai gestori della rete.

3.

Sistemi, che descrive il modello di sviluppo di sistemi attraverso l’integrazione di componenti.

4.

Componenti, destinata ai requisiti dei prodotti che implementano tecniche di protezione da attacchi cyber.

I capitoli dello standard IEC 62443 General

Policies & Procedures

System

Component

IEC 62443 1-1

IEC TR 62443 1-2

IEC 624431-3

IEC TR 62443-1-4

Terminology, concepts and models

Master glossary of terms and abbreviatons

System security conformance metrics

IACS security lifecycle and use-cases

IEC 62443 2-1

IEC TR 62443 1-2

IEC 62443 1-1

IEC TR 62443 1-2

Requirements for an IACS security management system

Implementation guidance for an IACS security management system

Patch management in the IACS environment

Installation and maintenance requirements for IACS suppliers

IEC TR 62443 3-1

IEC 62443 3-2

IEC 62443 3-3

Security technologies for IACS

Security level for zones and conduits

System security requirements and security levels

IEC 62443 4-1

IEC 62443 4-2

Product development requirements

Technical security requirements for IACS components

Uno standard completo per tutti i livelli Come si vede dalla tabella relativa ai capitoli dello standard, l’applicazione della serie di standard IEC 62443 interessa gli utilizzatori finali, gli operatori della sicurezza IT, i system integrators, e i costruttori di control systems. Secondo quanto previsto dai legislatori, il documento dello standard IEC 62443 è strutturato seguendo quattro sezioni principali: General, Policies and procedures, System e Component. 

La prima sezione dedicata alle informazioni generali descrive i modelli, riporta la terminologia e presenta i parametri di sicurezza digitale degli Industrial Automation and Control Systems.



Politica e procedure sono invece rivolte ai proprietari di impianti e gestori di rete e descrivono, per esempio, l’implementazione di un sistema di gestione della sicurezza o la gestione delle patch.



System illustra le tecnologie di integrazione di sicurezza per controller e componenti di rete.



Component è rivolto ai produttori e spiega, per esempio, come proteggere il processo di sviluppo.

Una tale struttura mira a definire la sicurezza informatica come una misura di processo completa ed evidenzia la necessità di considerare la conformità agli standard di sicurezza già nella fase di sviluppo dei componenti. Dunque ogni entità del sistema ha il suo ruolo nell’integrità dell’impianto e si deve adattare al “Deny by default”, cioè ogni operazione nel sistema deve essere consentita.

Il Protection Level (PL) si basa su due livelli: il Security Level, ossia la qualità dei servizi di sicurezza che si possiede, e il Maturity Level, cioè la capacità di sviluppare e applicare questi servizi. Ad esempio avere un firewall con security level livello 4 ma maturity level 1, comporta il PL minimo.

Maturity Level

Il Protection Level

4

PL4

3

PL3

2

1

PL2

PL1 1

2

3

4

Security Level

Possiamo distinguere diversi tipi di attaccanti che hanno diversi tipi di motivazioni. In ordine per livello di gravità: 

Script kid, attacchi non sofisticati, con poche conoscenze e competenze, che sfruttano script già pronti all’uso puntando verso vulnerabilità note per puro divertimento o curiosità.



Attacchi hacker, cioè attacchi sofisticati non sempre diretti (untargeted) ma distribuiti su un ampio numero di vittime e seppure in maniera più elaborata e complessa, con motivazione economiche.



Insider, ossia attacchi diretti portati con competenza su obiettivi ben noti in particolare in termini di vulnerabilità, molto più difficili da affrontare. In questo caso si tratta di veri e propri furti e sabotaggi a vittime ben conosciute.



Il livello di protezione massimo è necessario per affrontare i cosiddetti Advanced Persisten Threats (APT), gruppi organizzati esperti, dotati di vaste conoscenze e risorse in grado di sfruttare vulnerabilità ancora ignote per motivazione finanziarie su ampia scala o anche politiche. Dunque in base all’ambito di lavoro e ai tipi di attacchi a cui si può essere sottoposti è necessario adattare il Protection Level.

Quali sono le minacce più importanti? Secondo la BSI Publications on Cyber Security, le dieci minacce più importanti per i sistemi industriali sono: 1)

Introduzione di Malware tramite supporti esterni removibili (chiavette USB)

2)

Introduzione di Malware da Internet e Intranet

3)

Sabotaggio dovuto all’errore umano

4)

Compromissione di component Extranet e Cloud

5)

Ingegneria sociale e Spear Pishing (ad esempio mail falsificate a un bersaglio noto)

6)

Attacchi (D)Dos, traducibile in italiano come interruzione distribuita del servizio, e consiste nel tempestare di richieste un sito, fino a metterlo ko e renderlo irraggiungibile.

7)

Componenti di controllo connessi a Internet

8)

Intrusione tramite Accesso Remoto

9)

Guasti e Forza Maggiore

10)

Compromissione di Smartphone in ambiente di produzione

Il processo di implementazione della Cyber Security L’IEC 62443 introduce un processo per l’implementazione della Cyber Security su più step. Il processo parte dall’identificazione completa del sistema da proteggere e del caso applicativo in cui viene considerato. Si considerano in seguito le possibili minacce e il rischio, per poi determinare le contromisure e implementarle.

Identificazione oggetto

Identificazione use case

Identificazione delle minacce

Analisi del rischio

Determinazione contromisure

Implementazione

La fase di analisi (Assess) si compone di attività legate all’individuazione delle vulnerabilità con un grado di rischio delle falle che sono state trovate. Tanto più il rischio è alto tanto minore deve essere il tempo di intervento. È durante la fase di implementazione (Implement) che l’azienda che desidera proteggersi dagli attacchi cyber, deve strutturare il Sistema di Gestione della Sicurezza Informatica, adottando procedure e strategie volte a prevenire gli attacchi informatici e proteggere, di conseguenza, i propri sistemi industriali La Industrial Cyber Security è tuttavia un processo che necessita di essere monitorato ed assestato costantemente, attraverso azioni di mantenimento (Maintain) del livello di sicurezza degli impianti industriali. Solo così il flusso di dati condivisibili verso l’esterno sarà al sicuro dalle minacce informatiche, evitando conseguenze disastrose per le aziende.

Quali sono le contromisure? Per capire le contromisure che possiamo applicare si devono conoscere alcune nuove tecnologie: 

IDS: Intrusion Detection Systems, chiamati anche Industrial Anomaly Detection (IAD), sono sistemi software non intrusivi che vengono utilizzati per il rilevamento di intromissioni nella rete, adatti per il mondo OT perché non vanno ad intaccare l’avability dell’impianto ma inviano semplicemente un messaggio nel caso ci sia un rilevamento anomalo nel sistema. Il sistema studia dunque quello che succede normalmente all’interno della rete, nel momento in cui si evidenziano attività insolite, ad esempio l’ingresso di un nuovo PC, viene avvisato il gestore della rete che ha poi il compito di svolgere le azioni, se necessario. Si hanno quindi bisogno di “sonde” all’interno della rete OT, che nelle nuove soluzioni disponibili può essere anche un singolo sistema che recupera informazioni da tutti i segmenti di rete e le centralizza in un unico dispositivo.



DPI: Deep Packet Inspection, sistema di firewall che riesce ad analizzare il contenuto dei pacchetti e non solo la tipologia, quindi non bloccano a prescindere ma permettono un filtraggio.



IPS: Intrusion Prevention System, simile agli IDS, ma con comportamento attivo: nel momento in cui notano una possibile minaccia vanno a effettuare un’azione. Questi sistemi sono un po’ meno adatti per il mondo OT.



NGFW: Next-Generation Firewall, firewall di nuova generazione che mettono insieme tutti i concetti di IDS, DPI e IPS.

Vulnerabilità IoT: le best practice di sicurezza 1/2 È innanzitutto essenziale che i dispositivo mobili vengano registrati servendosi di un software di Mobile Device Management (MDM). In questo modo si assicura la previa ed imposta installazione di un software di sicurezza antimalware supportato che preveda la protezione del device con password forte (sequenze alfanumeriche, caratteri speciali, autenticazione a due fattori, expiration time ed aggiornamento) e blocco schermo (PIN, password, impronta digitale o riconoscimento facciale) nonché aggiornamenti costanti del firmware del device e l’installazione della patch di sicurezza. Di fondamentale importanza per una connessione sicura a distanza è la VPN. Sta per “Virtual Private Network”, cioè una rete privata virtuale che garantisce privacy, anonimato e sicurezza attraverso un canale di comunicazione logicamente riservato (tunnel VPN) e creato sopra un’infrastruttura di rete pubblica. Il termine virtuale sta a significare che tutti i dispositivi appartenenti alla rete non devono essere necessariamente collegati ad una stessa LAN locale ma possono essere dislocati in qualsiasi punto geografico del mondo. Una VPN è dunque un servizio di rete che può essere utilizzato per criptare il traffico Internet e proteggere la propria identità online. In ambito prettamente aziendale, una VPN può essere paragonata ad una estensione geografica della rete locale privata (LAN) che permette di collegare tra loro, in maniera sicura, i siti della stessa azienda dislocati sul territorio. In questi casi diventa essenziale imporre una policy ad hoc per assicurare che tutti i device mobili connessi alla rete soddisfino gli standard ed i protocolli di crittografia condivisi.

Vulnerabilità IoT: le best practice di sicurezza 2/2 Affianco alla continua espansione del mondo IOT stanno crescendo, e in alcuni casi nascendo, dei nuovi standard di comunicazione. Tra questi c’è l’OPC-UA, standard di comunicazione che oggi viene visto in maniera positivo per la security. Infatti è destinato a diventare lo standard di comunicazione per l’Industry 4.0, con features di security già integrate, come la crittografia, ma anche la richiesta di default dell’autenticazione degli utenti, in modo da riconoscere l’utente con cui si è in comunicazione. Dal punto di vista della rete una delle cose più importanti è la segmentazione. Non è sicuro abbastanza limitarsi a separare la rete OT dalla rete IT in maniera intelligente, ma è necessario all’interno della rete OT cercare di creare delle aree funzionali indipendenti tra di loro, chiamate celle di protezione, con connessioni autorizzate tramite Firewall. Quindi una vulnerabilità di una singola area non compromette il funzionamento delle restanti aree del sistema.

Licenza Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione Condividi allo stesso modo 3.0 Italia. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by-sa/3.0/it/ o spedisci una lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042, USA.