Gestione dei rischi in ambito OT: come affrontarli nei diversi settori

I sistemi cyber fisici (CPS) e l’Internet of Things (IoT) svolgono un ruolo sempre più importante in ambito OT (Operational Technology).

Le recenti notizie (di fatto molte causate dal conflitto in corso tra Russia e Ucraina) dimostrano che vari gruppi di criminal hacker sono attivi particolarmente sul settore OT. Ci sono attacchi ai sistemi satellitari, ai sistemi ferroviari, ai sistemi energetici e di telecomunicazione un po’ in tutto il mondo.

Il settore OT riguarda non più solo l’ambito industriale ma tutto ciò che è connesso e raggiungibile (soprattutto da remoto).

Alcune recenti comunicazioni e direttive US contengono la cyber security degli oggetti IoT come priorità per il futuro immediato e anche il Cyber Resilience Act, in fase di approvazione da parte UE, imporrà precisi obblighi sulla cyber security di una grande moltitudine di fornitori di prodotti connessi.

Una delle attività principali nell’ambito del cyber security assessment, consiste nella valutazione dei rischi di sicurezza dovuti a potenziali minacce e sfruttamento di vulnerabilità all’interno dei prodotti coinvolti nell’ecosistema OT. A differenza del tradizionale Risk Management in ambito IT, la valutazione dei rischi in OT segue una metodologia simile ma con uno scopo più mirato a comprendere la superfice di attacco del prodotto/sistema in questione.

Cyber Resilience Act: così l’UE proverà a garantire la sicurezza dei prodotti digitali in rete

Gestione dei rischi in ambito OT: metodologia generale

Il primo passa da svolgere consiste nel Threat Modeling.

La modellazione delle minacce serve per identificare, comunicare e comprendere scenari di minaccia nel contesto della protezione di un bene tangibile o intangibile di valore (asset). Successivamente, si valutano le potenziali vulnerabilità, quindi si procede al calcolo degli impatti degli scenari di minaccia, alla probabilità che si verifichino le vulnerabilità considerate e, da questo semplice prodotto, si può costruire la matrice dei rischi.

La modellazione delle minacce deve essere applicata a un’ampia gamma di “prodotti” del mondo OT, inclusi software, applicazioni, sistemi, reti, sistemi distribuiti, IoT e protocolli di comunicazione standard e proprietari molto diversi tra loro. Per questo si rende necessaria una metodologia generale che possa dare risultati in tempi relativamente rapidi.

Calcolare i rischi di cyber sicurezza

Per implementare sia il modello delle minacce che l’analisi della superfice d’attacco, viene in aiuto la tecnica nota come “S.T.R.I.D.E” (acronimo di Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of Priviliges) che congiuntamente alla tecnica nota come “D.R.E.A.D” (acronimo di Damage, Reproducibility, Exploitability, Affected Users, Discoverability) consente di effettuare in maniera veloce un calcolo dei rischi di cyber sicurezza associati ad una certa applicazione o sistema/prodotto.

STRIDE è una tecnica originariamente sviluppata da Microsoft, che consente di categorizzare le minacce potenziali derivanti da eventuali attacchi cyber.

Una volta completato questo esercizio, si passa alla fase di valutazione dell’importanza di ogni minaccia individuata, attraverso la tecnica nota come DREAD.

Successivamente possiamo calcolare il rischio complessivo, raggruppando i valori DREAD in sotto-categorie.

Ad esempio, indicherò un valore di rischio nel modo seguente:

• Low -> se la media DREAD è nel range 5-7
• Medium -> se la media DREAD è nel range 8-11
• High -> se la media DREAD è nel range 12-15

Gestione dei rischi in ambito OT, settore per settore

Questo processo che sembra semplice si differenzia a seconda dell’ambito/settore in cui operiamo e può essere più o meno complicato in base ai diversi standard/best practices che intendiamo applicare.

Settore Automotive

Nel settore Automotive, lo standard ISO 21434 definisce i requisiti per la cosiddetta T.A.R.A (Threat Analysis e Risk Assessement).

Per eseguirla, si può ricorrere a varie metodologie: si possono usare metodi come lo stesso STRIDE oppure utilizzare attacchi ad albero.

Ecco quali sono, in sintesi, i passi da eseguire:

• Asset Identification
• Asset Impact analyses
• Threat analyses
• Vulnerability Analyses, Attack Analyses
• Attack Feasibility Assessment
• Risk evaluation

Settori Energy, Industry 4.0, Railway

La serie di standard ISA / IEC 62443, sviluppata dal comitato ISA99 e adottata dalla Commissione elettrotecnica internazionale (IEC), fornisce un quadro flessibile per affrontare e mitigare le vulnerabilità di sicurezza attuali e future nei sistemi di automazione e controllo industriali (ICS) e in molti altri ambiti come prodotti di tipo IoT, Smart building, settore Energy e Medical devices.

Il documento di riferimento per la Risk Analysis è lo standard IEC – 62443-3-2: ”Security Risk Assessment and System Design” che affronta la valutazione dei rischi per la sicurezza e la progettazione del sistema.

Ecco gli step fondamentali da seguire in base a questa normativa:

1. identificare il sistema (System Under Consideration);
2. valutazione iniziale del rischio per la sicurezza informatica;
3. suddividere il sistema sotto analisi in zone e condotti (Zones and conduits);
4. confrontare i rischi;
5. eseguire una valutazione dettagliata dei rischi per la sicurezza informatica;
6. documentare i requisiti, i presupposti e i vincoli della sicurezza informatica;
7. approvazione finale da parte del proprietario della risorsa (Asset owner).

Settore telecom

La raccomandazione ITU-T X.1055 (Risk management and risk profile guidelines for telecommunication organizations) descrive e raccomanda i processi, le tecniche e i profili funzionali per la gestione del rischio di sicurezza delle informazioni per le telecomunicazioni a supporto delle altre raccomandazioni ITU-T.

Il processo di gestione del rischio comprende, innanzitutto, la fase di valutazione del rischio, considerando quanto segue:

1. asset e loro valore o utilità (es: “Information Assets, HW Assets, SW Assets, Services, Facility and supporting utility system, People”);
2. minacce e vulnerabilità associate a queste risorse (in base a : confidenzialità, integrità, disponibilità);
3. rischio di esposizione di queste risorse a minacce e vulnerabilità (ovvero perdita di confidenzialità, integrità, disponibilità ma anche di autenticazione, responsabilità e affidabilità);
4. rischi e impatti derivanti da questo rischio di esposizione (profilazione dei rischi).

Segue la fase del trattamento del rischio, considerando quanto segue:

1. selezione dei controlli;
2. allocazione di risorse, ruoli e responsabilità;
3. implementazione dei controlli.

Infine, segue la fase di monitoraggio dei rischi, considerando quanto segue:

1. misurazioni relative al rischio;
2. revisione e rivalutazione dei rischi;
3. procedure per aggiornare e migliorare i controlli.

Internet of Things

Gli attacchi moderni abbracciano un’ampia gamma di possibili mezzi e motivazioni quando si parla genericamente di IoT.

La best practice OWASP è di fatto lo standard riconosciuto a livello mondiale per la sicurezza del Software, mantiene e aggiorna la lista delle principali vulnerabilità sia in ambito SW che per il mondo Mobile e IoT. In particolare la “IoT Top Ten” include le seguenti 10 principali categorie di vulnerabilità potenziali nei dispositivi IoT:

• I1 Weak Guessable, or Hardcoded Passwords;
• I2 Insecure Network Services;
• I3 Insecure Ecosystem Interfaces;
• I4 Lack of Secure Update Mechanism;
• I5 Use of Insecure or Outdated Components;
• I6 Insufficient Privacy Protection;
• I7 Insecure Data Transfer and Storage;
• I8 Lack of Device Management;
• I9 Insecure Default Settings;
• I10 Lack of Physical Hardening.

Questo elenco è un buon punto di partenza per analizzare i tipi di attacco rilevanti e minacce.

Anche il modello STRIDE è stato esteso per incorporare i sistemi IoT.

Medical devices

Nel settore dei dispositivi medicali le raccomandazioni principali hanno lo scopo di aiutare i produttori a:

• impiegare un approccio basato sul rischio per la progettazione e lo sviluppo di dispositivi medici con adeguate protezioni di sicurezza informatica;
• adottare un approccio olistico alla sicurezza informatica dei dispositivi valutando rischi e mitigazioni durante il ciclo di vita del prodotto;
• garantire la manutenzione e la continuità della sicurezza dei dispositivi critici ed essenziali;
• promuovere lo sviluppo di dispositivi affidabili per contribuire a garantire la sicurezza continua ed efficace dei dispositivi, ovvero seguire i seguenti passi:

1. identificazione di risorse, minacce e vulnerabilità;
2. valutazione dell’impatto di minacce e vulnerabilità sulla funzionalità del dispositivo e al fine di utenti / pazienti (Safety);
3. valutazione della probabilità di sfruttare una minaccia e una vulnerabilità;
4. determinazione dei livelli di rischio e adeguate strategie di mitigazione; e valutazione del rischio residuo e criteri di accettazione del rischio.

Conclusioni

Il sistema/prodotto in ambito OT sarà sempre più sotto attacco da una molteplice varietà di tecniche di Hacking soprattutto se si tratta di un prodotto di successo. È necessario essere preparati a questi scenari di minaccia, valutando fin dall’inizio di un progetto la superfice di attacco del nostro prodotto e i livelli di rischio corrispondenti.

In questo senso sono di ausilio i “Security levels” che stabiliscono sia il livello di protezione desiderato che intrinsecamente il livello di rischio presente.