La digital transformation interessa ormai pienamente anche il mondo dell’industria e, più in generale, quello manufatturiero, tanto che sempre più spesso si parla di Smart manufacturing, Industria 4.0 e Industrial Internet: che si tratti davvero della quarta rivoluzione industriale o di una naturale evoluzione tecnologica, l’avvento della digitalizzazione se da un lato sta profondamente cambiando il modo in cui le aziende manifatturiere approcciano tecnologie, processi e mercati, dall’altro sta spingendo sempre più verso una convergenza tra le Operational Technology (OT) e i sistemi IT (Information Technology) con conseguente aumento dell’esposizione delle stesse aziende, rispetto al passato, al rischio cyber.
Se per lungo tempo si è ritenuto che la complessità dei sistemi OT rappresentasse un’adeguata barriera alle minacce cyber, gli attacchi informatici perpetrati con il worm Stuxnet prima e più recentemente con il malware BlackEnergy 3 (ma la lista è purtroppo ben più lunga) hanno profondamente cambiato lo scenario.
Stuxnet è stato il primo software malevolo specificatamente progettato per attaccare (siamo nel 2010) i sistemi PLC della Siemens e nello specifico per alterare la velocità di rotazione di alcuni motori utilizzati nelle centrifughe per l’arricchimento dell’uranio del sito atomico di Natan (Iran).
Il malware BlackEnergy 3, invece, è stato ritenuto la causa del blackout elettrico che nel dicembre del 2015 ha lasciato al buio alcune città dell’Ucraina in seguito ad attacchi mirati verso sistemi ICS/SCADA.
Due esempi che dimostrano come gli attacchi alle OT potrebbero diventare nel prossimo futuro elementi di pressione geopolitica.
Indice degli argomenti
Convergenza IT/OT: metodologie di governance e tecniche di assessment
Le Operational Technology, lo ricordiamo, rappresentano tutto quell’insieme di tecnologie, software e hardware, direttamente connesse con la produzione, il trasporto e la trasformazione di beni e quindi con tutto ciò che riguarda i sistemi di monitoraggio e controllo dei sistemi produttivi: ICS (Industrial Control System), SCADA (Supervisory Control And Data Acquisition), PLC (Programmable Logic Controller), DCS (Distributed Control System) e HMI (Human-Machine Interface).
Proprio la digitalizzazione sta avendo un notevole impatto all’interno delle organizzazioni aziendali. Fino a poco tempo fa, infatti, i reparti produttivi difficilmente avrebbero accettato di adottare tecnologie diverse dalle soluzioni proprietarie preconfigurate e progettate per funzionare esclusivamente su specifiche attrezzature.
Negli ultimi anni, invece, le Operational Technology hanno iniziato a fare ricorso in maniera sempre più massiva alle tecnologie IT adottando soluzioni basate su prodotti e componenti Off-The-Shelf (OTS) disponibili sul mercato e facilmente configurabili a seconda della tipologia di utilizzo. Basti pensare, giusto per fare qualche esempio, alla sempre maggiore diffusione della tecnologia Microsoft SQL Server utilizzata per collegare e analizzare i dati di produzione e di processo, oppure alle Web application o alle app mobile usate per l’accesso ai sistemi aziendali.
Questa convergenza IT/OT comporta indubbi vantaggi e benefici per le diverse produzioni in termini di miglioramento della qualità, dell’efficienza e dell’economicità, ma allo stesso tempo espone le Operational Technology alle stesse vulnerabilità e alle minacce tipiche dei sistemi IT: in poche parole, al rischio cyber.
Purtroppo, però, in molti casi si verifica una mancanza di collaborazione tra i team che si occupano di IT e OT. Ancora oggi viene percepita una certa “distanza” tra questi due ambiti che rappresenta un ulteriore ostacolo per il raggiungimento di una corretta postura di cyber security dell’azienda stessa.
Ecco, quindi, la necessità di adottare metodologie di governance e tecniche di assessment che garantiscano una corretta convergenza IT/OT.
Le organizzazioni devono prendere atto del fatto che il confine tra le reti IT e quelle OT che controllano le apparecchiature in infrastrutture critiche quali gli impianti industriali, si sta facendo sempre più labile e questo impone una nuova visione della sicurezza di rete, che tenga conto delle specificità di entrambi i tipi di reti e le gestisca in maniera integrata.
Le organizzazioni stesse potrebbero trarre un notevole vantaggio dalla convergenza IT/OT per incrementare il proprio business.
Tecnologie di rilevamento delle vulnerabilità sul mondo OT
È evidente che per raggiungere questi risultati è necessario adottare una corretta politica di prevenzione del rischio cyber e, di conseguenza, le necessarie tecnologie di rilevamento delle vulnerabilità che espongono le Operational Technology a minacce e attacchi informatici sempre più mirati e distruttivi.
Il rilevamento di minacce informatiche complesse e in continua evoluzione richiede, infatti, l’adozione di strumenti, conoscenze e formazione avanzati: per fermare gli attacchi informatici è importante saperli “vedere” e per prevenire i danni sono richieste competenze e una sicurezza completa.
In particolare, è importante riuscire a gestire nel migliore dei modi le fasi di rilevamento e mitigazione delle minacce e per farlo è necessario procedere ad un corretto tracciamento delle risorse, alla gestione delle vulnerabilità e al controllo della configurazione dei sistemi in modo da massimizzare la visibilità, la sicurezza e il controllo dei differenti ambienti operativi.
Un compito, questo, aggravato dall’intrinseca complessità delle Operational Technology che di fatto rendono difficoltoso trasporre le misure di protezione tipicamente utilizzate per i sistemi IT.
Ad esempio, soluzioni tecnologiche come la crittografia o la firma digitale rallenterebbero notevolmente la velocità di elaborazione dei dati in real-time che invece è tipica proprio degli ambienti OT caratterizzati da uno scambio molto elevato di pacchetti di informazioni di piccole e piccolissime dimensioni.
Senza dire che i processi delle Operational Technology operano a ciclo continuo, 24 ore su 24 e per 365 giorni all’anno, il che rende di fatto inutile l’adozione di eventuali misure di sicurezza basate sulle classiche soluzioni antivirus o su politiche di patching.
Standard e framework di riferimento: il MITRE ATT&CK per sistemi ICS
Nell’ambito della sicurezza ICS vengono per fortuna in aiuto delle organizzazioni le guide e i quadri di riferimento pubblicati dai vari organismi di sicurezza globale: pensiamo, ad esempio, al framework NIST oppure allo standard NERC-CIP e ad altri standard specifici del settore.
Più recentemente, inoltre, l’organizzazione non a scopo di lucro MITRE ha pubblicato ATT&CK for ICS, una variante del suo Adversarial Tactics, Techniques & Common Knowledge utile a descrivere e categorizzare i comportamenti degli attaccanti in base alle osservazioni del mondo ICS e che, quindi, può essere considerato “una base di conoscenza utile per descrivere le azioni e che può essere utilizzata anche durante l’utilizzo di una rete ICS”.
In particolare, il MITRE ATT&CK for ICS comprende un’ampia gamma di tecnologie che consentono di individuare l’uso di tecniche di attacco specifiche ai sistemi di controllo industriale.
Soluzioni tecnologiche: Tenable.ot
Per garantire un elevato livello di sicurezza a sistemi industriali e infrastrutture critiche, e ridurre di conseguenza i rischi rendendo sicure le operazioni in un mondo IT/OT in rapida convergenza, non basta dunque affidarsi all’improvvisazione o trasporre semplicemente soluzioni preconfezionate per sistemi IT.
Il recente studio Cybersecurity in Operational Technology: 7 Insights You Need to Know pubblicato dal Ponemon Institute nel 2019 ha rilevato che negli ultimi 24 mesi il 50% delle organizzazioni ha subito un attacco contro le infrastrutture OT che ha comportato tempi di inattività degli impianti e/o delle attrezzature operative.
Per evitare che ciò accada, è opportuno adottare una soluzione avanzate come quella offerta da Tenable.ot.
Tale soluzione offre innanzitutto gli strumenti giusti per “vedere” un attacco informatico. Se è vero che in passato le pratiche di sicurezza IT e OT organizzate in silos hanno prodotto notevoli punti ciechi nel perimetro di sicurezza aziendale, limitando di fatto la capacità di rilevare le vulnerabilità e di prevenire gli attacchi, con lo strumento Nessus integrato nella tecnologia Tenable.ot è possibile eliminare i punti ciechi e ottenere una visione olistica dell’esposizione della propria organizzazione nel cyberspazio.
Tenable.ot, inoltre, supporta oltre il 90% dei prodotti PLC presenti oggi sul mercato e si integra perfettamente con il portafoglio di prodotti Tenable dedicati alla cyber security, ma soprattutto garantisce una perfetta integrazione anche con i principali prodotti di sicurezza IT.
Il risultato è una soluzione di sicurezza completa che fornisce una visibilità IT e OT senza precedenti, in modo da poter comprendere e difendere l’intera superficie di attacco.
La tecnologia Tenable.ot, inoltre, offre l’opportunità di identificare e mitigare ogni possibile minaccia grazie ad una combinazione di potenti motori di rilevamento dei codici malevoli, che avvertono di potenziali incidenti provenienti sia dai sistemi IT sia dalle Operational Technology, ma anche da fonti esterne e interne, siano esse umane o basate su malware.
Con Tenable.ot è inoltre possibile identificare il comportamento anomalo della rete interna, applicare le politiche di sicurezza e tenere traccia dei cambiamenti locali sui dispositivi in modo che i responsabili della sicurezza dell’organizzazione possano agevolmente rilevare e mitigare gli eventi rischiosi negli ambienti Industrial Control System (ICS).
Tutto questo, unito agli allarmi in tempo reale e alle informazioni dettagliate sui movimenti anomali all’interno della propria rete consente di costruire una vera e propria “intelligenza” utile a rispondere in modo significativo alle minacce sulla base di una conoscenza completa e dei dettagli di ciò che è accaduto.
Infine, le capacità di rilevamento e visualizzazione automatizzata degli asset di Tenable.ot forniscono un inventario completo e aggiornato di tutti gli asset, incluse le workstation, i server, le interfacce uomo-macchina (HMI), i controllori logici programmabili (PLC), i terminali remoti (Remote Terminal Units, RTU), i dispositivi elettronici intelligenti (IED) e i dispositivi di rete.
In poche parole, è possibile costruire un inventario contenente informazioni importantissime sulle versioni del firmware e del sistema operativo, le configurazioni interne, i livelli di patch e gli utenti, nonché i numeri di serie e la configurazione sia delle risorse IT che di quelle OT.
Un vero e proprio ecosistema per proteggere le operazioni dalle odierne minacce IT e OT.
L’articolo è parte di un progetto di comunicazione editoriale che Cybersecurity360.it sta sviluppando in collaborazione con Cyber Partners.