Conferenza CSE

Le 5 migliori pratiche di sicurezza per i sistemi di controllo industriale (SCI)

476

Riprendiamo qui un interessante contributo a firma Erin Anderson comparso su Industrial Defender, un sito da seguire per tutti gli addetti ai lavori

I Sistemi di Controllo Industriale (SCI) nel nostro mondo sono il cuore pulsante delle infrastrutture ed alimentano i macchinari di tutto ciò che utilizziamo. Le varie organizzazioni implementano costantemente le proprie tecnologie operative (OT) con aggiornamenti sempre più avanzati, ma non va mai dimenticata la costante minaccia a cui sono esposti dal punto di vista cyber-fisico. Non è solo il rischio di un attacco dall’esterno che va ad impensierirli, ma anche e soprattutto i pericoli provenienti dall’interno, dal personale per esempio che inconsapevolmente non segue procedure corrette per quanto riguarda l’utilizzo dei propri sistemi di comunicazione. 

E poi è da considerare quanto gli “oggetti” siano oggi sempre più interconnessi e quindi è da tener conto cosa potrebbe accadere se l’erogazione di energia elettrica, acqua potabile, cibo o medicine fosse interrotta bruscamente da un attacco; ecco perché la necessità di rafforzare le misure di cybersecurity. 

Le 5 migliori pratiche di sicurezza da prendere in considerazione:


1. Stabilire una profonda comprensione di ogni dispositivo nel Sistema di Controllo Industriale. 

Un inventario completo delle risorse dei SCI è la base migliore da cui partire per qualunque controllo o pratica di sicurezza. Non solo in riferimento agli hardware e software ma anche all’accesso a dati quali la localizzazione fisica di un dispositivo, la sua importanza nel processo industriale e a chi rivolgersi in caso di problemi tecnici. Questi sono elementi fondamentali senza i quali è impossibile occuparsi di sicurezza informatica. Inoltre va segnalato che i sistemi di gestione delle risorse IT non sono stati progettati per gli SCI e potrebbero causare conseguenze indesiderate come l’interruzione di un processo critico, un Denial of Service e, nei casi peggiori, il bricking di un dispositivo. Per di più, altri strumenti IT potrebbero richiedere di installare un Agente che non supporta vecchie versioni di Windows/Linux o sistemi operativi esclusivi, comuni nell’ambiente dei SCI.

Come procedere quindi in questi casi? Un metodo che ha recentemente trovato sostenitori in quest’ambito è il monitoraggio passivo della rete (passive network monitoring). La problematica risiede nelle informazioni limitate accessibili utilizzando questa soluzione, infatti specialmente se si ricorre ad un sistema operativo legacy si avranno a disposizione pochi dati sugli asset; un sistema che non includeraà elementi importanti quali software, patch, file esecutivi, registri di sistema, servizi o open ports. Usare un misto di sistemi agenti, non agenti, protocol polling nativi per SCI e monitoraggio passivo, assicura che non vengano distrutte informazioni cruciali sul dispositivo e fornisce un’immagine completa di cosa realmente è presente nel sistema.

2. Centralizzare la gestione degli Account Utenti. Molti server e workstations SCI usano set di nomi utenti e password standard garantendo così privilegi per gli amministratori. Questi sistemi potrebbero includere elementi quali domain controllers che, se compromessi, andrebbero ad incidere sull’integrità del SCI. Per evitare che questo accada, i team di sicurezza dovrebbero centralizzare il monitoraggio, la gestione e segnalazione di accesso, l’autenticazione e la gestione dell’account per proteggere e convalidare gli account utenti.

Avere un sistema che monitori i cambiamenti degli account e gli accessi e che possa condividere queste informazioni con gli IAM e i SIEM è cruciale, infatti godendo di una via privilegiata è possibile rilevare attività insolite nell’account e quindi intervenire in anticipo. Andrebbero quindi create e rafforzate in primis delle policy che aiutino a prevenire abusi degli account utenti, inclusi criteri di complessità per le password e accessi limitati sulla base di ciò che si sta cercando.

3. Gestione Automatica delle Vulnerabilità per SCI

. I punti deboli del sistema emergono sempre più con maggiore frequenza proprio per questo, per riuscire a minimizzare le occasioni di attacco è necessario lavorare come priorità sulle vulnerabilità. Non tutte sono infatti caratterizzate da una patch, specialmente nell’ambiente SCI, e, spesso, risulta troppo complesso applicare direttamente patches a questi sistemi.

Poter individuare passivamente nuovi punti deboli su richiesta è un vantaggio enorme per i proprietari di assets. Questo è possibile grazie ad uno strumento in grado di confrontare i dati del dispositivo SCI con il database di CVE del NIST e con i bollettini di sicurezza ICS-CERT per individuare gli asset compromessi ed eventuali patch disponibili. Queste informazioni possono essere utilizzate per ordinare il lavoro di patching (per quegli assets per cui siano disponibili delle patch). 

Un consiglio importante da non sottovalutare è che lo strumento di gestione delle vulnerabilità è efficace in proporzione all’inventario degli assets.

4. Implementare Tecniche di Rilevamento delle Anomalie.

 Un dispositivo mal configurato può consentire ai malintenzionati un facile accesso agli SCI, pertanto è necessaria una base di buone configurazioni per ogni endpoint di cui monitorare continuamente i cambiamenti. 

I supporti removibili come le penne USB rappresentano uno strumento di attacco che sta guadagnando velocemente campo, è necessario quindi prestare attenzione anche a questi strumenti.


Utilizzare un sistema di rilevamento intrusioni nella rete, a cui ci si riferisce a volte come “passive network monitoring“, offre un ulteriore strato di protezione dalle minacce, identificando le anomalie di comunicazione attraverso protocolli di rete. Con un sistema di monitoraggio sia dell’endpoint che del network, si è in grado di rilevare attività sospette in più modi. Questo può essere utilizzato come meccanismo di sicurezza, se in qualche modo un’anomalia sfugge ad uno dei due metodi, l’altro la rileverà.

5. Fornire i dati corretti ai Responsabili della Sicurezza. Prima di tutto, il personale addetto alla sicurezza non deve solo osservare attentamente i dati di ciò che accade nel SCI, ma anche avere una conoscenza di questi ambienti. Una formazione incrociata al team di SOC (System Operation Control) li aiuterà a capire la differenza fra le reti IT (Information Technology), che sono abituati a monitorare, e le reti OT che si sono recentemente aggiunte al quadro generale e che sono molto più complesse ed eterogenee. 

Fornire i dati corretti è cruciale per i team di sicurezza SCI. Avere una soluzione abbastanza specializzata per la complessità dei sistemi OT, ed allo stesso tempo capace di inserirsi nel più ampio ecosistema della sicurezza aziendale, è certamente una sfida. 

In conclusione, se si sta prendendo in considerazione una soluzione per la cybersecurity SCI è necessario assicurarsi che i dati di cui i team SOC hanno bisogno, per esempio quanto è importante un particolare dispositivo industriale, dov’è collocato e chi chiamare nel caso presenti delle anomalie critiche, siano facilmente reperibili e condivisibili in modo intuitivo attraverso l’integrazione di API con SIEM, CMDB e sistema di ticketing aziendale. 

Infine è buona pratica avere sempre un backup di configurazioni sicure per tutti i dispositivi ICS, in un luogo che sia accessibile sia per la sicurezza IT che per i team operativi OT in caso di emergenza.

Lascia una risposta

L'indirizzo email non verrà pubblicato.