Verkada,
Triton, Colonial Pipeline… non sono parole misteriose di un gioco a
quiz, ma semplicemente lo specchio della realtà che stiamo
affrontando in cui sia il confine tra digitale e reale sia la
protezione da minacce di malintenzionati sono sempre più labili.
Scenari
di attacchi digitali a dispositivi industriali, chiamati anche OT o
IoT, sono sempre più all’ordine del giorno; con un impatto
importante sulla nostra privacy, le nostre imprese o ancor peggio la
vita di ognuno di noi se parliamo di infrastrutture critiche quali
oleodotti, ospedali, ecc.
Verkada – Marzo 2021 – “un gruppo di hacker afferma di aver
violato un'enorme quantità di dati delle telecamere di sicurezza
raccolti dalla startup della Silicon Valley Verkada Inc., ottenendo
l'accesso ai feed live di 150.000 telecamere di sorveglianza
all'interno di ospedali, aziende, dipartimenti di polizia, carceri e
scuole.”
Triton – 2017 e 2019 – “hacker utilizzano il malware Triton
per bloccare impianti e sistemi industriali, Il malware è stato
progettato per colpire sistemi industriali e infrastrutture
critiche”.
Colonial Pipeline – Giugno 2021 – “l’hacking che ha
bloccato il più grande gasdotto degli Stati Uniti e ha portato a
carenze in tutta la costa orientale è stato il risultato di
un'unica password compromessa. Gli hacker sono entrati nelle reti di
Colonial Pipeline Co. attraverso un account di rete privata
virtuale, che consentiva ai dipendenti di accedere in remoto alla
rete informatica dell'azienda. L'account non era più in uso al
momento dell'attacco, ma poteva ancora essere utilizzato per
accedere alla rete di Colonial”
In
questo contesto è con grande speranza che vediamo affermarsi sempre
più nel mondo IT e Cybersecurity concetti quali “Zero Trust”,
“Continuità Operativa”, “Protezione dispositivi industriali”,
ecc. Tuttavia, spiegare alle realtà aziendali come proteggere
dispositivi industriali, che spesso e volentieri hanno una media di
30/40 anni di anzianità, in un edificio isolato sia fisicamente che
digitalmente, non è sempre cosa semplice.
Questo
articolo vuole cercare di aprire uno spaccato su questo scenario e
aiutare a comprendere come le logiche di protezione dei dispositivi
industriali (spesso e volentieri chiamati dispositivi Operation
Technology – OT, o i più recenti dispositivi Internet of Thing -
IoT) possano intersecarsi con le classiche logiche dei dispositivi
appartenenti al mondo IT che la maggior parte di noi conosce,
evidenziando come sia possibile applicare concetti quali Zero Trust
anche ad un mondo legacy come quello industriale.
Quali
dispositivi?
Innanzitutto
definiamo cosa intendiamo con Dispositivi OT/IoT, utilizzando per
semplicità la seguente nomenclatura:
Va
da sé che in una realtà operante ad esempio nel mondo
manifatturiero, dove magari abbiamo una prevalenza di dispositivi in
ambito industriale (OT), si possano trovare tre ecosistemi ben
precisi:
Un ambiente IT con hardware tra i 5 ed i 10 anni, che utilizza
protocolli quali TCP/IP, HTTPS e dove vengono applicati (o almeno
dovrebbero essere applicati) concetti di protezione di base
dell’identità quali Multi Factor Authenthication (MFA), di
protezione della posta da spam/phishing, di protezione da
antimalware, ecc;
Un ambiente OT, con hardware datato a piacere, che utilizza
protocolli strettamente specifici e - come logiche di sicurezza -
utilizza prettamente un criterio di “isolamento”;
Un ambiente Cloud, utilizzato sia per estendere la capacità del
proprio datacenter
on-premise sia per
applicazioni/servizi che per motivi di scalabilità, tempo o
banalmente di costi, è più efficiente avviare dal cloud.
Dispositivi OT
Focalizziamo
l’attenzione di questo articolo sul secondo punto : gli ambienti
OT. Generalmente troviamo dispositivi OT legacy (più vecchi) e
Industrial IoT, dispositivi di impronta più recente: questi
controllano le apparecchiature fisiche - quindi la tecnologia comune
come i sistemi di riscaldamento, ventilazione e condizionamento
dell'aria (HVAC) - nonché le apparecchiature specifiche del settore
per la produzione - cioè gli impianti petroliferi e del gas, i
servizi pubblici, i trasporti, le infrastrutture civili e altro
ancora.
Questi
sistemi OT sono spesso monitorati dall'ambiente IT per fornire
analisi aziendali e altri approfondimenti sulle operazioni aziendali
fisiche. Sebbene le piattaforme informatiche e le reti IP sottostanti
siano simili all'IT, gli ambienti OT sono diversi per diversi
aspetti:
l'insieme di misure e strumenti atti a prevenire o ridurre gli
eventi accidentali è la principale voce di sicurezza OT (Safety);
questo è in netto contrasto con il mondo IT che si concentra
sull'insieme delle azioni e degli strumenti in risposta ad una
minaccia in atto, organizzata proprio allo scopo di arrecare danni
ai sistemi informatici (Security).
Questa differenza è dovuta al fatto che un guasto del sistema OT
potrebbe causare direttamente danni fisici o morte: ad esempio ai
dipendenti che lavorano su, o vicino a, macchinari pesanti; clienti
che utilizzano/consumano un prodotto, cittadini che vivono/lavorano
vicino a una struttura fisica, ecc.
Come abbiamo già anticipato l'hardware/software OT è molto più
vecchio rispetto ai sistemi IT perché le apparecchiature fisiche
hanno cicli di vita operativi molto più lunghi rispetto ai sistemi
IT tipici (in molti casi fino a 10 volte più lungo). Non è raro
trovare apparecchiature vecchie di 50 anni che sono state
modernizzate ai sistemi di controllo elettronico.
L’approccio di sicurezza dei sistemi OT è diverso dal mondo IT
perché questi sistemi spesso non sono stati creati tenendo conto
delle minacce e dei protocolli moderni (e spesso si basano su cicli
di software portati fino a "fine vita"). Molte best
practice consolidate di sicurezza IT come l'applicazione di patch
software non sono pratiche o sono completamente inefficaci in un
ambiente OT e anche se fossero applicate selettivamente avrebbero un
effetto sicurezza comunque limitato.
Abbiamo
accennato al criterio di “isolamento” dei dispositivi OT, per
applicare il quale si possono implementare diverse logiche:
Hard Boundary: completa disconnessione del traffico, spesso
dispositivi scollegati fisicamente (“air gap”);
Soft Boundary - basato su un firewall o un altro filtro del traffico
di rete, come qualsiasi limite di sicurezza, un confine “soft”
richiede monitoraggio e manutenzione per rimanere efficace nel
tempo. Sfortunatamente, vediamo molti casi in cui le organizzazioni
impostano regole firewall per bloccare il traffico, senza un
approccio completo di persone/processi/tecnologie per integrare la
sicurezza nella gestione delle modifiche, monitorare attentamente le
anomalie, verificare continuamente le modifiche, testare il confine
con simulazioni di attacco, ecc.
Segmentazione interna: isolando gruppi di sistemi OT l'uno
dall'altro come ulteriore impedimento agli attacchi. Questa pratica
richiede che i modelli di comunicazione/traffico siano compatibili
con questo approccio ed una manutenzione continua sia verso il
controllosia verso la gestione delle eccezioni.
Queste
pratiche di sicurezza applicano bene i principi di zero trust,
sebbene siano vincolate a configurazioni statiche e controlli di rete
a causa dell'età dei sistemi OT.
L’Ambiente
Industriale ed il “mondo esterno”
Dal
1990, la Purdue Enterprise Reference Architecture (PERA), alias
Purdue Model, è stato il modello standard per l'organizzazione e
segregazione, delle misure di sicurezza del sistema di controllo
aziendale e industriale (ICS) e delle funzioni di rete, indicando i
seguenti Livelli operativi:
Livello 0 — Il processo fisico — Definisce i processi fisici
effettivi.
Livello 1 — Dispositivi intelligenti — Rilevamento e
manipolazione dei processi fisici (Sensori di processo,
analizzatori, attuatori e relativa strumentazione)
Livello 2 — Sistemi di controllo — Supervisione, monitoraggio e
controllo dei processi fisici (Controlli e software in tempo reale;
DCS, interfaccia uomo-macchina (HMI); software di controllo di
supervisione e acquisizione dati (SCADA)).
Livello 3 — Sistemi operativi di produzione — Gestione del
flusso di lavoro di produzione per produrre i prodotti desiderati.
Gestione dei lotti; sistemi di gestione dell'esecuzione e delle
operazioni di produzione (MES/MOMS); sistemi di gestione delle
prestazioni di laboratorio, manutenzione e impianto; storici dei
dati e relativo middleware.
Livello 4 — Sistemi logistici aziendali — Gestione delle
attività relative all'operazione di produzione. Ad esempio l’ERP
ne è il sistema principale; stabilisce il programma di produzione
di base dell'impianto, l'uso dei materiali, la spedizione e i
livelli di inventario.
Dalla
definizione del PURDUE Model i livelli 0-3 (OT Environment) sono
cambiati poco rispetto alla restante architettura cioè il livello 4,
che riflette un approccio più moderno grazie ai principi di zero
trust e l’avvento della tecnologia mobile e cloud.
L’
avvento della trasformazione digitale, la cosiddetta Industria 4.0,
ha richiesto delle analitiche volte ad efficientare gli aspetti
business: aumentando la correlazione del volume sempre maggiore di
dati di produzione con un mondo IT ed un mondo Cloud. Grazie alla
raccolta dei dati provenienti dai dispositivi OT/IoT con servizi ad
esso dedicati e la potenza di calcolo a disposizione, l’ approccio
cloud ha permesso l'applicazione di logiche di analisi predittiva e
prescrittiva.
Ma,
come abbiamo visto inizialmente, sappiamo che gli attacchi alla
sicurezza informatica si estendono sempre più agli ambienti IT, IoT,
OT richiedendo che i processi di risposta agli incidenti (e le
strategie di prevenzione) convergano verso un approccio unificato,
che si estenda a tali ambienti pur dovendo adattarli alle capacità e
ai limiti di ciascuno.
Ecco
quindi che un’arma utile per fronteggiare questi attacchi sempre
più diversificati consiste nell’adottare soluzioni di protezione
OT/IoT.
Esistono
molteplici soluzioni di protezione del mondo industriale, cioè di
dispositivi OT/IoT, alcune delle quali basate su un approccio a
livello di rete chiamato monitoraggio passivo o Network Detection and
Response (NDR) - che ha un impatto zero sulle reti industriali: viene
implementato un sensore di rete in sede (appliance fisica o
virtuale), che si connette alla porta SPAN di uno switch. Tale
sensore identifica attività anomale o non autorizzate utilizzando
analisi comportamentali e informazioni sulle minacce specifiche per
IoT/OT, senza alcun impatto sulle prestazioni dei dispositivi.
A
prescindere dalle singole funzionalità delle soluzioni, queste sono
le quattro caratteristiche fondamentali:
Possibilità di asset management dei dispositivi OT/IoT: spesso e
volentieri una realtà aziendale non è a conoscenza di tutti i
dispositivi presenti al suo interno. Il primo obiettivo di tali
soluzioni è realizzare un inventario completo di tutti gli asset
IoT/OT, analizzare protocolli industriali proprietari, visualizzare
la topologia di rete ed i percorsi di comunicazione, identificare i
dettagli delle apparecchiature (produttore, tipo di dispositivo,
numero di serie, livello di firmware e layout backplane);
Identificare le vulnerabilità dei dispositivi: patch mancanti,
porte aperte, applicazioni non autorizzate e connessioni non
autorizzate; rilevare le modifiche alle configurazioni del
dispositivo, alla logica del controller e al firmware;
Rilevare attività anomale o non autorizzate utilizzando l'analisi
comportamentale e l' artificial intelligence sulle minacce
compatibili con IoT/OT, ad esempio rilevando immediatamente
l'accesso remoto non autorizzato e i dispositivi non autorizzati o
compromessi. Analizzare il traffico cronologicamente e catturare
minacce come malware zero-day o esplorare le acquisizioni di
pacchetti (PCAP) per un'analisi più approfondita;
Per raggiunger una visione olistica occorre poter riportare tali alert e minacce verso un SIEM/SOAR monitorato dal Security Operation Center (SOC); garantendo sia una più alta interoperabilità con
altri strumenti di service ticketing sia una riduzione del tempo di riconoscimento e remediation (MTTA, MTTR) dei
Security Analyst verso una potenziale minaccia.
E’
possibile applicare logiche di Zero Trust ad ambienti OT/IoT?
Assolutamente sì ed è un punto fondamentale nella visione olistica
di protezione che stiamo fornendo:
Questo
perché anche in un ambiente industriale è fondamentale mantenere
delle solide linee guida:
Sull’identità forte per autenticare i dispositivi - Registrare i
dispositivi aziendali di qualsiasi tipo, valutare le vulnerabilità
e le password non sicure, utilizzare autenticazione passwordless ove
possibile, fornire accessi meno privilegiati per ridurre la
superficie di impatto di un eventuale attacco ed i relativi danni
che può arrecare.
Sull’integrità del dispositivo - per bloccare l'accesso ai non
autorizzati o identificare i dispositivi che necessitano di una
remediation per vari motivi, monitorando le minacce in modalità
proattiva per identificare comportamentali anomali.
Utilizzare una configurazione centralizzata ed un solido meccanismo
di aggiornamento - per garantire che i dispositivi siano aggiornati
e in buono stato.
A
volte pensare ad attacchi in ambito dispositivi IoT sembra
fantascienza o molto lontano dal nostro quotidiano ma gli attacchi
citati inizialmente sono un buon punto di partenza per farci cambiare
idea, inoltre di seguito, vorrei farvi riflettere su un ulteriore
esempio non molto lontano da ciò che potrebbe capitare in ogni
contesto lavorativo:
Conclusione
E’
essenziale per le realtà aziendali valutare la sicurezza dei propri
sistemi IoT e OT con lo stesso rigore applicato ai sistemi IT: mentre
ai PC, ad esempio, viene normalmente richiesto di disporre di
certificati aggiornati, i dispositivi IoT vengono spesso distribuiti
con password predefinite di fabbrica e tenuti in quella
configurazione per decenni.
Se
è vero che in una catena di attacco l’anello umano è certamente
l’anello più debole, e qui la “formazione/educazione” è la prima vera attività che occorre avviare, è altresì vero che la sicurezza della catena da un punto di vista tecnico dipende dall'elemento più debole che purtroppo, nel mondo OT, è quasi sempre presente.
La
tecnologia è qui per aiutarci e supportarci ma soprattutto deve
essere in grado di fronte alle minacce citate di ridurre il
possibile impatto e consentire una rapida ripresa della produzione
e/o continuità aziendale, dopo un potenziale attacco.
A
tal fine più che le singole funzionalità, comunque rilevanti, è
importante l’integrazione che si riesce ad ottenere con tali
soluzioni perché i malintenzionati agiscono senza regole e senza
confini di dispositivi, identità, reti, ecc.
L’unico
modo di proteggersi è proprio favorire una “visione d’insieme”
in modo da rendere più semplice l’analisi, la rilevazione e la
remediation.
Simone Peruzzi
Riferimenti
