Non solo protezione dell’IT

(una reale visione d’insieme nella protezione di un ecosistema aziendale)

Scenario

Verkada, Triton, Colonial Pipeline… non sono parole misteriose di un gioco a quiz, ma semplicemente lo specchio della realtà che stiamo affrontando in cui sia il confine tra digitale e reale sia la protezione da minacce di malintenzionati sono sempre più labili.

Scenari di attacchi digitali a dispositivi industriali, chiamati anche OT o IoT, sono sempre più all’ordine del giorno; con un impatto importante sulla nostra privacy, le nostre imprese o ancor peggio la vita di ognuno di noi se parliamo di infrastrutture critiche quali oleodotti, ospedali, ecc.

• Verkada – Marzo 2021 – “un gruppo di hacker afferma di aver violato un'enorme quantità di dati delle telecamere di sicurezza raccolti dalla startup della Silicon Valley Verkada Inc., ottenendo l'accesso ai feed live di 150.000 telecamere di sorveglianza all'interno di ospedali, aziende, dipartimenti di polizia, carceri e scuole.”

• Triton – 2017 e 2019 – “hacker utilizzano il malware Triton per bloccare impianti e sistemi industriali, Il malware è stato progettato per colpire sistemi industriali e infrastrutture critiche”.

• Colonial Pipeline – Giugno 2021 – “l’hacking che ha bloccato il più grande gasdotto degli Stati Uniti e ha portato a carenze in tutta la costa orientale è stato il risultato di un'unica password compromessa. Gli hacker sono entrati nelle reti di Colonial Pipeline Co. attraverso un account di rete privata virtuale, che consentiva ai dipendenti di accedere in remoto alla rete informatica dell'azienda. L'account non era più in uso al momento dell'attacco, ma poteva ancora essere utilizzato per accedere alla rete di Colonial”

In questo contesto è con grande speranza che vediamo affermarsi sempre più nel mondo IT e Cybersecurity concetti quali “Zero Trust”, “Continuità Operativa”, “Protezione dispositivi industriali”, ecc. Tuttavia, spiegare alle realtà aziendali come proteggere dispositivi industriali, che spesso e volentieri hanno una media di 30/40 anni di anzianità, in un edificio isolato sia fisicamente che digitalmente, non è sempre cosa semplice.

Questo articolo vuole cercare di aprire uno spaccato su questo scenario e aiutare a comprendere come le logiche di protezione dei dispositivi industriali (spesso e volentieri chiamati dispositivi Operation Technology – OT, o i più recenti dispositivi Internet of Thing - IoT) possano intersecarsi con le classiche logiche dei dispositivi appartenenti al mondo IT che la maggior parte di noi conosce, evidenziando come sia possibile applicare concetti quali Zero Trust anche ad un mondo legacy come quello industriale.

Quali dispositivi?

Innanzitutto definiamo cosa intendiamo con Dispositivi OT/IoT, utilizzando per semplicità la seguente nomenclatura:

Va da sé che in una realtà operante ad esempio nel mondo manifatturiero, dove magari abbiamo una prevalenza di dispositivi in ambito industriale (OT), si possano trovare tre ecosistemi ben precisi:

1. Un ambiente IT con hardware tra i 5 ed i 10 anni, che utilizza protocolli quali TCP/IP, HTTPS e dove vengono applicati (o almeno dovrebbero essere applicati) concetti di protezione di base dell’identità quali Multi Factor Authenthication (MFA), di protezione della posta da spam/phishing, di protezione da antimalware, ecc;

2. Un ambiente OT, con hardware datato a piacere, che utilizza protocolli strettamente specifici e - come logiche di sicurezza - utilizza prettamente un criterio di “isolamento”;

3. Un ambiente Cloud, utilizzato sia per estendere la capacità del proprio datacenter
   on-premise sia per applicazioni/servizi che per motivi di scalabilità, tempo o banalmente di costi, è più efficiente avviare dal cloud.

Dispositivi OT

Focalizziamo l’attenzione di questo articolo sul secondo punto : gli ambienti OT. Generalmente troviamo dispositivi OT legacy (più vecchi) e Industrial IoT, dispositivi di impronta più recente: questi controllano le apparecchiature fisiche - quindi la tecnologia comune come i sistemi di riscaldamento, ventilazione e condizionamento dell'aria (HVAC) - nonché le apparecchiature specifiche del settore per la produzione - cioè gli impianti petroliferi e del gas, i servizi pubblici, i trasporti, le infrastrutture civili e altro ancora.

Questi sistemi OT sono spesso monitorati dall'ambiente IT per fornire analisi aziendali e altri approfondimenti sulle operazioni aziendali fisiche. Sebbene le piattaforme informatiche e le reti IP sottostanti siano simili all'IT, gli ambienti OT sono diversi per diversi aspetti:

• l'insieme di misure e strumenti atti a prevenire o ridurre gli eventi accidentali è la principale voce di sicurezza OT (Safety); questo è in netto contrasto con il mondo IT che si concentra sull'insieme delle azioni e degli strumenti in risposta ad una minaccia in atto, organizzata proprio allo scopo di arrecare danni ai sistemi informatici (Security).

Questa differenza è dovuta al fatto che un guasto del sistema OT potrebbe causare direttamente danni fisici o morte: ad esempio ai dipendenti che lavorano su, o vicino a, macchinari pesanti; clienti che utilizzano/consumano un prodotto, cittadini che vivono/lavorano vicino a una struttura fisica, ecc.

• Come abbiamo già anticipato l'hardware/software OT è molto più vecchio rispetto ai sistemi IT perché le apparecchiature fisiche hanno cicli di vita operativi molto più lunghi rispetto ai sistemi IT tipici (in molti casi fino a 10 volte più lungo). Non è raro trovare apparecchiature vecchie di 50 anni che sono state modernizzate ai sistemi di controllo elettronico.

• L’approccio di sicurezza dei sistemi OT è diverso dal mondo IT perché questi sistemi spesso non sono stati creati tenendo conto delle minacce e dei protocolli moderni (e spesso si basano su cicli di software portati fino a "fine vita"). Molte best practice consolidate di sicurezza IT come l'applicazione di patch software non sono pratiche o sono completamente inefficaci in un ambiente OT e anche se fossero applicate selettivamente avrebbero un effetto sicurezza comunque limitato.

Abbiamo accennato al criterio di “isolamento” dei dispositivi OT, per applicare il quale si possono implementare diverse logiche:

• Hard Boundary: completa disconnessione del traffico, spesso dispositivi scollegati fisicamente (“air gap”);

• Soft Boundary - basato su un firewall o un altro filtro del traffico di rete, come qualsiasi limite di sicurezza, un confine “soft” richiede monitoraggio e manutenzione per rimanere efficace nel tempo. Sfortunatamente, vediamo molti casi in cui le organizzazioni impostano regole firewall per bloccare il traffico, senza un approccio completo di persone/processi/tecnologie per integrare la sicurezza nella gestione delle modifiche, monitorare attentamente le anomalie, verificare continuamente le modifiche, testare il confine con simulazioni di attacco, ecc.

• Segmentazione interna: isolando gruppi di sistemi OT l'uno dall'altro come ulteriore impedimento agli attacchi. Questa pratica richiede che i modelli di comunicazione/traffico siano compatibili con questo approccio ed una manutenzione continua sia verso il controllosia verso la gestione delle eccezioni.

Queste pratiche di sicurezza applicano bene i principi di zero trust, sebbene siano vincolate a configurazioni statiche e controlli di rete a causa dell'età dei sistemi OT.

L’Ambiente Industriale ed il “mondo esterno”

Dal 1990, la Purdue Enterprise Reference Architecture (PERA), alias Purdue Model, è stato il modello standard per l'organizzazione e segregazione, delle misure di sicurezza del sistema di controllo aziendale e industriale (ICS) e delle funzioni di rete, indicando i seguenti Livelli operativi:

• Livello 0 — Il processo fisico — Definisce i processi fisici effettivi.

• Livello 1 — Dispositivi intelligenti — Rilevamento e manipolazione dei processi fisici (Sensori di processo, analizzatori, attuatori e relativa strumentazione)

• Livello 2 — Sistemi di controllo — Supervisione, monitoraggio e controllo dei processi fisici (Controlli e software in tempo reale; DCS, interfaccia uomo-macchina (HMI); software di controllo di supervisione e acquisizione dati (SCADA)).

• Livello 3 — Sistemi operativi di produzione — Gestione del flusso di lavoro di produzione per produrre i prodotti desiderati. Gestione dei lotti; sistemi di gestione dell'esecuzione e delle operazioni di produzione (MES/MOMS); sistemi di gestione delle prestazioni di laboratorio, manutenzione e impianto; storici dei dati e relativo middleware.

• Livello 4 — Sistemi logistici aziendali — Gestione delle attività relative all'operazione di produzione. Ad esempio l’ERP ne è il sistema principale; stabilisce il programma di produzione di base dell'impianto, l'uso dei materiali, la spedizione e i livelli di inventario.

Dalla definizione del PURDUE Model i livelli 0-3 (OT Environment) sono cambiati poco rispetto alla restante architettura cioè il livello 4, che riflette un approccio più moderno grazie ai principi di zero trust e l’avvento della tecnologia mobile e cloud.

L’ avvento della trasformazione digitale, la cosiddetta Industria 4.0, ha richiesto delle analitiche volte ad efficientare gli aspetti business: aumentando la correlazione del volume sempre maggiore di dati di produzione con un mondo IT ed un mondo Cloud. Grazie alla raccolta dei dati provenienti dai dispositivi OT/IoT con servizi ad esso dedicati e la potenza di calcolo a disposizione, l’ approccio cloud ha permesso l'applicazione di logiche di analisi predittiva e prescrittiva.

Ma, come abbiamo visto inizialmente, sappiamo che gli attacchi alla sicurezza informatica si estendono sempre più agli ambienti IT, IoT, OT richiedendo che i processi di risposta agli incidenti (e le strategie di prevenzione) convergano verso un approccio unificato, che si estenda a tali ambienti pur dovendo adattarli alle capacità e ai limiti di ciascuno.

Ecco quindi che un’arma utile per fronteggiare questi attacchi sempre più diversificati consiste nell’adottare soluzioni di protezione OT/IoT.

Esistono molteplici soluzioni di protezione del mondo industriale, cioè di dispositivi OT/IoT, alcune delle quali basate su un approccio a livello di rete chiamato monitoraggio passivo o Network Detection and Response (NDR) - che ha un impatto zero sulle reti industriali: viene implementato un sensore di rete in sede (appliance fisica o virtuale), che si connette alla porta SPAN di uno switch. Tale sensore identifica attività anomale o non autorizzate utilizzando analisi comportamentali e informazioni sulle minacce specifiche per IoT/OT, senza alcun impatto sulle prestazioni dei dispositivi.

A prescindere dalle singole funzionalità delle soluzioni, queste sono le quattro caratteristiche fondamentali:

1. Possibilità di asset management dei dispositivi OT/IoT: spesso e volentieri una realtà aziendale non è a conoscenza di tutti i dispositivi presenti al suo interno. Il primo obiettivo di tali soluzioni è realizzare un inventario completo di tutti gli asset IoT/OT, analizzare protocolli industriali proprietari, visualizzare la topologia di rete ed i percorsi di comunicazione, identificare i dettagli delle apparecchiature (produttore, tipo di dispositivo, numero di serie, livello di firmware e layout backplane);

2. Identificare le vulnerabilità dei dispositivi: patch mancanti, porte aperte, applicazioni non autorizzate e connessioni non autorizzate; rilevare le modifiche alle configurazioni del dispositivo, alla logica del controller e al firmware;

3. Rilevare attività anomale o non autorizzate utilizzando l'analisi comportamentale e l' artificial intelligence sulle minacce compatibili con IoT/OT, ad esempio rilevando immediatamente l'accesso remoto non autorizzato e i dispositivi non autorizzati o compromessi. Analizzare il traffico cronologicamente e catturare minacce come malware zero-day o esplorare le acquisizioni di pacchetti (PCAP) per un'analisi più approfondita;

4. Per raggiunger una visione olistica occorre poter riportare tali alert e minacce verso un SIEM/SOAR monitorato dal Security Operation Center (SOC); garantendo sia una più alta interoperabilità con altri strumenti di service ticketing sia una riduzione del tempo di riconoscimento e remediation (MTTA, MTTR) dei Security Analyst verso una potenziale minaccia.

E’ possibile applicare logiche di Zero Trust ad ambienti OT/IoT? Assolutamente sì ed è un punto fondamentale nella visione olistica di protezione che stiamo fornendo:

Questo perché anche in un ambiente industriale è fondamentale mantenere delle solide linee guida:

• Sull’identità forte per autenticare i dispositivi - Registrare i dispositivi aziendali di qualsiasi tipo, valutare le vulnerabilità e le password non sicure, utilizzare autenticazione passwordless ove possibile, fornire accessi meno privilegiati per ridurre la superficie di impatto di un eventuale attacco ed i relativi danni che può arrecare.

• Sull’integrità del dispositivo - per bloccare l'accesso ai non autorizzati o identificare i dispositivi che necessitano di una remediation per vari motivi, monitorando le minacce in modalità proattiva per identificare comportamentali anomali.

• Utilizzare una configurazione centralizzata ed un solido meccanismo di aggiornamento - per garantire che i dispositivi siano aggiornati e in buono stato.

A volte pensare ad attacchi in ambito dispositivi IoT sembra fantascienza o molto lontano dal nostro quotidiano ma gli attacchi citati inizialmente sono un buon punto di partenza per farci cambiare idea, inoltre di seguito, vorrei farvi riflettere su un ulteriore esempio non molto lontano da ciò che potrebbe capitare in ogni contesto lavorativo:

Conclusione

E’ essenziale per le realtà aziendali valutare la sicurezza dei propri sistemi IoT e OT con lo stesso rigore applicato ai sistemi IT: mentre ai PC, ad esempio, viene normalmente richiesto di disporre di certificati aggiornati, i dispositivi IoT vengono spesso distribuiti con password predefinite di fabbrica e tenuti in quella configurazione per decenni.

Se è vero che in una catena di attacco l’anello umano è certamente l’anello più debole, e qui la “formazione/educazione” è la prima vera attività che occorre avviare, è altresì vero che la sicurezza della catena da un punto di vista tecnico dipende dall'elemento più debole che purtroppo, nel mondo OT, è quasi sempre presente.

La tecnologia è qui per aiutarci e supportarci ma soprattutto deve essere in grado di fronte alle minacce citate di ridurre il possibile impatto e consentire una rapida ripresa della produzione e/o continuità aziendale, dopo un potenziale attacco.

A tal fine più che le singole funzionalità, comunque rilevanti, è importante l’integrazione che si riesce ad ottenere con tali soluzioni perché i malintenzionati agiscono senza regole e senza confini di dispositivi, identità, reti, ecc.

L’unico modo di proteggersi è proprio favorire una “visione d’insieme” in modo da rendere più semplice l’analisi, la rilevazione e la remediation.

Simone Peruzzi

Riferimenti

• Verkada Breach Demonstrates Danger of Overprivileged Users (darkreading.com)

• Tesla (TSLA), Cloudfare (NET) Breached in Verkada Security Camera Hack - Bloomberg

• Hackers use Triton malware to shut down plant, industrial systems | ZDNet

• Triton hackers return with new, covert industrial attack | ZDNet

• One password allowed hackers to disrupt Colonial Pipeline, CEO tells senators | Reuters

• Architetture di riferimento per la sicurezza informatica Microsoft - Security documentation | Microsoft Docs

• Purdue Enterprise Reference Architecture - Wikipedia

• How to apply a Zero Trust approach to your IoT solutions - Microsoft Security Blog

• IoT security: How to protect your IoT devices in OT systems (trendmicro.com)

• Learn how Microsoft strengthens IoT and OT security with Zero Trust - Microsoft Security Blog