Settembre 16, 2019

Mancanza di visibilità nei sistemi ICS

by Paolo Moserle in IT Security

Uno dei problemi principali in una rete industriale è la mancanza di visibilità della rete. Ovvero molto spesso non si conoscono gli oggetti ad essa connessi. Se si prova a chiedere ad un manutentore responsabile d’impianto se è a conoscenza di tutti i dispositivi (pc, plc, router, telecamere, webcam ecc.) connessi alla rete, probabilmente la risposta sarà negativa.

Quali sono i dispositivi connessi

I dispositivi che compongono una rete ICS possono essere di molti, diversi tra loro per tipologia ed funzioni:

  • PLC, RTU ecc
  • Server SCADA
  • Telecamere
  • Telefoni IP
  • Sistemi SIS
  • PC
  • Sistemi IoT
  • Router (xDSL, 4G ecc.)
  • Firewall
  • Switch
  • Dispositivi di acquisizione dati e statistiche

Molti di questi device interagiscono di frequente tra loro, altri invece sono fini a se stessi, ma insistono sulla stessa rete.

Perchè è difficile sapere quanti e quali sono i dispositivi presenti

Un impianto industriale è tipicamente un ambiente difficile dal punto di vista ambientale, in alcuni casi gli spazi sono angusti, altre volte gli spazi sono giganteschi e distribuiti in aree difficilmente controllabili.

Tenere traccia di tutti i dispositivi installati è difficile perchè:

  • Esistono diversi fornitori che installano dispositivi in rete
  • Cambiano le esigenze nel tempo ed il numero di dispositivi aumenta
  • Spesso gli installatori non rilasciano la documentazione e l’elenco degli apparati
  • Alcuni installatori/fornitori si prendono la libertà di aggiungere device senza comunicarlo

Quali sono i rischi associati alla mancanza di visibilità?

I rischi legati alla scarsa visibilità di rete sono potenziale molto pericolosi, infatti non conoscere che tipo di dispositivi sono presenti in rete potrebbe esporre i sistemi a criticità di sicurezza.

Immaginando ad esempio che un fornitore/installatore configuri un router 4G nella rete per raggiungere un suo servizio Cloud in modo da gestire un sensore o apparato. Questo tipo di azione rappresenterebbe un “bypass” di tutte le policy di sicurezza dell’impianto.

In altri casi potrebbero essere presenti dispositivi con vulnerabilità gravi, con il forte rischio di esporre tutta la rete a problemi di sicurezza. Di recente è stato scoperto un raspberry installato e dimenticato nella rete NASA, il quale è stato compromesso e sono stati trafugati informazioni importanti circa il progetto Marte.

Come risolvere il problema di visibilità

Per avere sempre sotto controllo lo stato della network, esistono prodotti specifici in grado di mantenere la consistenza e la topologia dell’intera rete.

Grazie a questi strumenti è sempre possibile conoscere quanti e che tipo di dispositivi sono presenti nella rete e scovare le vulnerabilità associate.

Conclusioni

Conoscere i dispositivi connessi alla rete degli impianti è un passo fondamentale per mantenere la sicurezza dell’intera catena di processo.