IT Security

SCADA: Reti e Sicurezza

Le reti di Controllo di Supervisione e Acquisizione Dati (Supervision Control And Data Acquisition – SCADA) possono essere viste come un sistema comune di controllo utilizzato nelle operazioni industriali.

Queste reti sono responsabili della fornitura di controllo automatizzato e gestione a distanza delle risorse e dei servizi essenziali – quali acqua, gas naturale, elettricità e trasporti – o meno essenziali – come la produzione di neve per le stazioni sciistiche e la produzione di birra.

Non bisogna però confondere SCADA con ICS!

Queste reti sono minacciate da attacchi che potrebbero far crollare qualsiasi parte dell’infrastruttura critica, rapidamente e con conseguenze disastrose, se non fosse presente la giusta sicurezza. Le spese rappresentano un’altra preoccupazione fondamentale: i sistemi SCADA milioni di dollari, è essenziale che le organizzazioni implementino solide misure per proteggere la propria infrastruttura e le persone che sarebbero colpite da interruzioni dei servizi, causate da un attacco o da un errore.

Sicurezza tradizionale e in ambito SCADA

Prima dei computer, l’unico modo per monitorare una rete SCADA era distribuire diverse persone in ciascuna stazione per riferire sullo stato di ciascun sistema.

L’introduzione della Rete Locale (LAN) e i miglioramenti nella miniaturizzazione hanno permesso lo sviluppo di una rete SCADA distribuita. Successivamente sono arrivati dispositivi in grado di comunicare su una Rete Globale (WAN) e poter connettere più sistemi.

I progressi sono positivi, ma spesso hanno un prezzo: i sistemi che un tempo utilizzavano protocolli proprietari relativamente innocui si sono evoluti in sistemi basati su protocollo Internet (IP) e hanno ereditato tutte le vulnerabilità associate.

Minacce alla Sicurezza SCADA

Dalle aziende locali ai governi nazionali, ogni azienda o organizzazione che lavora con i sistemi SCADA è vulnerabile alle minacce alla sicurezza. Queste minacce possono avere effetti di vasta portata sia sull’economia che sulla comunità. Le minacce specifiche alle reti SCADA includono quanto segue:

Hacker

Individui o gruppi con intenzioni dannose potrebbero mettere in ginocchio una rete SCADA. Ottenendo l’accesso ai componenti chiave di SCADA, gli hacker potrebbero scatenare il caos in un’organizzazione che può variare da un’interruzione dei servizi alla cyber warfare.

Software Malevolo (Malware)

I malware, inclusi virus, spyware e ransomware possono rappresentare un rischio per i sistemi SCADA. Sebbene il malware possa non essere in grado di indirizzare in modo specifico la rete stessa, può comunque costituire una minaccia per l’infrastruttura chiave che aiuta a gestire la rete SCADA. Ciò include le applicazioni SCADA mobili utilizzate per monitorare e gestire i sistemi SCADA.

Terroristi

Laddove gli hacker sono generalmente motivati ​​da sordidi guadagni, i terroristi sono guidati dal desiderio di causare il maggior caos e danno possibile.

Dipendenti

Le minacce interne possono essere altrettanto dannose delle minacce esterne. Dall’errore umano a un dipendente o appaltatore scontento, è essenziale che la sicurezza SCADA affronti questi rischi.

Conclusione

La gestione delle reti SCADA odierne può rappresentare una sfida senza le giuste precauzioni di sicurezza. Molte reti sono ancora prive dei necessari sistemi di rilevamento e monitoraggio e questo le rende vulnerabili. Poiché gli attacchi alla rete SCADA sfruttano vulnerabilità sia informatiche che fisiche, è fondamentale allineare di conseguenza le misure di sicurezza informatica.

Triton/TriSIS: il nuovo Stuxnet

La recente è scoperta di malware specifici per ICS che hanno come obiettivo i sistemi di strumenti a sicurezza di Triconex (SIS) di Schneider Electric.
Hanno dimostrata capacità di modificare la logica e la programmazione del sistema.

Dovrebbe spingerci a chiedere: “Sto facendo tutto il possibile? Sono al sicuro? Cosa manca?”

Cosa è Triton?

Il malware noto come Triton (o TriSIS) è davvero un fatto isolato, oppure siamo di fronte ad un possibile futuro molto più nefasto?

Triton è il nome di un malware, abbreviazione per malicious software. Ad oggi è il malware più micidiale al mondo e la brutta notizia è che si sta diffondendo.

Triton è un software malevolo che può disabilitare i sistemi di sicurezza che sono progettati per prevenire, possibili incidenti industriali dagli esiti catastrofici.
I maggiori bersagli sono i grandi stabilimenti, che spesso garantiscono servizi essenziali.

Scoperto in Medio Oriente, questo malware è usato principalmente per prendere di mira aziende in Nord America e in altre parti del mondo.

Triton utilizza una libreria di chiamate di protocollo per scaricare le istruzioni nel controllore di sicurezza al fine di esercitare la propria programmazione.
In particolare, ha permesso di prendere controllo di questi sistemi da remoto e il codice consentiva a degli intrusi di disabilitarli o manometterli.

Tutti sono sorpresi dal fatto che hacker trascorra del tempo a concentrarsi sullo sviluppo di malware per attaccare sistema di sicurezza.

I prodotti di sicurezza sono stati storicamente più isolati rispetto al Sistema di Controllo Distribuito (o DCS) in un impianto.

Il contesto è importante, perché scegliere come target un controller SIS?

• Innescare un arresto di sicurezza riducendo le soglie, ecc.
• Negare al sistema di interrompere un processo in condizioni pericolose.

Ti rendi conto che un Sistema di Controllo Distribuito più grande e più accessibile è un obiettivo più semplice per realizzare un arresto del processo.

Un Sistema di Controllo Distribuito offre molte più opzioni di attacco per realizzare un arresto controllato di un processo.

Prevenire l’errore umano

Se hai letto il nostro articolo sul ruolo dell’errore umano nelle violazioni della sicurezza informatica, saprai che l’errore umano è la principale causa di oltre il 90% delle violazioni. Questa è una statistica spaventosa, ma anche molto utile.

Poiché la stragrande maggioranza delle violazioni dei dati aziendali è dovuta a errori umani, è facile sapere da dove iniziare quando si crea un piano per proteggere la propria azienda.

Quindi, come ridurre l’errore umano nella tua azienda?

1. Principio del Privilegio Minimo

Il Principio del Privilegio Minimo è la versione informatica del principio della “necessità di conoscere”. Ciò significa che ogni utente inizia con i privilegi minimi e gli sono concessi più privilegi quando richiesti.

Utilizzando il Principio del Privilegio Minimo riduci la quantità di azioni che ciascuno dei tuoi dipendenti può svolgere, consentendo loro di accedere a tutto ciò di cui hanno bisogno per svolgere il loro ruolo. Ciò significa che se l’account di un dipendente viene compromesso, l’accesso non autorizzato sarà limitato alle sole operazioni che il dipendente specifico ha il privilegio di eseguire.

2. Campagna di Sensibilizzazione

Gran parte dell’errore umano dipende dal fatto che i dipendenti non conoscono i rischi.

La sensibilizzazione viene eseguita più facilmente con campagne e promemoria che potrebbero includere nozioni di base generali, suggerimenti e consigli specifici più direttamente correlati alle operazioni della tua azienda.

3. Riduci le Restrizioni di Password

Le password sono una parte insostituibile della sicurezza informatica, ma utenti “sovraccarichi” di password cercheranno sempre i modi più semplici – e meno sicuri – con cui possono sorvolare il problema.

Mentre una politica di password complessa è essenziale, il modo migliore per ridurre l’errore umano intorno alle password è in primo luogo ridurre il loro numero. Ciò può essere ottenuto utilizzando i gestori password o sistemi di Single Sign On – con l’autenticazione a più fattori attivata per aumentare la sicurezza – e passando a dispositivi con autenticazione biometrica come l’identificazione delle impronte digitali.

4. Cambia il Paradigma di Sicurezza da Passivo a Proattivo

La sicurezza informatica tende a essere qualcosa che il dipendente medio dimentica fino a quando non si verifica il peggio. Incoraggia i tuoi dipendenti a dedicare tempo a conoscere i rischi informatici e premiali per essere proattivi nella ricerca di potenziali rischi e contromisure.

Una cultura della sicurezza proattiva contribuirà a garantire che la sicurezza informatica sia sempre presa in considerazione quando la tua azienda apporta modifiche agli strumenti che utilizza o al modo in cui funziona.

5. Formazione Continua

Per mantenere i dipendenti impegnati con i requisiti di sicurezza informatica e mantenere la consapevolezza sui diversi tipi di rischi, la formazione dovrebbe essere continua e flessibile.

Un buon programma di formazione si concentrerà sull’identificazione dei rischi specifici a cui i tuoi dipendenti e la tua azienda sono vulnerabili e formerà i tuoi dipendenti sugli aspetti più importanti della sicurezza in base ai loro profili di rischio unici.

Rispondere ad un incidente ICS in 4 passi

La risposta agli incidenti nell’Information Technology (IT) e Operational Technology (OT) o nei Sistemi di Controllo Industriale (ICS) può sembrare molto simile, ma ha diverse considerazioni e priorità.

Molte organizzazioni sfruttano le loro capacità di risposta agli incidenti IT esistenti in un ambiente OT, che potrebbe non essere ideale per una risposta agli incidenti di successo e operazioni sicure e affidabili. Comprendere queste lacune e colmarle prima dell’incidente è la chiave per una risposta positiva all’incidente ICS.

Anche le competenze necessarie in un ambiente OT e ICS sono diverse, ma possono essere ottenute attraverso la formazione: la difesa attiva e risposta agli incidenti e facendo leva su esperti del settore.

Preparazione e pianificazione

Ruoli, responsabilità e processi decisionali devono essere incredibilmente chiari quando si risponde a incidenti di Cyber-Physical Security OT.

Gli incidenti ICS devono prendere in considerazione potenziali conseguenze sulla vita, sulla sicurezza e sulla proprietà che possono derivare sia dall’incidente che dalle azioni di risposta intraprese.

I piani di risposta di successo definiscono un chiaro processo decisionale che include la leadership di business, la sicurezza, la operazioni, l’ambito IT e il Team di Risposta agli Incidenti (IRT).

Quando si pianifica una Risposta agli Incidenti (IR), è anche importante assicurarsi che il piano sia stato rivisto dai responsabili della conformità e della sicurezza, poiché le azioni di sicurezza – come il blocco di alcuni sistemi o i piani di evacuazione – possono essere in conflitto con gli obiettivi di Risposta agli incidenti.

Gli standard di affidabilità normativa, i requisiti di notifica e altre imposizioni devono essere attentamente valutati per il tuo settore specifico per assicurarti di rimanere conforme alla risposta iniziale attraverso il recupero.

Prima che si verifichi un incidente, è fondamentale che le organizzazioni intraprendano uno sforzo per identificare tutte le risorse che possono interagire con l’ambiente ICS: senza questa comprensione fondamentale di quali risorse sono presenti le organizzazioni faranno fatica a rispondere rapidamente e ripristinare il sistema.

L’identificazione delle risorse non deve necessariamente essere una scansione attiva su una rete ma potrebbe essere semplice come un’indagine fisica del sito, la riconciliazione di disegni progettati con lo stato corrente o l’esame delle informazioni sul flusso di traffico sia interno alla rete di controllo e che attraverso il firewall aziendale.

Visibilità e rilevazione

Gli ambienti ICS sono in genere di natura estremamente statica, molto prescrittivi nelle comunicazioni e non hanno un gran numero di utenti umani che introducono comportamenti imprevedibili.

Questi ambienti sono maturi per l’analisi comportamentale e il rilevamento di anomalie è reso molto più facile. Al contrario, con le reti IT spesso è quasi impossibile sviluppare una base di rete consolidata.

Un esempio: dopo che è stata stabilita una linea di base, il team di monitoraggio della rete dovrebbe esaminare nuove comunicazioni per valutare se fanno effettivamente parte di una modifica approvata e di una nuova operazione ordinaria. Poiché è improbabile che i sistemi ICS comunichino con nuovi server esterni dopo l’installazione, ciò è un’ottima tecnica per rilevare le intrusioni prima che il sistema sia compromesso.

Coordinamento e comunicazione

Mentre il coordinamento con altre parti dell’azienda è importante nella risposta agli incidenti IT, è assolutamente essenziale quando si esegue la risposta agli incidenti in un ambiente ICS.

Sebbene possano verificarsi un’eccellente pianificazione e preparazione, le azioni di risposta agli incidenti ICS potrebbero avere un impatto sul funzionamento sicuro e affidabile del sistema.

Un esempio: sottrarre il laptop di un utente per creare il clone di unità può essere un inconveniente, ma la rimozione di un pannello operatore per operare su di esso può rimuovere la visibilità dei processi chiave o avere un impatto sulle procedure di risposta alle emergenze.

Questo è il motivo per cui è fondamentale che le informazioni fluiscano: gli utenti devono avere una piena comprensione delle conseguenze delle loro azioni, con il consenso del team operativo, prima di intraprendere tali azioni.

Gli incidenti negli ambienti ICS tendono inoltre a ricevere molta più “rilevanza mediatica” rispetto agli incidenti IT tipici: anche un’infezione da malware comune può trasformarsi in un grave problema se si trova in una struttura critica. Pertanto, è anche importante coinvolgere il team di pubbliche relazioni nelle prime fasi del processo per sviluppare un piano di comunicazione per le parti interessate interne ed esterne.

Copartecipazione

La comunità ICS è un piccolo e affiatato gruppo composto da operatori, ingegneri e tecnici. C’è ancora una mentalità di vergogna e occultamento quando si tratta di segnalazioni di incidenti nei nostri ambienti ICS. Culturalmente questa è una sfida che dobbiamo superare poiché le intrusioni in una struttura potrebbero contenere informazioni su tecniche e procedure saranno sfruttate in un’altra struttura.

Fondamentale è che le organizzazioni condividano le informazioni sia all’interno che all’esterno del settore durante e dopo le attività di Risposta agli Incidenti.

Solo lavorando insieme possiamo ridurre al minimo il rischio.

La sicurezza ICS non è un copia incolla dei sistemi IT

Una gran parte dei sistemi di controllo industriale (ICS) sono infrastrutture critiche alla base della nostra società moderna. Alcuni di essi generano e distribuiscono energia e calore alle nostre case, aziende e centri sanitari.
Altri esempi sono fondamentali nell’industria manifatturiera, nella raffinazione e nella produzione di petrolio e gas e nelle infrastrutture che gestiscono i nostri sistemi idrici. Questi complessi interconnessi e interdipendenti di entrambi i sistemi informatici datati e moderni sono responsabili dei processi nel mondo fisico e richiedono ulteriori considerazioni per la moderna difesa informatica oltre alla tradizionale sicurezza IT (Information Technology).

Le pratiche di sicurezza IT non possano essere applicate direttamente agli ambienti ICS

Sebbene sia disponibile una vasta gamma di conoscenze per eseguire una solida difesa IT per “copiare e incollare” la sicurezza tradizionale in un ICS, potrebbero avere conseguenze problematiche o devastanti.

Risposta agli incidenti: che fare?

• Rilevamento dell’anomalia
• Identificazione del problema
• Contenimento del danno
• Eliminazione della minaccia
• Recupero delle informazioni e del funzionamento
• Apprendimento per prevenire contesti simili in futuro

I principi della tradizionale risposta agli incidenti descritto sopra sono ancora in gioco in ICS, tuttavia queste sole azioni di riparazione (standard nei sistemi di sicurezza IT) possono avere risultati catastrofici ai fini del processo e della protezione delle risorse fisiche, in particolare le vite umane coinvolte nel sistema.

Si rivela quindi necessario lo sviluppo di una capacità di risposta agli incidenti di Cyber-Physical Security dei Sistemi di Controllo Industriale.

Mentre gli incidenti informatici negli ambienti IT possono portare a scrittura di dati indesiderati, corruzione dei dati o perdita dei dati, gli impatti fisici sono molto diversi. Gli incidenti negli ambienti ICS vanno dalla perdita di visibilità al controllo dei processi fisici, al permesso di controllo ad utenti non autorizzati che possono portare a gravi rischi per la sicurezza del personale, lesioni o morte.

Attraverso le Rivoluzioni Industriali

Terminologie come ICS, SCADA, ModBus, OT e IT sono relativamente recenti.
Questi termini sono stati infatti coniati per regolamentare i processi aziendali in tutte quelle parti non legate strettamente alla produzione, ma più al controllo e al comando di essa.

Tutto quello che è arrivato ad oggi è frutto dell’evoluzione dell’industria attraverso i secoli.
In particolare, possiamo parlare di Sistemi Industriali già dalla prima delle Rivoluzioni Industriali.

Con l’aumento dell’efficienza e della connettività però sono arrivate anche i primi problemi ad esse legati.
Se non sei nuovo del settore, sicuramente avrai sentito parlare delle campagne relative a Stuxnet, Night Dragon, BlackEnergy o del recente malware Triton.

Sistemi di Controllo Industriale

L’Industrial – Automation and – Control System (o Sistema di – Automazione e – Controllo Industriale) si indica con la sigle ICS o IACS e viene definito come:

“l’insieme delle persone, dell’hardware e del software che può riguardare o influenzare la safety, la security, e l’affidabilità di un processo industriale.”

In particolare:

• La safety indica la prevenzione dai possibili incidenti involontari che potrebbero compromettere il sistema.
• La security indica la protezione dagli attacchi volontari, solitamente ad opera di criminali.
• L’affidabilità è inoltre la capacità di un sistema di mantenere le sue funzionalità nel tempo, anche grazie a continui aggiornamenti.

Negli ultimi anni si utilizza il termine Operational Technology (sigla OT), che include anche le varie tecnologie che si interfacciano al processo durante l’operatività, per distinguere l’ambito industriale da quello informativo, ovvero l’Information Technology (sigla IT).

Prima Rivoluzione Industriale

La Prima Rivoluzione Industriale nasce nel 1765 e porta con sé un concetto tutto nuovo: la Meccanizzazione del Processo Produttivo.

Questa evoluzione, durata fino al 1900, introduce la necessità di controllare cosa fanno queste “nuove macchine” (un esempio sono le valvole di controllo di pressione nei motori a vapore).

Nascono così i primi, rudimentali, elementi di quello che in futuro sarà un Sistema di Controllo Industriale.

Seconda Rivoluzione Industriale

Nel 1870 arriva l’Elettricità e con sé ha portato una nuova Rivoluzione Industriale.

La Meccanizzazione della precedente rivoluzione ha aumentato la richiesta di energia.
Arrivano il motore a combustione, il telefono e il telegrafo, l’automobile e l’aeroplano, fino ad arrivare al 1968 con il primo Controllore Programmabile: Modicon (MOdular DIgital CONtroller).

In ambito industriale nasce il concetto di “feedback negativo” e negli anni ’50 arrivano i primo controlli logico-sequenziali.
Comincia a delinearsi il concetto di “programmazione” di un sistema.

Terza Rivoluzione Industriale

Nel 1969 una nuova Rivluzione Industriale arriva grazie (o solo parallelamente) alla nascita dell’Energia Nucleare.

Nasce il concetto di ICS: nel 1971 nasce il Bulletin 1774 il primo PLC (Programmable Logic Controller), nel 1973 per connettere tra di loro diversi PLC venne definito il protocollo Modbus (ancora oggi utilizzato) e nel 1976 arriva il concetto di Input/Output remoto.

La Rivoluzione Informativa avviene nel 1986, i PLC sono interconnessi ai PC, Operational Technology ed Information Technology si incontrano.

Tutti i problemi legati all’IT arrivano nell’OT.
Un software malevolo – una specie di Cavallo di Troia – attacca il sistema SCADA di un gasdotto siberiano nel 1982, si pensa ad opera dell’Intelligence Americana..

Nel 1992 Ethernet e TCP/IP cominciano a fornire connettività ai PLC.

Termini come SCADA (Supervisory Control And Data Acquisition) o DCS (Distributed Control System) descrivono componenti ben specifici all’interno del sistema. Sono però spesso – erroneamente – utilizzati come sinonimi di ICS.

Quarta Rivoluzione Industriale

Oggi stiamo vivendo la Quarta Rivoluzione Industriale.
L’Industria 4.0 e i Sistemi IoT portando la connettività ad un nuovo livello.

Il tutto è avvenuto in modo estremamente rapido rispetto alle rivoluzioni precedenti, basti pensare che solo nel 2003 i PLC cominciano a includere al loro interno dei web server, mentre oggi si dà per scontato, con tutti i rischi derivanti dalle vulnerabilità delle applicazioni web.

Diversi incidenti documentati si sono susseguiti negli anni successivi impattando su diverse tipologie di industrie come Automotive, Chimica, Manifatturiera, Food & Beverage, Metallica, Mineraria, Petrolifera, Farmaceutica, Energetica, Cartaria, Trasporti.

La vera svolta nella sensibilizzazione degli aspetti di sicurezza si ha negli anni 2010. Un esempio è Stuxnet, un worm capace di alterare il normale funzionamento delle centrifughe di arricchimento dell’uranio, attacco attribuito al Governo Americano in opposizione all’Iran.

Conclusioni

Lo scenario attuale è reso complicato dalla necessità di operare su due “strade” differenti.
L’interconnessione è necessaria per operare, ma allo stesso tempo si deve isolare il più possibile ciò che è prezioso.

Gli aggiornamenti dell’IT sono inoltre velocissimi, fino a poco tempo fa era impensabile poter connettere dispositivi mobili.
I sistemi OT invece sono molto lenti e i protocolli usati sono ancora quelli di 50 anni fa.

È quindi necessario un nuovo paradigma di protezione dove le lezioni apprese nella sicurezza IT sono integrate nei paradigmi OT.