Industrial Control Systems: Evoluzione della minaccia

Nel nostro articolo Cyber Security e impianti industriali abbiamo visto come gli Industrial Control System (ICS) sono una parte integrante delle moderne Infrastrutture Critiche (IC) in quanto sovrintendono a tutte le operazioni connesse con la gestione e il controllo di settori vitali come quello elettrico, petrolchimico, energetico, ecc. Tuttavia, tali sistemi espongono le IC alla minaccia cyber, e i recenti attacchi informatici hanno dimostrato che è possibile, attraverso delle manipolazioni malevoli dei processi produttivi, provocare danni dalle conseguenze potenzialmente catastrofiche.

Nel nostro articolo Industrial Control Systems e Infrastrutture critiche abbiamo visto come le società moderne dipendono in modo sempre più radicale dai dispositivi di controllo industriale. Tra i clienti dei principali fornitori di soluzioni OT figurano soggetti che operano in campi quali il settore energetico, delle comunicazioni e dei trasporti. Tali campi sono considerati dalla maggior parte degli stati come settori critici, e i soggetti che vi operano sono identificati come infrastrutture critiche (IC)

Nel nostro articolo Sicurezza negli ambienti OT abbiamo visto come uno studio condotto alcuni anni fa da una società specializzata negli USA ha evidenziato che il tempo medio per l’applicazione di una patch di sicurezza era di 350 giorni con alcuni episodi nei quali l’istallazione era stata effettuata solo 3 anni dopo il rilascio della patch.

In Industrial Control Systems: Una crescente superficie di attacco abbiamo visto come in un contesto di vulnerabilità intrinseche, l’unica barriera che ha garantito per un lungo periodo di tempo un livello accettabile di protezione degli Industrial Control System era costituita dalla così detta security through obscurity. Oggi, i cyber criminali possono soddisfare in buona parte le loro esigenze di raccolta di informazioni e documentazione impiegando strumenti di intelligence open source (OSINT).

Ci occupiamo questa volta dell’evoluzione delle minacce negli Industrial Control Systems.

Gli sviluppi del mondo delle OT hanno portato a una trasformazione effettiva del panorama delle minacce cyber.

Infatti, se tra il 1982 e il 2000 il 70% degli attacchi era di natura interna, tra il 2000 e il 2003 si è verificata una progressiva inversione del trend che ha portato l’ammontare delle azioni con origine esterna fino al 70% degli attacchi totali[1], ed è improbabile che questa tendenza diminuisca in futuro.

Questi dati, accompagnati da un aumento generale della frequenza degli attacchi informatici (Kaspersky lab ICS-CERT, 2017) hanno sollevato una grande preoccupazione per le minacce derivanti dal cyberspazio. Nel 2009, un sondaggio che coinvolgeva oltre 600 IT security manager di imprese operanti in settori critici ha evidenziato che la maggior parte degli intervistati riteneva probabile, se non imminente, un’operazione cyber di larga scala in grado di degradare le IC del paese[2]. Lo stesso anno, l’ex presidente americano Barack Obama, ha definito gli attacchi cibernetici “una delle più gravi minacce alla sicurezza statale ed economica che le nostre nazioni stanno affrontando”[3] e, secondo uno studio recente, le minacce informatiche detengono la quarta posizione dopo quelle legate al terrorismo, vandalismo e furto fisico[4].

L’aspetto più critico delle vulnerabilità degli ICS è che gli attacchi informatici potrebbero avere non solo un impatto economico, ma anche uno cinetico. Un aggressore può introdurre guasti e alterare il normale operato di un processo fino a portare il sistema a un punto di rottura meccanico. A questo timore è stato dato fondamento pratico nel 2007 con il progetto Aurora, condotto dall’Idhao National Lab, nel quale una squadra di hacker etici simulò un attacco informatico per distruggere un gruppo elettrogeno da 27 tonnellate[5].

L’esperimento Aurora dimostrò che un attacco immateriale ipoteticamente sferrabile da migliaia di kilometri di distanza è in grado di creare danni meccanici potenzialmente paragonabili a quelli ottenibili da una carica esplosiva, con il vantaggio che la possibilità di attribuzione, ossia di risalire all’autore dell’attacco, sono ridotte o comunque non immediate.

Questo comporta che un attacco informatico contro le IC potrebbe creare danni all’ambiente, problemi alla salute delle persone e gravi disagi per la società[6]. Questo anche perché occorre considerare che il ripristino e la riparazione delle componenti meccaniche dei sistemi OT possono richiedere tempi dilatati dell’ordine di mesi se non addirittura di anni.

Oggi, la necessità di difendere le OT da attacchi cyber è riconosciuta a livello italiano e mondiale. In Italia la relazione dei Servizi di Intelligence al Parlamento del 2016 avverte della possibilità che un’operazione cyber può danneggiare oggetti fisici e, come affermato nel 2012 dall’ex Segretario alla Difesa statunitense Leon E. Panetta, un’operazione di successo potrebbe portare a un “cyber-Pearl Harbor” se un gruppo di aggressori acquisisse il controllo degli “interruttori critici” [7].

Bibliografia

• http://www.mix-it.net
• https://www.rt.com/news/snowden-nsa-interview-surveillance-831/
• http://www.giorgiosbaraglia.it/la-guerra-cibernetica-caso-piu-famoso/
• https://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_18Mar2016.pdf
• https://nulltx.com/ukraines-power-grid-hacked-twice-in-one-year/
• https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
• https://dragos.com/blog/trisis/TRISIS-01.pdf
• Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!, Giorgio Sbaraglia
• Albright, D., Brannan, P., & Walrond, C. (2011). Stuxnet malware and natanz: Update of isis december 22, 2010 report. Institute for Science and International Security, 15, 739883-3
• ARIA – Analysis, Research and Information on Accidents database (2015). Ministry of Environment / General Directorate for Risk Prevention, the BARPI (Bureau forAnalysis of Industrial Risks and Pollutions). At: https://www.aria.developpement-durable.gouv.fr/the-barpi/the-aria-database/?lang=en
• Assante, M. (2018). Triton/TriSIS – In Search of its Twin. SANS Industrial Control Systems. 29 January. Available at: https://ics.sans.org/blog/2018/01/29/tritontrisis-in-search-of-its-twin
• Assante, M. J., & Lee, R. M. (2015). The industrial control system cyber kill chain. SANS Institute InfoSec Reading Room, 1
• Bodenheim, R. C. (2014). Impact of the Shodan computer search engine on internet-facing industrial control system devices (No. AFIT-ENG-14-M-14). AIR FORCE INSTITUTE OF TECHNOLOGY WRIGHT-PATTERSON AFB OH GRADUATE SCHOOL OF ENGINEERING AND MANAGEMENT
• [6] Bodenheim, R., Butts, J., Dunlap, S., & Mullins, B. (2014). Evaluation of the ability of the Shodan search engine to identify Internet-facing industrial control devices. International Journal of Critical Infrastructure Protection, 7(2), 114-123
• Brunner, E.M. & Suter, M. (2009). International CIIP Handbook 2008/2009, CRN handbooks, 4(1)
• Bumiller, E. and Shanker, T. (2012). Panetta Warns of Dire Threat of Cyberattack on U.S, The New York Times, 11 October 2012 available at: http://www.nytimes.com/2012/10/12/world/panetta-warns-of-dire-threat-of-cyberattack.html
• Byres, E., & Lowe, J. (2004, October). The myths and facts behind cyber security risks for industrial control systems. In Proceedings of the VDE Kongress (Vol. 116, pp. 213-218)
• Byres, E., Eng, P., & Fellow, I. S. A. (2012). Using ANSI/ISA-99 standards to improve control system security. White paper, Tofino Security
• Cárdenas, A. A., Amin, S., & Sastry, S. (2008). Research Challenges for the Security of Control Systems. In HotSec
• Cherepanov, A. (2017). WIN32/INDUSTROYER, A new threat for industrial control systems. White paper, ESET (June 2017)
• Conway, T., Lee, R. M., & Assante, M. J. (2016). Analysis of the Cyber Attack on the Ukrainian Power Grid. Electricity Information Sharing and Analysis Center. Available at: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf
• Cook, A., Janicke, H., Smith, R., & Maglaras, L. (2017). The industrial control system cyber defence triage process. Computers & Security, 70, 467-481
• Craig, A. J., & Valeriano, B. (2018) Realism and Cyber Conflict: Security in the Digital Age. Realism in Practice, 85
• DHS (2016). Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies. Industrial Control Systems Cyber Emergency Response Team. https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf [20/05/2019]
• Drias, Z., Serhrouchni, A., & Vogel, O. (2015). Analysis of cyber security for industrial control systems. In Cyber Security of Smart Cities, Industrial Control System and Communications (SSIC), 2015 International Conference on (pp. 1-8). IEEE
• E-ISAC (2016). Analysis of the cyber attack on the Ukrainian power grid. Electricity Information Sharing and Analysis Center (E-ISAC).
• ESET, (2017). ESET discovers dangerous malware designed to disrupt industrial control systems. ESET – Enjoy Safer Technology. 12 June, Available at: https://www.eset.com/us/about/newsroom/press-releases/eset-discovers-dangerous-malware-designed-to-disrupt-industrial-control-systems/
• European Commission (2005). Green Paper on a European programme for critical infrastructure protection, Com. 576 final. Available at: https://eur-lex.europa.eu/legal-content/EN-FR/TXT/?uri=CELEX:52005DC0576&from=BG
• Galloway, B., & Hancke, G. P. (2013). Introduction to industrial control networks. IEEE Communications surveys & tutorials, 15(2), 860-880.
• Higgins, K. J., & Jan, D. (2013). The SCADA patch problem. Information Week. Available at: https://www.darkreading.com/vulnerabilities—threats/the-scada-patch-problem/d/d-id/1138979
• Higgins, K.J. (2018). FireEye Finds New Clue in TRITON/TRISIS Attack. Dark Reading, 6 August. Available at: https://www.darkreading.com/operations/fireeye-finds-new-clues-in-triton-trisis-attack/d/d-id/1332008
• Iversen, W. (2004). Hackers Step Up SCADA Attacks. AutomationWorld. 12 october. Available: https://www.automationworld.com/article/technologies/networking-connectivity/switches-gateways-routers-modems/hackers-step-scada
• Johnson, B., Caban, D., Krotofil, M., Scali, D., Brubaker, N., Glyer, C., (2017). Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure. FireEye. 14 December. Available at: https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
• Kaspersky lab ICS-CERT, (2017). Threat Landscape for Industrial Automation Systems In The Second Half Of 2016, Kaspersky Lab. Available: https://ics-cert.kaspersky.com/reports/2017/03/28/threat-landscape-for-industrial-automation-systems-in-the-second-half-of-2016/
• Langner, R. (2011). Stuxnet: Dissecting a cyberwarfare weapon. IEEE Security & Privacy, 9(3), 49-51.
• Langner, R. (2013). To kill a centrifuge: A technical analysis of what stuxnet’s creators tried to achieve. The Langner Group
• Larson, S. (2018). Threats to Electric Grid are Real; Widespread Blackouts are Not. Dragos, 6 August. Available at: https://dragos.com/blog/20180806ElectricGridThreats.html
• Lee, R. (2017 a). CRASHOVERRIDE: Analysis of the threat to electric grid operations. Dragos Inc., March
• Lee, R. (2017 b). TRISIS Malware: Analysis of Safety System Targeted Malware. Dragos Inc. available at: https://dragos.com/blog/trisis/
• Lee, R. M., Assante, M. J., & Conway, T. (2014). German steel mill cyber-attack. Industrial Control Systems, 30, 62
• Liff, A. P. (2012). Cyberwar: a new ‘absolute weapon’? The proliferation of cyberwarfare capabilities and interstate war. Journal of Strategic Studies, 35(3), 401-428
• Lindsay, J. R. (2013). Stuxnet and the limits of cyber warfare. Security Studies, 22(3), 365-404
• Maurer, T. (2018). Cyber Mercenaries. Cambridge University Press
• McAfee, (2009). In the Crossfire: Critical Infrastructure in the Age of Cyber War. McAfee report. Available at: https://img.en25.com/Web/McAfee/CIP_report_final_uk_fnl_lores.pdf
• McLaughlin, S., Konstantinou, C., Wang, X., Davi, L., Sadeghi, A. R., Maniatakos, M., & Karri, R. (2016). The cybersecurity landscape in industrial control systems. Proceedings of the IEEE, 104(5), 1039-1057
• Moreno, V. C., Reniers, G., Salzano, E., & Cozzani, V. (2018). Analysis of physical and cyber security-related events in the chemical and process industry. Process Safety and Environmental Protection, 116, 621-631
• Napolitano, J. (2009) A New Challenge for Our Age: Securing America Against the Threat of Cyber Attack. Department of Homeland security. 20 October. Available: https://www.dhs.gov/news/2009/10/20/secretary%E2%80%99s-web-address-cybersecurity
• NATO (2019). NATO’s role in cyberspace. NATO Review Magazine, 2019. Available: https://www.nato.int/docu/review/2019/Also-in-2019/natos-role-in-cyberspace-alliance-defence/EN/index.htm
• Nicholson, A., Webber, S., Dyer, S., Patel, T., & Janicke, H. (2012). SCADA security in the light of Cyber-Warfare. Computers & Security, 31(4), 418-436
• NIST (2011). Managing Information Security Risk: Organization, Mission, and Information System View (No. Special Publication (NIST SP)-800-39)
• Rid, T., & McBurney, P. (2012). Cyber-weapons. the RUSI Journal, 157(1), 6-13
• Sadeghi, A. R., Wachsmann, C., & Waidner, M. (2015, June). Security and privacy challenges in industrial internet of things. In Design Automation Conference (DAC), 2015 52nd ACM/EDAC/IEEE (pp. 1-6). IEEE
• Setola, R. (2011), La strategia globale di protezione delle infrastrutture e risorse critiche contro gli attacchi terroristici, Centro Militare di Studi Strategici CEMISS, At: http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pubblicazioni/ricerche/Pagine/Lastrategiaglobalediprotezione.aspx
• Setola R., Faramondi L., Salzano E., & Cozzani, V.(2019). An overview of Cyber Attack to Industrial Control System. Chemical Engineering Transactions vol.75,2019
• Slay, J., & Miller, M. (2007, March). Lessons learned from the maroochy water breach. In International Conference on Critical Infrastructure Protection (pp. 73-82). Springer, Boston, MA
• Stouffer, K., Lightman, S., Pillitteri, V., Abrams, M., & Hahn, A. (2015). Guide to Industrial Control Systems (ICS) Security, NIST special publication 800-82, National Institute of Standards and Technology
• Symantec (2011). Symantec. “SCADA (Supervisory Control and Data Acquisition) security threat landscape”. Available at: https://www.symantec.com/security-center/threat-report
• Tabansky, L. (2011). Critical Infrastructure Protection against cyber threats. Military and Strategic Affairs, 3(2) 61-68
• World Economic Forum (2018), The Global Risks Report 2018, https://www.weforum.org/reports/the-global-risks-report-2018
• World Economic Forum (2019). Global Risks Report 2019. http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
• Peculiarities and challenges of cyber security for the Industrial Control Systems, Giacomo Assenza, Luca Faramondi, Roberto Setola

Note

[1] Byres & Lowe, 2004; Iversen, 2004

[2] McAfee, 2009

[3] Napolitano, 2009

[4] Moreno & Al., 2018

[5] Cárdenas, Amin & Sastry, 2008

[6] ARIA, 2015

[7] Bumiller & Shanker, 2012