Best practice per la sicurezza negli ambienti OT

L’incidenza dell’AI sulle variabili organizzative

21 Gennaio 2025

Published by David Licursi at 22 Gennaio 2025

1. Generalità

Gli ambienti OT sono caratterizzati da peculiarità proprie che proiettano la necessità di proteggere questi apparati su un trade-off che vede l’opposizione di due elementi: la security e la safety.

In primo luogo, gli ambienti ICS si caratterizzano per lo scambio di grandissime quantità di informazioni che vengono continuamente inviate e ricevute da una pletora complessa di fonti e soggetti, nel formato di pacchetti dalle piccole dimensioni dell’ordine di pochi byte.

Questo si lega all’altro aspetto essenziale degli ICS, ossia quello di dover rispondere a un vincolo di hard real-time. Infatti, gli impianti OT sono disegnati per interfacciarsi con “sistemi fisici” come reazioni chimiche, flussi di liquidi, processi di riscaldamento e raffreddamento, movimenti di oggetti etc.

Gli impianti OT devono dunque operare ed adattarsi alle dinamiche e ai tempi richiesti dalla logica del processo supervisionato. Questo implica un alto livello di determinismo dove il meccanismo deve necessariamente passare attraverso una precisa sequenza di input, e in un intervallo di tempo ben determinato, per produrre l’output desiderato.

Dunque, l’applicazione di misure classiche di cyber-security quali cifratura, antivirus, firewalls e firma digitale, risulterebbe particolarmente problematica in quanto introdurrebbe controlli di routine che rischiano di compromettere il fluido funzionamento delle attività, generando un elevato overhead che, anche a causa della natura asincrona di tali processi, rischia di compromettere il normale ciclo di funzionamento introducendo pericolosi e inaccettabili ritardi dell’elaborazione del dato.

Infine, un altro fattore che limita l’introduzione di misure di sicurezza, è la difficoltà di operare azioni di manutenzione del sistema. Gli ICS sono infatti disegnati per operare a ciclo continuo 24×365, o almeno fino a quando il processo controllato è attivo.

Ne consegue che gli interventi di aggiornamento, upgrade e patching, che richiedono un periodo di downtime dell’infrastruttura, devono essere pianificati con largo anticipo e non possono seguire pedissequamente le innovazioni in ambito di sicurezza (Cook & Al., 2017). Inoltre, tali attività sono considerate rischiose in quanto qualsiasi modifica del sistema, in un ambiente complesso e caratterizzato dal requisito di hard real-time, potrebbe creare effetti inaspettati.

Gli interventi sul software richiedono dunque intense attività di testing, generalmente indicate come processo di convalida, il cui costo in termini monetari e di tempo è significativo oltre che, in molti casi, imposto e regolato da specifiche norme e procedure pensate in modo quasi esclusivo con un’ottica di salvaguardia dell’integrità e tracciabilità del processo e della safety dei lavoratori e degli utenti (McLaughlin & Al., 2016).

In altre parole, una volta istallati e certificati, gli ICS rimangono spesso operativi per decenni con interventi di manutenzione sui sistemi controllo ridotti al minimo, il che implica in molti casi l’utilizzo di software obsoleti sui quali il processo di patching e aggiornamento non è effettuato in modo sempre tempestivo.

Uno studio condotto alcuni anni fa da una società specializzata negli USA ha evidenziato che il tempo medio per l’applicazione di una patch di sicurezza era di 350 giorni con alcuni episodi nei quali l’istallazione era stata effettuata solo 3 anni dopo il rilascio della patch. Una diversa ricerca ha, addirittura evidenziato, che solo il 10% degli operatori installa patch e aggiornamenti mentre il restante lascia i propri sistemi suscettibili di essere attaccati (Bodenheim, 2014).

Inoltre, la maggior parte delle apparecchiature presenti in ambito industriale non è in grado di gestire misure di sicurezza sofisticate, infatti la maggior parte dei PLC (Programmable Logic Controller) installati sono dimensionati rispetto al ciclo di funzionamento proprio del processo da controllare e non hanno capacità di calcolo per elaborare ulteriori informazioni (Higgins & Jan, 2013).

Infine, nel 2011 Symantec ha pubblicato un report in cui evidenziava 129 vulnerabilità che interessano i prodotti ICS (Symantec, 2011), mentre solo un anno dopo ne sono state individuate 171, mostrando un trend di crescita di oltre il 40% in un sol anno e che difficilmente subirà delle inversioni in futuro.

2. Alcuni attacchi recenti

Ecco alcuni esempi di attacchi recenti, ma non sono gli unici.

2.1. Colonial Pipeline (2021)

attacco ransomware che ha preso di mira i sistemi informatici dell’oleodotto, provocando l’arresto precauzionale delle operazioni. L’attacco ha preso di mira la “terza rete”, provocando l’arresto dell’oleodotto vero e proprio per eccesso di prudenza.

2.2. Volt Typhoon (2023)

un gruppo di spionaggio informatico sostenuto dalla Cina ha compromesso i sistemi informatici di infrastrutture critiche di diversi settori negli Stati Uniti. Tra questi, le comunicazioni, l’energia, i trasporti e i sistemi idrici, a dimostrazione della minaccia pervasiva alla sicurezza nazionale.

2.3. Impianto di filtrazione dell’acqua di Muleshoe (2023)

un’intrusione informatica ha portato allo straripamento di un serbatoio d’acqua in una piccola città del Texas, sfruttando la vulnerabilità dell’infrastruttura locale attraverso un dispositivo informatico ad accesso remoto.

2.4. Porti marittimi australiani (2023)

un attacco ransomware a quattro importanti porti marittimi australiani ha causato interruzioni significative, costringendo a una chiusura di una settimana che ha avuto un impatto sulle importazioni e sulle esportazioni.

2.5. Laboratorio di patologia Synnovis (2024)

un attacco ransomware ha interrotto i servizi diagnostici di un importante laboratorio di patologia di Londra, ritardando le cure mediche per i pazienti ed evidenziando l’impatto diretto dei cyberattacchi sulla fornitura di assistenza sanitaria.

3. Le best practice per la sicurezza OT

Le tecnologie operative sono molto varie, così come le soluzioni di sicurezza oggi disponibili.Ttuttavia, per una strategia di sicurezza OT efficace, ci sono alcuni passaggi generali da compiere che affrontiamo nel seguito.

3.1. Mantenimento di un inventory dettagliato di tutti i dispositivi IT, OT, IoT e IoMT

È importante assicurarsi che il team sia in grado di identificare in tempo reale la posizione digitale di tutti i dispositivi sulla rete; in questo modo, sarà più facile individuare la superficie di attacco e identificare le cause dei problemi. Tale inventory è fondamentale e deve includere asset fisici, virtuali, gestiti e non gestiti. Un asset inventory completo aiuta le organizzazioni a comprendere la loro superficie di attacco e a implementare misure di sicurezza mirate. Inoltre, aiuta a identificare e ridurre i rischi associati a dispositivi obsoleti o non supportati.

3.2. Adozione di un framework zero trust

Lo zero trust presuppone che qualsiasi dispositivo, utente o rete possa essere una minaccia, fino all’autenticazione dell’entità in questione. L’autenticazione a più fattori è un elemento fondamentale per la gestione dell’attendibilità e della vulnerabilità.

3.3. Adozione di una microsegmentazione a livello di applicazione

A differenza della tradizionale segmentazione della rete piatta, la microsegmentazione impedisce agli utenti, compresi gli operatori interni malintenzionati, di individuare le applicazioni a cui non sono autorizzati ad accedere.

3.4. Gestione delle identità e degli accessi

La gestione delle identità e il controllo degli accessi sono estremamente importanti negli ambienti IT, ma lo sono ancor più negli ambienti OT, dove le compromissioni possono essere fisicamente distruttive e persino pericolose per la sicurezza delle persone.

3.5. Formazione del personale

Aiutare i dipendenti a comprendere i tipi di minacce che possono aspettarsi di affrontare e i potenziali vettori di tali minacce può ridurre enormemente il rischio complessivo.

3.6. Implementazione di controlli di resilienza e compensazione

Adottare un approccio alla sicurezza a più livelli, assicurando che siano presenti controlli compensativi per mitigare i rischi. Le misure di sicurezza devono essere dinamiche e adattabili all’evoluzione del panorama delle minacce. Questo include l’implementazione di un approccio cooperativo che coinvolga l’intero stack di sicurezza e che comprenda, ma non solo, i controlli di accesso, i sistemi di rilevamento delle intrusioni (IDS), i sistemi di prevenzione delle intrusioni (IPS) e la segmentazione della rete per isolare i sistemi critici e prevenire il movimento laterale delle minacce.

3.7. Conformità normativa e security frameworks

La conformità normativa (ad esempio, NIST, NERC) è essenziale, ma deve essere considerata come la linea di base. Le organizzazioni dovrebbero inoltre aderire a quadri di sicurezza completi come MITRE ATT&CK e seguire le indicazioni della Cybersecurity and Infrastructure Security Agency (CISA). Questi framework forniscono un approccio strutturato per identificare, mitigare e rispondere alle minacce alla sicurezza.

3.8. Adozione di un approccio olistico alla sicurezza

Evitare operazioni di sicurezza separate. È importante assicurarsi che le pratiche di sicurezza OT possano affrontare problemi di sicurezza IT più ampi. Anche negli ambienti air-gapped, è necessaria una visione olistica, poiché i dispositivi IT spesso coesistono con i sistemi OT. Ciò include l’integrazione dei team di sicurezza IT e OT, la condivisione delle informazioni sulle minacce e il coordinamento delle attività di risposta agli incidenti.

3.9. Collaborazione con la community e incident reporting

Impegnarsi con la comunità della sicurezza per condividere conoscenze e best practice. Partecipare a forum di settore, gruppi di condivisione delle informazioni e iniziative di collaborazione. Incoraggiare una cultura di trasparenza e vigilanza, in cui le anomalie e le potenziali minacce siano prontamente segnalate e affrontate. Sfruttare la conoscenza collettiva della comunità della sicurezza può migliorare la capacità di un’organizzazione di rilevare e rispondere alle minacce emergenti.

3.10. Pianificazione dettagliata di risposta agli incidenti

Sviluppare e mantenere un piano dettagliato di risposta agli incidenti che includa procedure per gli ambienti IT e OT. Il piano deve delineare ruoli e responsabilità, protocolli di comunicazione e fasi di contenimento, eliminazione e ripristino. Testare e aggiornare regolarmente il piano di risposta agli incidenti attraverso esercitazioni e simulazioni per garantire la preparazione a scenari reali.

3.11. Monitoraggio continuo e proattivo e threat hunting

Implementare il monitoraggio continuo delle reti IT e OT per rilevare e rispondere alle attività sospette in tempo reale. Utilizzare tecnologie di deception avanzate, come il machine learning e l’’intelligenza artificiale, per identificare anomalie e potenziali minacce quando sono ancora in fase di formulazione. Esercitazioni regolari di caccia alle minacce per cercare in modo proattivo gli indicatori di compromissione (IoC) e le vulnerabilità all’interno dell’ambiente. Monitorare l’intero ecosistema alla ricerca di attività sospette. Identificare le attività insolite o anomale nella rete, compreso il traffico dei fornitori e dei service provider, è fondamentale per ridurre i rischi di sicurezza e preservare un profilo di sicurezza robusto.

Bibliografia

http://www.mix-it.net
https://www.rt.com/news/snowden-nsa-interview-surveillance-831/
http://www.giorgiosbaraglia.it/la-guerra-cibernetica-caso-piu-famoso/
https://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_18Mar2016.pdf
https://nulltx.com/ukraines-power-grid-hacked-twice-in-one-year/
https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
https://dragos.com/blog/trisis/TRISIS-01.pdf
Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!, Giorgio Sbaraglia
Albright, D., Brannan, P., & Walrond, C. (2011). Stuxnet malware and natanz: Update of isis december 22, 2010 report. Institute for Science and International Security, 15, 739883-3
ARIA – Analysis, Research and Information on Accidents database (2015). Ministry of Environment / General Directorate for Risk Prevention, the BARPI (Bureau forAnalysis of Industrial Risks and Pollutions). At: https://www.aria.developpement-durable.gouv.fr/the-barpi/the-aria-database/?lang=en
Assante, M. (2018). Triton/TriSIS – In Search of its Twin. SANS Industrial Control Systems. 29 January. Available at: https://ics.sans.org/blog/2018/01/29/tritontrisis-in-search-of-its-twin
Assante, M. J., & Lee, R. M. (2015). The industrial control system cyber kill chain. SANS Institute InfoSec Reading Room, 1
Bodenheim, R. C. (2014). Impact of the Shodan computer search engine on internet-facing industrial control system devices (No. AFIT-ENG-14-M-14). AIR FORCE INSTITUTE OF TECHNOLOGY WRIGHT-PATTERSON AFB OH GRADUATE SCHOOL OF ENGINEERING AND MANAGEMENT
Bodenheim, R., Butts, J., Dunlap, S., & Mullins, B. (2014). Evaluation of the ability of the Shodan search engine to identify Internet-facing industrial control devices. International Journal of Critical Infrastructure Protection, 7(2), 114-123
Brunner, E.M. & Suter, M. (2009). International CIIP Handbook 2008/2009, CRN handbooks, 4(1)
Bumiller, E. and Shanker, T. (2012). Panetta Warns of Dire Threat of Cyberattack on U.S, The New York Times, 11 October 2012 available at: http://www.nytimes.com/2012/10/12/world/panetta-warns-of-dire-threat-of-cyberattack.html
Byres, E., & Lowe, J. (2004, October). The myths and facts behind cyber security risks for industrial control systems. In Proceedings of the VDE Kongress (Vol. 116, pp. 213-218)
Byres, E., Eng, P., & Fellow, I. S. A. (2012). Using ANSI/ISA-99 standards to improve control system security. White paper, Tofino Security
Cárdenas, A. A., Amin, S., & Sastry, S. (2008). Research Challenges for the Security of Control Systems. In HotSec
Cherepanov, A. (2017). WIN32/INDUSTROYER, A new threat for industrial control systems. White paper, ESET (June 2017)
Conway, T., Lee, R. M., & Assante, M. J. (2016). Analysis of the Cyber Attack on the Ukrainian Power Grid. Electricity Information Sharing and Analysis Center. Available at: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf
Cook, A., Janicke, H., Smith, R., & Maglaras, L. (2017). The industrial control system cyber defence triage process. Computers & Security, 70, 467-481
Craig, A. J., & Valeriano, B. (2018) Realism and Cyber Conflict: Security in the Digital Age. Realism in Practice, 85
DHS (2016). Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies. Industrial Control Systems Cyber Emergency Response Team. https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf [20/05/2019]
Drias, Z., Serhrouchni, A., & Vogel, O. (2015). Analysis of cyber security for industrial control systems. In Cyber Security of Smart Cities, Industrial Control System and Communications (SSIC), 2015 International Conference on (pp. 1-8). IEEE
E-ISAC (2016). Analysis of the cyber attack on the Ukrainian power grid. Electricity Information Sharing and Analysis Center (E-ISAC).
ESET, (2017). ESET discovers dangerous malware designed to disrupt industrial control systems. ESET – Enjoy Safer Technology. 12 June, Available at: https://www.eset.com/us/about/newsroom/press-releases/eset-discovers-dangerous-malware-designed-to-disrupt-industrial-control-systems/
European Commission (2005). Green Paper on a European programme for critical infrastructure protection, Com. 576 final. Available at: https://eur-lex.europa.eu/legal-content/EN-FR/TXT/?uri=CELEX:52005DC0576&from=BG
Galloway, B., & Hancke, G. P. (2013). Introduction to industrial control networks. IEEE Communications surveys & tutorials, 15(2), 860-880.
Higgins, K. J., & Jan, D. (2013). The SCADA patch problem. Information Week. Available at: https://www.darkreading.com/vulnerabilities—threats/the-scada-patch-problem/d/d-id/1138979
Higgins, K.J. (2018). FireEye Finds New Clue in TRITON/TRISIS Attack. Dark Reading, 6 August. Available at: https://www.darkreading.com/operations/fireeye-finds-new-clues-in-triton-trisis-attack/d/d-id/1332008
Iversen, W. (2004). Hackers Step Up SCADA Attacks. AutomationWorld. 12 october. Available: https://www.automationworld.com/article/technologies/networking-connectivity/switches-gateways-routers-modems/hackers-step-scada
Johnson, B., Caban, D., Krotofil, M., Scali, D., Brubaker, N., Glyer, C., (2017). Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure. FireEye. 14 December. Available at: https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
Kaspersky lab ICS-CERT, (2017). Threat Landscape for Industrial Automation Systems In The Second Half Of 2016, Kaspersky Lab. Available: https://ics-cert.kaspersky.com/reports/2017/03/28/threat-landscape-for-industrial-automation-systems-in-the-second-half-of-2016/
Langner, R. (2011). Stuxnet: Dissecting a cyberwarfare weapon. IEEE Security & Privacy, 9(3), 49-51.
Langner, R. (2013). To kill a centrifuge: A technical analysis of what stuxnet’s creators tried to achieve. The Langner Group
Larson, S. (2018). Threats to Electric Grid are Real; Widespread Blackouts are Not. Dragos, 6 August. Available at: https://dragos.com/blog/20180806ElectricGridThreats.html
Lee, R. (2017 a). CRASHOVERRIDE: Analysis of the threat to electric grid operations. Dragos Inc., March
Lee, R. (2017 b). TRISIS Malware: Analysis of Safety System Targeted Malware. Dragos Inc. available at: https://dragos.com/blog/trisis/
Lee, R. M., Assante, M. J., & Conway, T. (2014). German steel mill cyber-attack. Industrial Control Systems, 30, 62
Liff, A. P. (2012). Cyberwar: a new ‘absolute weapon’? The proliferation of cyberwarfare capabilities and interstate war. Journal of Strategic Studies, 35(3), 401-428
Lindsay, J. R. (2013). Stuxnet and the limits of cyber warfare. Security Studies, 22(3), 365-404
Maurer, T. (2018). Cyber Mercenaries. Cambridge University Press
McAfee, (2009). In the Crossfire: Critical Infrastructure in the Age of Cyber War. McAfee report. Available at: https://img.en25.com/Web/McAfee/CIP_report_final_uk_fnl_lores.pdf
McLaughlin, S., Konstantinou, C., Wang, X., Davi, L., Sadeghi, A. R., Maniatakos, M., & Karri, R. (2016). The cybersecurity landscape in industrial control systems. Proceedings of the IEEE, 104(5), 1039-1057
Moreno, V. C., Reniers, G., Salzano, E., & Cozzani, V. (2018). Analysis of physical and cyber security-related events in the chemical and process industry. Process Safety and Environmental Protection, 116, 621-631
Napolitano, J. (2009) A New Challenge for Our Age: Securing America Against the Threat of Cyber Attack. Department of Homeland security. 20 October. Available: https://www.dhs.gov/news/2009/10/20/secretary%E2%80%99s-web-address-cybersecurity
NATO (2019). NATO’s role in cyberspace. NATO Review Magazine, 2019. Available: https://www.nato.int/docu/review/2019/Also-in-2019/natos-role-in-cyberspace-alliance-defence/EN/index.htm
Nicholson, A., Webber, S., Dyer, S., Patel, T., & Janicke, H. (2012). SCADA security in the light of Cyber-Warfare. Computers & Security, 31(4), 418-436
NIST (2011). Managing Information Security Risk: Organization, Mission, and Information System View (No. Special Publication (NIST SP)-800-39)
Rid, T., & McBurney, P. (2012). Cyber-weapons. the RUSI Journal, 157(1), 6-13
Sadeghi, A. R., Wachsmann, C., & Waidner, M. (2015, June). Security and privacy challenges in industrial internet of things. In Design Automation Conference (DAC), 2015 52nd ACM/EDAC/IEEE (pp. 1-6). IEEE
Setola, R. (2011), La strategia globale di protezione delle infrastrutture e risorse critiche contro gli attacchi terroristici, Centro Militare di Studi Strategici CEMISS, At: http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pubblicazioni/ricerche/Pagine/Lastrategiaglobalediprotezione.aspx
Setola R., Faramondi L., Salzano E., & Cozzani, V.(2019). An overview of Cyber Attack to Industrial Control System. Chemical Engineering Transactions vol.75,2019
Slay, J., & Miller, M. (2007, March). Lessons learned from the maroochy water breach. In International Conference on Critical Infrastructure Protection (pp. 73-82). Springer, Boston, MA
Stouffer, K., Lightman, S., Pillitteri, V., Abrams, M., & Hahn, A. (2015). Guide to Industrial Control Systems (ICS) Security, NIST special publication 800-82, National Institute of Standards and Technology
Symantec (2011). Symantec. “SCADA (Supervisory Control and Data Acquisition) security threat landscape”. Available at: https://www.symantec.com/security-center/threat-report
Tabansky, L. (2011). Critical Infrastructure Protection against cyber threats. Military and Strategic Affairs, 3(2) 61-68
World Economic Forum (2018), The Global Risks Report 2018, https://www.weforum.org/reports/the-global-risks-report-2018
World Economic Forum (2019). Global Risks Report 2019. http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
Peculiarities and challenges of cyber security for the Industrial Control Systems, Giacomo Assenza, Luca Faramondi, Roberto Setola
https://www.agendadigitale.eu/sicurezza/la-cybersecurity-nellera-ot-come-proteggere-le-infrastrutture-critiche/
https://www.zscaler.com/it/resources/security-terms-glossary/what-is-operational-technology-ot-security

Condividi su: