Nei 10 anni trascorsi, da quando l’attacco Stuxnet ha interrotto il programma nucleare iraniano, abbiamo assistito a un aumento della sofisticazione e della quantità di attacchi informatici alle infrastrutture OT. L’OT è particolarmente vulnerabile, poiché le minacce che in passato richiedevano una presenza fisica attraverso il trasferimento di file via connettori locali USB (o simili) ora sfruttano la potenza dell’interconnessione con le reti IT. Per questo motivo, la sicurezza OT deve essere al centro dei piani strategici di ogni nazione e non può più essere rimandata. In Italia, però, siamo in ritardo.
Il Rapporto Clusit – Edizione di ottobre 2022 evidenzia ad esempio come nel primo semestre del 2022 si sia registrata una crescita degli attacchi gravi che hanno come obiettivo il settore del manufacturing (+34%) e delle Energy / Utilities (+5,3%), rispetto al primo semestre 2021.
Inoltre, secondo il report 2022 The State of Operational Technology and Cybersecurity, condotto dalla global intelligence dei FortiGuard Labs di Fortinet, i cybercriminali utilizzano sempre più ransomware in ambito OT per paralizzare le infrastrutture critiche nazionali, al fine di chiederne poi un riscatto, oppure creare caos e instabilità. Questo tipo di crimine è sempre più attuale, dato lo scenario geopolitico estremamente complesso che si è determinato a seguito del conflitto russo-ucraino, e per certi aspetti è ancora più grave perché è in grado di condizionarlo.
Quali strumenti possono utilizzare i clienti e lo Stato per uscire da questa impasse? Come implementare un’infrastruttura di sicurezza OT all’avanguardia?
Indice degli argomenti
Cos’è la sicurezza OT
I sistemi OT sono, per loro natura, chiusi e certificati. Quindi, i dispositivi che li compongono sono stati progettati per durare oltre 30 anni, con tecnologia legacy, inizialmente pensata esclusivamente per connessioni interne – con una comunicazione tipicamente machine-to-machine – e non in grado, oggi, di sostenere la connettività imposta dalla trasformazione digitale.
D’altra parte, è proprio nella convergenza tra IT e OT imposta dalla trasformazione digitale, così vantaggiosa in termini di sostenibilità, facilità di gestione, flessibilità, competitività nel settore industriale, e nella conseguente necessità di sistemi industriali sempre più connessi, che va ricercata la causa delle maggiori vulnerabilità e dei nuovi rischi per la sicurezza delle infrastrutture OT.
A fronte dell’impossibilità di rinnovare i macchinari, dati i costi molto spesso insostenibili che questa operazione comporterebbe, l’unica soluzione è quella di implementare infrastrutture di sicurezza OT all’avanguardia.
Obiettivo che richiede strumenti idonei, perché uno dei requisiti base della sicurezza OT è quello della disponibilità delle risorse, che devono essere ininterrottamente accessibili al fine di garantire la continuità operativa, anche da remoto.
Quest’ultimo aspetto, ovvero il collegamento a reti IP e il numero sempre più crescente di endpoint, quali PLC (Programmable Logic Controller), sensori, attuatori e via dicendo, dovuti all’esigenza di monitorare e controllare l’infrastruttura OT da remoto, rende sempre più difficile per le organizzazioni l’identificazione di tutti i dispositivi connessi alla rete e la relativa messa in sicurezza e, conseguentemente, genera un notevole quantitativo di vulnerabilità.
Quindi, seppur relativamente giovane, l’OT security ha notevoli ripercussioni nel campo della sicurezza informatica, sia in termini di security che di safety, perché coinvolge persone, tecnologie e processi di quelle che vengono definite “infrastrutture critiche”.
Come ridurre il rischio informatico negli ambienti OT
“Relativamente alla OT security, siamo ancora molto indietro per una serie di fattori che sono stati anche di ostacolo allo sviluppo dei sistemi di protezione; normalmente uno dei maggiori fattori ostativi è quello economico, ma non è questo il caso. Il governo ha dato la possibilità di finanziare attraverso il PNRR anche la parte di sicurezza, cosa fondamentale. Sono infatti numerosi gli interventi previsti dal PNRR che sottintendono un ricorso alla cybersecurity. E non potrebbe essere altrimenti perché il maggiore ricorso al digitale, alle più moderne tecnologie di comunicazione e al cloud previsto dal PNRR, prevede implicitamente una sempre più ampia ed efficace protezione delle infrastrutture IT e OT. Ma i problemi derivano anche da altro, ovvero dalla difficoltà di proteggere sistemi OT per loro natura chiusi e certificati. Esistono tuttavia degli standard che ci vengono in aiuto”, spiega Aldo Di Mattia, Senior Manager Systems Engineering di Fortinet, compagnia statunitense specializzata nello sviluppo di software, dispositivi e servizi di sicurezza informatica quali firewall, antivirus, sistemi di prevenzione delle intrusioni e di sicurezza degli endpoint. Uno di questi è l’IEC 62443, lo standard internazionale di riferimento per la sicurezza dei sistemi di controllo industriale, che, attraverso una serie di passi successivi, consente ad una azienda di proteggere dalle minacce cyber la propria infrastruttura OT, aumentandone il livello di sicurezza.
IEC 62443, lo standard di riferimento per l’OT Security
Lo standard IEC 62443, facoltativo per il fabbricante, nasce per proteggere l’Industria 4.0 e i sistemi di controllo industriale da eventuali guasti degli impianti, blocco della produzione, costi imprevisti per la riparazione dei sistemi di controllo e perdita di profitto conseguenti ad attacchi hacker, rendendo sicura ed affidabile la condivisione e l’integrità dei dati dall’interno verso l’esterno e viceversa, senza tuttavia compromettere le funzionalità specifiche dei device e degli impianti.
Lo standard, il cui obiettivo quindi è quello di garantire la “safety” dell’impianto, copre tutte le fasi del ciclo di vita previsto dagli IACS (Industrial Automation Control System), partendo dalla fase di analisi e indagine delle vulnerabilità (Risk Assessment), fino al mantenimento nel tempo delle prestazioni di sicurezza contro le minacce cyber e si articola in 4 livelli di sicurezza per la mitigazione del rischio, di complessità crescente, dal Security Level 1 (SL1) per la protezione contro la violazione, la manomissione e i danni occasionali o casuali, al Security Level 4 (SL4) che riguarda la protezione contro la violazione intenzionale con mezzi sofisticati, risorse ingenti, competenze specifiche del sistema e forte motivazione.
“La norma – spiega Di Mattia – impone la creazione di un ambiente segmentato, con zone da cui i flussi di dati non possano fuoruscire, caratterizzate da requisiti specifici da rispettare – il livello massimo ne prevede oltre 100 – attraverso l’utilizzo dei tradizionali sistemi di protezione perimetrale (firewall) ed eventuali VPN per connessioni remote. Essendo uno standard, questi requisiti devono essere rispettati da tutti gli utenti dell’organizzazione siano essi operatori umani, interni ed esterni ad essa, comprendendo quindi non solo il personale ma anche tutti i fornitori e manutentori che interagiscono con l’organizzazione nel suo complesso, che device, processi software e apparecchiature varie che devono interagire con il componente certificato”.
Affinché la protezione degli IACS sia conforme con quanto stabilito dallo standard IEC, è necessario percorrere l’insieme delle fasi che costituiscono il ciclo di vita della sicurezza (IACS Security Lifecycle): Assess (analisi), Implement (implementazione) e Maintain (mantenimento).
Durante la fase di implementazione, l’azienda deve strutturare il proprio Sistema di Gestione della Sicurezza Informatica (CSMS) con specifiche procedure e strategie mirate a prevenire gli attacchi cyber e a proteggere, di conseguenza, i propri sistemi industriali.
Il Purdue model
Lo standard IEC 62443 aumenta il livello di sicurezza, ma non è l’unico a farlo. A supporto della sicurezza degli Industrial Control System e delle funzioni di rete, c’è anche il Purdue model, un’architettura basata su una segmentazione della rete. Introdotta nel 1990, la Purdue Enterprise Reference Architecture (PERA), alias Purdue Model, ha indicando 5 Livelli operativi, da 0 a 4, che individuano in pratica altrettante aree di un sito industriale.
“Si parte da quella che definisce i processi fisici effettivi e dove sono fisicamente collocati i dispositivi (Field Network – Livello 0), quali ad esempio, nel caso dei treni, quelli che permettono di effettuare lo scambio, oppure per le dighe, quelli che consentono di verificare se una valvola è aperta o chiusa, per arrivare all’Enterprise Network (Livello 4), la parte IT dell’azienda, dove vengono effettuati i controlli e viene gestita la sicurezza dello stabilimento”, precisa Di Mattia.
Il Purdue model è un modello di gestione ormai consolidato. La sua applicazione nei rispettivi ambiti di competenza, ICT (dal livello 5 al livello 3 del Purdue Model) e OT (dal livello 3 al livello 0) porta ad avere una visione integrata ed omogena dello spazio cibernetico dell’organizzazione e a collocare in maniera specifica e puntuale i dispositivi di sicurezza.
Il Next Generation Firewall
Tuttavia, con la convergenza IT/OT, per proteggere i propri ICS dagli hacker, non basta più utilizzare approcci come il modello Purdue. Le aziende devono dotarsi anche di nuovi dispositivi e tecnologie. “Ce ne sono moltissime”, aggiunge Di Mattia. “Sicuramente le prime da considerare sono le soluzioni Next Generation Firewall (NGFW). Si tratta di Firewall di nuova generazione, o più precisamente, piattaforme di network security integrate, che hanno cambiato l’approccio alla sicurezza informatica, basandosi su una combinazione di hardware e software sviluppati per rilevare e bloccare gli attacchi più recenti e sofisticati che i firewall tradizionali non sono capaci di gestire.
Infatti, mentre un firewall tradizionale funziona solo sui Layer 3 e 4 del modello Open Systems Interconnection (OSI), i NGFW possono operare fino al Layer 7, ossia a livello dell’applicazione, bloccando le minacce che tentano di infiltrarsi a questo livello del perimetro di rete, tra le più pericolose, prima che avvenga la violazione. Sono dotati di tutte le caratteristiche di un firewall tradizionale, ma con funzionalità più granulari che consentono l’applicazione di policy ancora più rigorose per identità, utente, posizione e applicazione. Quindi rilevano, bloccano, ma soprattutto prevengono le intrusioni e spesso sono muniti di una intelligenza artificiale o lavorano con dei sistemi di machine learning esterni che identificano delle base line con le quali analizzare costantemente il traffico e rilevare minacce potenziali.
FortiGate Next Generation Firewall di Fortinet, ad esempio, utilizza processori di sicurezza e servizi di Threat Intelligence basati sull’intelligenza artificiale forniti dai FortiGuard Labs. Inoltre, i NGFW implementano la cifratura, veicolando i protocolli OT, che per loro natura sono insicuri, all’interno di protocolli cifrati e sicuri che mettono in contatto determinate aree dell’azienda, consentendo a operatori, manutentori e controllori di verificare quale è lo stato dei singoli dispositivi”, precisa il Senior Manager Systems Engineering di Fortinet.
Switch, sandbox e sistemi di deception: l’arte dell’inganno
Proteggere i dispositivi OT, che rispetto a quelli IT hanno una vita molto più lunga in funzione della quale accumulano centinaia di migliaia di vulnerabilità note e non “patchate”, diventa quindi molto complicato se non si ricorre a questo tipo di infrastrutture. Cosa si può fare, come si può intervenire? “Fortinet, ma anche altri vendor, producono degli “switch” avanzati che hanno anche funzioni di base per la sicurezza dei dati. Lo switch di rete “tradizionale” è un dispositivo che permette a due o più dispositivi IT in rete di comunicare tra loro e condividere le risorse”, spiega Di Mattia.
In quelli più avanzati le funzioni vanno oltre la semplice interconnessione LAN e possono essere considerate un sottoinsieme di quelle che tipicamente si trovano su altri dispositivi di rete, come i router e i firewall. Sono infatti in grado di creare “reti virtuali” che isolano tra loro i gruppi di sistemi di rete in base a configurazioni fornite dagli amministratori di rete, consentendo di collegare un gran numero di sistemi a un’unica rete fisica e segmentando in modo sicuro alcuni sistemi rispetto al resto.
“Questa capacità – precisa Di Mattia – è molto utile nel caso dei dispositivi OT, decisamente sensibili anche a piccole modifiche della rete. Gli switch permettono di lasciare tutti i dispositivi OT all’interno della stessa rete, isolandoli tra loro; un concetto che nel networking tradizionale non esiste, laddove dispositivi afferenti alla stessa rete solitamente si vedono tra loro. In questo caso, invece, gli switch li nascondono. Facendo una scansione della rete, infatti, lo switch maschera tutti gli elementi e fa in modo che l’uno non veda l’altro, se non attraverso le regole del Next Generation Firewall.
Inserendo all’interno del firewall la collaborazione con una sandbox, termine con il quale si intende un ambiente sterile costituito da una macchina virtuale isolata dal resto del computer, si possono lanciare file sospetti che vengono quindi “esplosi” all’interno di contesti sicuri senza rischiare di danneggiare dispositivi o la rete, per analizzarne il comportamento e verificare eventuali effetti all’interno dei sistemi OT, cercando di neutralizzarli nel caso ad esempio di malware”.
In aggiunta agli switch, si possono utilizzare i cosiddetti sistemi di deception, attivando la Cyber Deception Technology, cioè l’arte dell’inganno come strategia difensiva.
Così facendo, si mette in atto un’architettura di sicurezza al di fuori dei canoni tradizionali che, invece di allontanare e respingere il nemico, lo attira con l’inganno per studiare le sue mosse e per vincerlo sul suo stesso terreno.
“Il deceptor crea degli “honeypot”, cioè dei bersagli “facili”, nel nostro caso dei sistemi OT finti, che fungono da esca nel caso in cui qualcuno penetri nell’infrastruttura, mentre gli switch mascherano tutti i sistemi veri. Lo scopo è quello di guadagnare tempo per monitorare il comportamento dell’attaccante, scoprendo il più possibile sulle strategie di hacking non conosciute dalla community di cyber security”, precisa Di Mattia.
XDR, Siem e Soar: che cosa sono?
Infine, tra i tanti acronimi che caratterizzano il gergo degli analisti e degli specialisti del settore della sicurezza informatica, vanno ricordati gli XDR, cioè gli Extended Detection and Response che sono sistemi evolutivi di protezione client che, estendendosi oltre gli endpoint e raccogliendo e correlando automaticamente i dati su più vettori di sicurezza, forniscono rilevamento, analisi e risposta anche su reti, server, carichi di lavoro cloud e Siem, oltre ad una migliore visibilità del contesto relativo alle minacce, in modo che gli analisti della sicurezza possano rispondere rapidamente, prima che la minaccia si propaghi all’interno della rete.
I Siem, acronimo di Security Information & Event Management, raccolgono, aggregano, analizzano e archiviano tutte le informazioni e forniscono dei log parlanti alle figure e agli specialisti che si occupano di sicurezza all’interno dell’organizzazione. Infine, i Security Orchestration & Automated Response (SOAR) consentono di intraprendere delle azioni in maniera specifica e, dove è possibile, di automatizzarle attraverso un ecosistema di soluzioni di sicurezza connesso tramite API.
L’insieme di tutti questi strumenti permette, senza modificare l’infrastruttura OT, di assicurarne tutte le funzionalità, di non interromperne l’operatività e di non compromettere la sicurezza dell’impianto.
Le prospettive
Per quanto riguarda il futuro più prossimo, in conclusione, la minaccia più temibile è quella ransomware per gli asset OT. “Data l’importanza delle infrastrutture critiche per la sicurezza nazionale, le risorse OT accessibili sono un obiettivo attraente per gli chi vuole colpire le infrastrutture critiche a scopo di lucro o perseguire altri obiettivi. Si tratta di una minaccia molto grave, alla quale occorre far fronte con tutti gli strumenti di cui disponiamo. La denuncia viene anche dalla Cybersecurity & Infrastructure Security Agency (Cisa) Usa, che ha diffuso una guida su come mitigare e rispondere a possibili attacchi del cybercrime.
Oltre ai ransomware, che hanno messo sotto scacco nel mondo centinaia di aziende e infrastrutture prendendo in ostaggio i dispositivi e restituendoli solo dopo il pagamento di un riscatto, sono nuovamente comparsi i “wiper”, virus malevoli che sembravano essere stati sostituiti dai ransomware ma che hanno avuto una ricomparsa proprio con la guerra in Ucraina, ancora più temibili perché cancellano definitivamente i dati, mettendo KO le infrastrutture critiche”, conclude Di Mattia.
