Cyber security: minacce e rischi
Nel recente report dell’Enisa, l’agenzia europea che si occupa di sicurezza delle reti e delle informazioni, si parla anche dei trend e delle minacce alla security dei sistemi di automazione, controllo e telecontrollo a presidio di macchinari e impianti
di Enzo Maria Tieghi
A fine gennaio l’Enisa, l’agenzia europea per la Network and Information Security, ha rilasciato il report “Enisa Threat Landscape Report 2018 – 15 Top Cyberthreats and Trends”. Si tratta di un documento sullo stato della cyber security nell’Unione Europea e a livello globale. A livello generale il report Enisa evidenzia che: i messaggi di posta e di phishing sono diventati il principale vettore di infezione da malware; i kit di exploit hanno perso la loro importanza nel panorama del cyberthreat; i cryptominer sono diventati un importante vettore di monetizzazione per i criminali informatici; gli agenti sponsorizzati dallo Stato si rivolgono sempre più alle banche utilizzando i vettori di attacco utilizzati nel crimine informatico; migliorare skill e capability sono l’obiettivo principale di chi si deve difendere, e le organizzazioni pubbliche lottano per fidelizzare il personale a causa della forte concorrenza con l’industria nell’attirare i talenti della sicurezza informatica; l’orientamento tecnico della maggior parte dell’intelligence rivolta al cyberthreat è considerato un ostacolo alla sensibilizzazione del management; l’intelligence deve rispondere agli attacchi sempre più automatizzati con nuovi approcci e l’utilizzo di strumenti e competenze a loro volta automatizzati; l’emergere di ambienti IoT rimane un problema a causa della mancanza di meccanismi di protezione nei dispositivi e nei servizi IoT di fascia bassa, così la necessità di architetture e buone pratiche di protezione IoT generiche è ora ancora più pressante; l’assenza di soluzioni di intelligence cyberthreat per PMI e utenti finali deve essere affrontata sia dai fornitori che dai governi.
Preferire la visibilità all’oscurità
Occupandoci da anni del tema OT/ICS cyber security, siamo andati a vedere che cosa si può trovare nel report Enisa con specifico riferimento a proposito di rischi, minacce e accadimenti relativi a problemi di security per sistemi e reti di automazione, controllo e telecontrollo a presidio di macchinari e impianti nell’Industria e nelle Utility.
Ecco tre consigli che tutti gli operatori del settore industriale e delle utilities dovrebbero tenere in considerazione.Il primo è preferire la visibilità all’oscurità: oggi, uno dei motti più azzeccati per meglio proteggere reti e sistemi di fabbrica è sicuramente “Security-by-Visibility”, in contrapposizione alla “Security-by-Obscurity” che per lungo tempo è stato uno dei mantra della cyber security industriale, ovvero cercare di “nascondere” il sistema da proteggere, rendendolo meno visibile, e coprirne le caratteristiche per renderlo meno attaccabile. Nel tempo si è visto che questo tipo di approccio “Security-by-obscurity” non rende il sistema più sicuro.
Quindi ora si preferisce adottare contromisure adeguate alla criticità e importanza del sistema ICS, e al contempo avere la massima visibilità su quanto succede in rete e sul sistema per accorgersi il prima possibile di eventuali anomalie di comportamento che possano dare indizi su eventuali compromissioni in atto e incidenti incombenti.
Nel febbraio 2018 è stato segnalato il primo episodio di malware di cryptomining (un server utilizzato per svolgere catene di cryptovalute) trovato nei sistemi SCADA di una utility idrica, collegato a Internet. Questo incidente non è stato l’unico.
Ne consegue che un sistema collegato a internet, con scarsa protezione perimetrale, è facilmente compromissibile. In secondo luogo, è indispensabile avere visibilità su quanto avviene nei sistemi ICS per accorgersi all’istante se ci sia incorso qualche attività non prevista e potenzialmente malevola.
Non solo proteggere il perimetro ma anche segmentare e segregare
Da sempre suggeriamo di segmentare la rete e segregare in modo adeguato i componenti più critici del sistema di controllo.
A questo riguardo lo standard IEC 62443, riprendendo il cosiddetto modello PERA (Purdue Enterprise Reference Architecture), approfondito anche in ISA-95 e ISA99, definisce come la suddivisione in zone debba essere seguita, e come limitare al massimo i conduit che permettono comunicazioni di informazioni tra una zona e l’altra, che dovranno poi essere presidiati adeguatamente.
Nel report si spiega che “Il 64% dei principali incidenti che riguardavano sistemi o reti di controllo industriale sono stati ransomware” (nel 2018).
Nella stragrande maggioranza, il ransomware arriva sulla rete del sistema OT/ICS che gestisce l’impianto o la macchina in fabbrica, come “danno collaterale” di un allegato di email o di una navigazione su un sito infetto aperto da un PC negli uffici di sede.
Quasi sempre, una volta arrivato sulla rete di stabilimento il ransomware ha vita facile a propagarsi, infettare altri PC, bloccare il funzionamento criptando i dischi e rendendo inutilizzabile il sistema, e di conseguenza bloccare i sistemi di automazione e controllo.
Tre problematiche principali
Ora, a nostro modo di vedere qui si evidenziano tre ordini di problemi. Le policy di awareness/training di security delle aziende coinvolte non sono così efficaci e qualcuno ancora apre allegati di posta infetti o naviga su siti poco raccomandabili. Le contromisure tecnologiche di security adottate non sono adeguate a bloccare queste campagne di ransomware. Il fatto che un ransomware che colpisce la rete di ufficio venga a propagarsi nella rete di fabbrica evidenzia il fatto che non ci sia una protezione perimetrale, né una corretta segmentazione della rete, né una segregazione adeguata dei computer più critici nei reparti di produzione.
E molto probabilmente risulta lacunosa anche la pratica di effettuare correttamente i backup di tutti i sistemi utilizzati in fabbrica (PC, PLC, SCADA e via dicendo): questo, anche in caso di incidente, potrebbe limitare i danni a poche ore di fermo, senza causare giorni e giorni di mancata produzione o erogazione del servizio.
Limitare l’accesso da remoto ai sistemi industriali
Nel report ETL2018 di Enisa si evidenzia come la distribuzione indiscriminata di RAT (Remote Access Tool) sui sistemi ICS sia una pratica diffusa e che procura grossi fastidi. Sono infatti installati sul 40% dei computer nei sistemi ICS.
Ma se poi scendiamo nel dettaglio della ricerca Kaspersky richiamata nel report ETL2018, scopriamo anche che questi tool sono installati legittimamente solo su meno di un terzo dei sistemi ICS. Emerge quindi nuovamente un problema di scarsa “visibilità” sul sistema ICS.
La figura 2 tratta da un recente rapporto che rivela i venti principali paesi in cui sono stati utilizzati i RAT almeno una volta in incidenti di spionaggio durante il primo semestre del 2018.
Autore: Enzo Maria Tieghi, Ceo di ServiTecno e membro del comitato scientifico del Clusit.