Cisco: quale sicurezza per le reti di controllo industriali, contro i nuovi malware

I sistemi di controllo industriali, noti con il nome di ICS (Industrial Control Systems), rappresentano nella maggior parte dei casi il cuore delle infrastrutture critiche. I sistemi ICS e le relative reti di controllo sono sempre più esposte alle minacce cyber a causa dell’adozione sempre più diffusa su queste reti del protocollo IP per la comunicazione, l’uso di sistemi operativi ed applicazioni commerciali ed in ultima analisi l’apertura verso Internet.

In questo articolo useremo sempre il termine ICS. Questo termine viene spesso in letteratura scambiato con il termine PCN (Process Control Network), tipicamente più in uso nel settore manifatturiero. Si sente anche spesso parlare di sistemi SCADA (Supervisory Control And Data Acquisition), sebbene questi siano in realtà un sottoinsieme dei sistemi ICS.

I sistemi ICS sono nati come ambienti chiusi, a compartimenti isolati e per questo motivo senza protezioni cyber. Allo stesso tempo le soluzioni per una protezione cyber tipica degli ambienti IT non può essere applicata senza adattamenti al mondo industriale, pena il rischio di creare incidenti gravi sia all’ambiente che all’uomo. Per questo motivo si rende necessario in questi casi un approccio alla protezione cyber che sia ‘ICS-aware’, al fine di ridurre al minimo la probabilità di impatti negativi sull’erogazione e continuità del servizio che la rete di controllo dell’infrastruttura critica va a servire.

Ci sono 3 trend rilevanti che riguardano la cybersecurity in ambito industriale:

• L’aumento del malware specificatamente sviluppato per attaccare reti ICS;
• La dimostrazione che attacchi ‘datacinetici’, ossia attacchi cyber con conseguenze sul mondo fisico, sono reali ed attuali (Stuxnet, BlackEnergy e Havex);
• Il fatto che con l’avvento del mondo IoT e lo sviluppo di reti ICS moderne, crescono gli investimenti in questo settore e quindi anche l’attenzione delle organizzazioni criminali verso di esso.

Inoltre vediamo 3 aspetti specifici e preoccupanti del malware ICS:

• Il livello di sofisticazione del malware implica la presenza di attaccanti fortemente motivati, preparati e ben finanziati;
• Il tempo che intercorre fra l’infezione e l’individuazione del malware si misura tipicamente in anni, con gravi conseguenze e danni a carico della vittima. Stuxnet è stato lanciato nel 2008 e scoperto nel 2010; BlackEnergy e Havex sono stati lanciati nel 2011 ed individuati 2 o 3 anni dopo;
• Il malware ICS può essere studiato dalla vittima, re-ingegnerizzato e usato come ritorsione verso l’attaccante o verso altri obiettivi. Parlando di infrastrutture critiche, spesso gli attori sono le nazioni .

Stuxnet, sebbene sia stato l’attacco datacinetico più noto, rappresenta solo un esempio di uno scenario ben più ampio ed articolato. Recentemente è stato rivelato che un incidente del 2008 in un impianto petrolifero in Turchia è stato causato da un attacco cyber , mentre un attacco informatico che si è propagato dagli uffici alle sedi produttive di una acciaieria in Germania ha causato numerosi danni .

Alcune volte non sono necessari attacchi sofisticati o motivazioni economiche o politiche per causare incidenti molto pericolosi, come dimostrato da un teenager polacco che ha causato il deragliamento di 4 tram usando semplicemente un telecomando da televisore modificato, con il quale ha agito su degli attuatori degli scambi comandati con segnali non protetti nella banda dell’infrarosso .

Questi incidenti hanno spinto le agenzie governative competenti in materia a lavorare sugli standard, normative e best practices. Per esempio negli USA gli enti federali devono essere conformi alle direttive NIST. Ci aspettiamo che simili provvedimenti saranno adottati anche nel settore privato, grazie anche alla spinta delle compagnie assicurative. In sintesi, il settore delle reti di controllo industriale e quindi anche delle infrastrutture critiche sarà sempre più normato e sottoposto ad obblighi per proteggersi dagli attacchi informatici.

Questo fenomeno sta spostando sempre più costruttori di soluzioni cyber per il mondo IT ad adattare la loro offerta per il mondo industriale (OT), spesso però non offrendo il livello di professionalità e personalizzazione richiesto da questi ambienti. Allo stesso tempo vendor specializzati del settore OT stanno cercando di estendere la loro offerta nel campo cyber e IP, producendo però prodotti puntuali e senza una visione architetturale.

Purtroppo la barriera di ingresso per i cyber criminali intenzionati ad attaccare le infrastrutture critiche è tipicamente molto bassa. Infatti i dispositivi che si trovano negli impianti industriali sono stati ingegnerizzati secondo un modello di trust implicito, perché originariamente isolati rispetto al mondo esterno. L’obsolescenza delle infrastrutture di comunicazione, ed il relativo rischio cyber, è un problema trasversale a tutti i mercati verticali .

Esiste inoltre una certa resistenza culturale degli operatori del settore nell’introdurre soluzioni di protezioni cyber negli impianti industriali, in quanto le tecniche IT di active discovery e threat response posso rendere inoperabili sensori ed attuatori industriali. Per esempio alcuni dispositivi ICS posso diventare inoperativi o peggio irrecuperabili a seguito di un semplice port scan. Un altro elemento ostativo nasce dalla riluttanza ad introdurre protezioni nei siti difficili da raggiungere o soggetti a condizioni ambientali estreme, aumentando così la superfice di attacco. Infine manca la cultura della visibilità e controllo di cosa accade nella rete industriale, in quanto si parte dal presupposto, non più vero oggi, che l’ambiente sia statico con specifici protocolli, specifiche applicazioni e specifici dispositivi. L’apertura del mondo industriale alla connettività IP, ai sistemi operativi ed alle applicazioni commerciali introduce enormi vantaggi all’efficienza dei processi ed alla sinergia fra IT e OT, ma rende al contempo false molte delle assunzioni del passato circa l’inattaccabilità di questi sistemi. Rimane inoltre il fatto che anche sistemi isolati da internet possono essere infettati, a causa dell’azione colposa o dolosa di un dipendente incauto o infedele. Un esempio può essere l’infezione di un computer di controllo di area a causa del collegamento tramite porta USB di una chiavetta o di uno smartphone infetto.

Per rispondere in maniera vincente a tutte queste sfide tipiche del mondo industriale e per un’efficace e sostenibile protezione delle infrastrutture critiche bisogna adottare un approccio architetturale, threat-centric e basato sulla più ampia visibilità possibile. Questo approccio consente di:

• Ottenere visibilità sulla rete industriale senza impattarne i sistemi vitali;
• Imparare le caratteristiche di un funzionamento normale dell’impianto ed individuare anomalie;
• Usare un centro di comando e controllo per le funzioni di detect, remediate e adapt e per la gestione centralizzata ed enforcement delle policies sull’intera rete.

Anche nel mondo OT, come in quello IT, si rende necessario un nuovo modello di sicurezza che protegga prima, durante e dopo l’attacco, mediante un approccio olistico che:

• Sia aggiornato alle minacce specifiche più recenti e relative contromisure;
• Aiuti a mantenere l’operatività dei sistemi industriali durante l’attacco;
• Tenga traccia degli eventi e consenta il rollback nel passato (analisi retrospettiva) per eradicare completamente le minacce scoperte ed introdurre difese sempre più efficaci.

L’analisi retrospettiva analizza continuamente i file non solo per individuare fra questi i malware, ma anche per tracciarne lo spostamento nei nodi della rete e quindi consentire un’eradicazione completa, partendo dal primo elemento che è stato infettato.

Anche nel settore industriale, a causa del proliferare di malware specifici, diventa determinante la disponibilità di ampie basi di threat intelligence.

Come detto la visibilità di quanto accade sulla rete industriale è il primo passo non solo per intercettare attacchi, ma anche per costruire i profili di traffico che ci permettano di discriminare comportamenti normali da quelli anomali. Questa visibilità deve però essere ottenuta mediante strumenti di passive profiling, meno invasivi delle tecniche di discovery tipiche del mondo IT, che potrebbero invece interferire con i sensori o attuatori dell’impianto industriale.

Riassumendo un nuovo concetto di Secure Operation deve essere introdotto per la protezione efficace delle infrastrutture critiche che parta dagli uffici centrali e si estenda ai siti produttivi, dove le reti di controllo industriali sono più efficientemente gestite grazie ai paradigmi dell’IoT, ma al contempo devono essere maggiormente e più olisticamente protette.