Defense-in-Depth
Il concetto di Defense-in-Depth ha origine nel mondo della strategia militare come modello di difesa per impedire ad eventuali attaccanti di raggiungere i loro obiettivi, monitorando costantemente i loro progressi ed implementando una risposta efficace al fine di respingerli.
Nel paradigma della cybersecurity, Defense-in-Depth definisce una strategia volta a stabilire misure di controllo e protezione progettate per ostacolare il progredire di un’intrusione informatica.
L’obiettivo è quello di consentire a un’organizzazione di rilevare e rispondere (detect and respond) ad una minaccia, riducendo e mitigando le eventuali conseguenze di un attacco.
La strategia è basata sull’applicazione di un sistema di sicurezza multilivello con l’obiettivo di fornire ridondanza in caso un controllo di sicurezza fallisca o venga sfruttata una vulnerabilità non conosciuta.
Il modello di difesa copre aspetti di sicurezza procedurale, amministrativa, tecnica, fisica e di formazione del personale, ed è basato su un approccio olistico per la protezione di tutti gli asset di un’organizzazione attraverso una conoscenza approfondita delle sue interconnessioni e dipendenze.
Fig 5: fonte https://www.imperva.com/learn/application-security/defense-in-depth/
L’applicazione di una strategia di Defense-in-Depth agli ambienti ICS (Industrial Control System) migliora la sicurezza incrementando i “costi” di un’intrusione e aumentando la capacità di rilevare e difendersi dalle minacce di un attore malevolo. L’obiettivo finale è di ridurre le capacità ed opportunità di un attaccante di muoversi lateralmente attraverso reti e sistemi, costringendo l’avversario ad incrementare considerevolmente le capacità di intrusione necessarie al raggiungimento dei suoi obiettivi (incrementare i “costi” di un’intrusione).
L’utilizzo di una strategia di sicurezza su più livelli aiuta a prevenire attacchi diretti contro i sistemi critici e ad aumentare notevolmente le difficoltà nello svolgimento di attività di ricognizione su reti e sistemi ICS fornendo aree naturali per l’implementazione di tecnologie di rilevamento delle intrusioni.
In questa analisi verranno approfonditi i controlli di tipo tecnico (network, hardware e software) che caratterizzano la strategia di Defense-in-Depth, attraverso la loro declinazione e applicazione ai sistemi di controllo industriale.
In particolare, verranno approfonditi gli aspetti relativi alle Architetture di Rete e Sicurezza.
2.2 Architetture di rete
Le connessioni di rete e l’integrazione di componenti IT all’interno del dominio dei sistemi di controllo industriali (ICS) hanno introdotto nuove vulnerabilità prima sconosciute per questi ambienti.
- Basso livello di sicurezza di reti interne ed esterne
- Tecnologie con vulnerabilità conosciute, che generano rischi informatici sconosciuti una volta introdotte nel dominio degli ICS.
- Mancanza di casi aziendali interessanti per la definizione dei requisiti minimi per gli ambienti ICS.
L’iniziale isolamento delle infrastrutture ICS da reti esterne (storicamente poco sicure) aveva permesso alle organizzazioni di ridurre i rischi di sicurezza a minacce associate quasi unicamente all’accesso fisico alla struttura o comunque alle superficie degli impianti.
Le principali comunicazioni e trasmissione dati all’interno di un’infrastruttura ICS richiedevano una supervisione della sicurezza limitata poiché i comandi operativi, le istruzioni e l’acquisizione dei dati avvenivano all’interno di un ambiente chiuso basato su comunicazioni attendibili.
L’integrazione di una moderna infrastruttura IT con una rete industriale isolata rappresenta oggi la sfida per gli ICS.
L’utilizzo dei comuni apparati di rete (router o switch) rappresenta il metodo comunemente utilizzato per l’interconnessione delle reti, tuttavia un accesso non autorizzato potrebbe permettere ad un attore malevolo di ottenere un accesso illimitato all’infrastruttura critica.
Le architetture integrate, se compromesse, possono permettere ad un attore malevolo di accedere all’infrastruttura critica attraverso la LAN aziendale, la LAN di controllo o persino la LAN di comunicazione.
La natura stessa di tali architetture richiede lo scambio di dati da fonti d’informazione differenti, un fattore facilmente sfruttabile da un attore malevolo.
Una strategia di sicurezza emergente per la difesa degli ICS attraverso la Defense-in-Depth utilizza concetti come l’implementazione di “zones and conduits” per proteggere i percorsi di comunicazione tra ambienti attendibili.
Zone architetturali comuni
Per creare una strategia di difesa a più livelli, è necessario avere una chiara comprensione di come tutta la tecnologia sia interconnessa e dove risiede tale interconnettività.
La suddivisione dell’architettura in zone comuni può fornire un aiuto alle organizzazioni nella definizione di confini chiari al fine di applicare una strategia basata sulla difesa in profondità. È fondamentale comprendere come ottenere una segmentazione di rete utile a creare zone separate e come determinare le migliori metodologie per segmentare le reti all’interno e intorno agli ambienti del sistema di controllo.
Il Purdue Model of Control Hierarchy è un modello ampiamente diffuso negli ambienti industriali che suddivide in funzioni gerarchiche i dispositivi afferenti al ciclo di produzione.
Partendo da questa suddivisione, il comitato dell’International Society of Automation (ISA) ha sviluppato un modello noto come Purdue SP99 o ISA-99 che identifica e segmenta la rete in zone di sicurezza per la gestione cibernetica ottimale degli ICS.
Fig 6 fonte https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/EttF/EttFDIG/ch2_EttF.html
Enterprise Zone: l’area di sicurezza aziendale include la connettività a Internet, alle peer locations e alle strutture di backup e remote fuori sede (connettività di rete aziendale Livello 5), nonché alle reti aziendali che includono comunicazioni aziendali, server di posta elettronica, servizi DNS (Domain Name System) e sistemi aziendali IT (livello 4). Questa zona presenta un’ampia varietà di rischi a causa dell’elevato numero di sistemi e connessioni e, dal punto di vista della sicurezza ICS, dovrebbe essere considerata come una zona non sicura o non attendibile (untrusted zone).
Manufacturing Zone: questa zona contiene l’area di connettività in cui hanno luogo i processi principali di monitoraggio e controllo (livello 3). Si tratta di un’area critica per la continuità e la gestione di una rete di controllo. I dispositivi di supporto operativo e gestione ingegneristica risiedono in questa zona, insieme a server di acquisizione dati e storici. La zona di produzione è fondamentale per il funzionamento dei dispositivi finali e fornisce la connettività richiesta alla zona enterprise. La priorità di quest’area è alta. I rischi sono associati alla sua connettività diretta a qualsiasi sistema o rete esterna.
Cell Zone: l’area di sicurezza delle celle contiene i sistemi utilizzati per il controllo locale o remoto dell’impianto ad esempio HMI e PLC (livello 2), e i relativi controlli (livello 1). Contiene inoltre i dispositivi finali di input/output di base come attuatori e sensori (livello 0). La priorità di questa zona è molto alta, in quanto rappresenta l’area in cui i processi di controllo influenzano i dispositivi fisici finali. In una moderna rete di sistemi di controllo, questi dispositivi avranno probabilmente il supporto per TCP/IP (Transmission Control Protocol/Internet Protocol) e altri protocolli comuni. Può anche includere sistemi per la sicurezza (SIS) presenti nella Safety Zone, che controllano automaticamente il livello di sicurezza di un dispositivo finale, aumentando ulteriormente il rischio dell’area. Idealmente, si dovrebbe localizzare il SIS in una rete separata, garantendo che in caso di incidente sulla rete ICS primaria, i sistemi di sicurezza continuino a funzionare e non siano a rischio di compromissione.
Safety Zone: La sicurezza è considerata la priorità massima all’interno dei sistemi di controllo e automazione industriale. Storicamente, i sottosistemi di sicurezza venivano cablati insieme al resto dell’infrastruttura. Più recentemente, questi sistemi sono stati implementati attraverso un’infrastruttura totalmente dedicata per garantire che le apparecchiature di automazione e controllo industriale non rappresentino una minaccia per le persone o per l’ambiente. Questi sottosistemi utilizzano protocolli e tecnologie di rete specifici e non dovrebbero condividere alcuna risorsa (alimentazione, rete, ecc.) con il resto degli impianti industriali. Data l’importanza e la resilienza di questo settore, l’adozione di nuove tecnologie come Ethernet e TCP/IP risulta essere più lenta che in altre aree del sistema. Questa zona solitamente non è ricompresa nei modelli finali di SP99.
Fig 7 fonte https://www.cisco.com/c/en/us/td/docs/solutions/Verticals/EttF/EttFDIG/ch2_EttF.html
Un attore malevolo che tenta di attaccare un’infrastruttura critica tende a concentrarsi sui controlli di tipo Manufacturing e Cell. Il pieno controllo dei principali servizi e della capacità operativa del sistema di controllo rappresenta il target più elevato, poiché nelle infrastrutture critiche un’intrusione dannosa a livello di sistema di controllo può avere effetti fisici reali.
In uno scenario d’attacco, l’intrusione inizia in un punto al di fuori della zona di controllo e l’attore cerca poi di spostarsi sempre più in profondità all’interno dell’architettura. Strategie stratificate che proteggono separatamente ciascuna delle zone core generano una strategia difensiva di profondità (Defense-in-Depth), offrendo agli amministratori maggiori opportunità di controllo delle informazioni e delle risorse, oltre a introdurre contromisure a cascata che permetteranno la continuità delle funzionalità aziendali critiche.
Zone demilitarizzate (DMZ)
Una zona demilitarizzata (DMZ) (a volte indicata come rete perimetrale) è una sottorete fisica e logica che permette l’interconnessione in sicurezza di dispositivi evitando l’esposizione ad una rete più grande e meno affidabile (di solito Internet). La DMZ aggiunge un ulteriore livello di sicurezza alla LAN di un’organizzazione; un intruso esterno avrà un accesso diretto solo ad apparecchiature interne alla DMZ e non potrà accedere al resto della rete.
La capacità di stabilire una DMZ tra la rete aziendale e quella di controllo rappresenta un miglioramento significativo effettuato attraverso l’utilizzo di apparati firewall. Come mostrato nella Figura 7, ogni DMZ contiene uno o più componenti critici, come lo storico dei dati, gli access-point wireless o sistemi di accesso remoto e di terze parti. La creazione di una DMZ richiede che il firewall offra tre o più interfacce, anziché le tipiche interfacce pubbliche e private. Una delle interfacce si connette alla rete aziendale, la seconda alla rete di controllo e le restanti interfacce ai dispositivi condivisi o non sicuri come il server dello storico dei dati o i punti di accesso wireless sulla rete DMZ.
Posizionando i componenti accessibili dell’azienda in una DMZ, non sono necessari percorsi di comunicazione diretta dalla rete aziendale alla rete di controllo; ogni percorso termina effettivamente nella DMZ. La maggior parte dei firewall può consentire più DMZ e può specificare il tipo di traffico che deve essere inoltrato tra le zone. Il firewall può impedire a pacchetti arbitrari della rete aziendale di entrare nella rete di controllo e può regolare il traffico dalle altre zone della rete, inclusa la rete di controllo.
Con un set di regole pianificate e ben definite sarà possibile mantenere una netta separazione tra la rete di controllo e le altre reti bloccando o riducendo notevolmente il traffico che passa dalla rete aziendale alla rete di controllo.
Nell’esempio in figura 8 viene illustrata una Industrial Demilitarized Zone (IDMZ) che permette un isolamento della rete aziendale dalla rete di controllo industriale, impedendo la comunicazione diretta tra i sistemi IT e OT.
Fig 8 fonte Ackerman, Industrial cybersecurity: Efficiently secure critical infrastructure systems, 2017
Il principale rischio per la sicurezza basato su questo tipo di architettura si verifica quando un attore malevolo compromette un computer all’interno della DMZ e lo utilizza per avviare un exploit contro la rete di controllo attraverso un’applicazione che produce traffico consentito dalla DMZ alla rete di controllo.
Le organizzazioni possono ridurre questo rischio attraverso uno sforzo attivo e organizzato nell’applicare patch ai server nella DMZ e se il set di regole del firewall consente solo connessioni avviate da dispositivi di rete appartenenti alla rete di controllo e tra la rete di controllo e la DMZ.
Gli amministratori dovrebbero limitare l’accesso alle DMZ solo agli utenti, alle applicazioni e ai servizi autorizzati e, dove possibile, dovrebbero poter monitorare tutto il traffico in ingresso e in uscita dalla DMZ attraverso applicativi dedicati.
Un accesso da una zona ad alta sicurezza (livello operations and control) dovrebbe essere consentito solo per effettuare un “push” di dati verso gli applicativi della DMZ in modo da renderli disponibili agli utenti aziendali autorizzati. Viceversa, gli utenti aziendali dovrebbero poter effettuare solo un “pull” di dati dai server della DMZ.
Le DMZ vengono spesso utilizzate per permettere l’accesso remoto ad utenti autorizzati. L’accesso remoto rappresenta da sempre un serio rischio per la sicurezza dei sistemi. Un attore malevolo potrebbe ottenere le credenziali d’accesso ai sistemi di controllo violando un host direttamente a casa o negli uffici di un utente autorizzato. In seguito, potrebbe stabilire attraverso il computer infetto una connessione VPN diretta ai sistemi di controllo. È necessario stabilire delle rigide policy di accesso remoto e valutare l’opportunità e la necessità di ogni singola possibilità di accesso.
Gli amministratori dovrebbero permettere l’accesso remoto solo attraverso server di autenticazione residenti nella DMZ attraverso rigide policy di accesso basate su multifactor authentication, ruolo utente e politiche del privilegio minimo. Tutte le altre forme di autenticazione remota dovrebbero essere disabilitate.
Altre considerazioni riguardanti questa architettura includono la crescita di complessità tecnica dell’architettura e il potenziale aumento dei costi dei firewall multiporte. Per i sistemi critici il miglioramento della sicurezza dovrebbe ampiamente compensare questi svantaggi.
L’implementazione delle DMZ non impedisce che attori malevoli possano penetrare in profondità all’interno delle infrastrutture critiche, tuttavia attraverso DMZ correttamente configurate, verranno incrementati notevolmente gli sforzi necessari ad un intruso per penetrare il sistema, fornendo agli amministratori un controllo più granulare e riducendo il rischio informatico per gli asset critici.
Virtual LANs
Una Virtual LAN (VLAN) suddivide le reti fisiche in reti logiche più piccole costituite da singolo dominio di broadcast che isola il traffico dalle altre VLAN. L’utilizzo delle VLAN limita il traffico broadcast e consente alle subnet logiche di estendersi su più posizioni fisiche.
Esistono due categorie di VLAN: statica, definita port-based, in cui si assegnano porte switch a una VLAN in modo che sia trasparente per l’utente finale; e dinamica, in cui un dispositivo finale negozia le caratteristiche della VLAN con lo switch o determina la VLAN in base agli indirizzi IP o caratteristiche hardware.
È necessario proteggere in modo esplicito le VLAN utilizzate in ambienti ICS, poiché configurazioni predefinite e configurazioni di rete standard non possono essere ritenute intrinsecamente sicure. Il virtual networking non può essere considerato privo di rischi, e attraverso exploit noti come il “VLAN hopping” possono crearsi opportunità per un avversario permettendo lo spostamento tra reti configurate per essere logicamente separate.
Molti progetti di infrastrutture di rete ICS distribuiscono VLAN come parte della segmentazione delle funzionalità di rete. Le best practices attuali suggeriscono che in caso di infrastruttura di rete di grandi dimensioni, le organizzazioni dovrebbero scomporre ciascuno dei domini del sistema di controllo in segmenti e zone più piccole facilmente gestibili. Questa metodologia facilita l’amministrazione della rete e può proteggere da meccanismi di rete indesiderati e dal cosiddetto “bleeding” da una rete all’altra. Mentre l’implementazione delle VLAN sta diventando sempre più diffusa all’interno delle infrastrutture dei sistemi di controllo, è altrettanto importante proteggere le VLAN dai principali vettori di intrusione associati allo sviluppo di questa tecnologia. Gli esperti di sicurezza informatica si riferiscono a questi exploit noti attraverso il nome di “VLAN hopping”, “double tagging” e “switch spoofing”. Le contromisure in genere non sono una componente predefinita dell’architettura di sicurezza o della tecnologia di sicurezza utilizzata per supportare l’infrastruttura informativa, l’efficacia delle contromisure dipende spesso dal modo in cui le VLAN vengono configurate.
L’architettura VLAN deve garantire la disabilitazione del protocollo DTP (Dynamic Trunking Protocol) ed è necessario configurare le porte dello switch come porte di accesso statiche. Questa configurazione previene gli exploit di spoofing degli switch poiché le porte non possono gestire tagged packets e non possono diventare tagged port. Le porte dello switch inutilizzate devono essere disabilitate, rendendole inutilizzabili per qualsiasi connettività. Quando si configura specificamente una porta come porta di accesso, non può diventare una porta trunk e non può inviare traffico ad altre/multiple VLAN. Se DTP è disabilitato, un attore malevolo non può utilizzare porte di accesso configurate come dinamiche per creare una connessione di rete.
Gli amministratori di sistema possono contrastare il double tagging rimuovendo le porte di accesso dall’impostazione predefinita e designando la VLAN nativa su tutti i trunk come “non assegnata”. Un attaccante non potrà associare la sua porta d’accesso ad una VLAN differente. Gli amministratori dovranno sempre selezionare una VLAN inutilizzata come VLAN nativa per tutti i trunk e non dovranno utilizzare questa VLAN per altri scopi. Devono rimuovere la VLAN 1 da tutti i trunk e da tutte le porte di accesso che non la richiedono (incluse le porte disconnesse e spente). Inoltre, non dovrebbero utilizzare VLAN 1 per il traffico di gestione in banda e dovrebbero utilizzare una VLAN diversa e dedicata per mantenere il traffico di gestione separato dai dati degli utenti e dal traffico del protocollo.
2.3 Architetture di sicurezza
Una volta progettata e implementata una solida architettura di rete, è possibile definire l’architettura di sicurezza. L’architettura di sicurezza include i controlli specifici e il loro posizionamento strategico all’interno della rete e dei sistemi per stabilire livelli di sicurezza secondo la strategia di Defense-in-Depth.
Diagrammi di rete e diagrammi di flusso informativo che includono tutti i sistemi e le loro interconnessioni, associate all’inventario fisico delle apparecchiature, forniscono una comprensione a livello operativo dei flussi di informazioni all’interno della rete.
Sovrapporre queste informazioni con i livelli di protezione per ogni sistema o sottosistema assegnato durante le attività di inventario aiuterà a determinare i controlli da mettere in atto per proteggere il sistema senza comprometterne o degradarne le prestazioni.
Gli amministratori devono definire l’applicazione di controlli di sicurezza a livello di rete, sistema, applicazione e fisica. Questi controlli includono la gestione dei criteri e della sicurezza, la sicurezza delle applicazioni, la sicurezza dei dati, la sicurezza delle piattaforme, la sicurezza della rete e del perimetro, la sicurezza fisica e la sicurezza degli utenti. L’architettura di sicurezza è l’area in cui tutti i meccanismi e i controlli difensivi si uniscono all’architettura di rete per la gestione della sicurezza.
L’architettura di sicurezza definisce dove applicare le misure di Defense-in-Depth all’interno dell’organizzazione.
NIST 800-82, “Guide to Industrial Control Systems (ICS) Security”, fornisce un’ampia varietà di controlli di sicurezza ICS basati sul concetto generale di sicurezza fornito da NIST 800-53, “Security and Privacy Controls for Federal Information Systems and Organizations”.
Sicurezza Perimetrale
La sicurezza perimetrale comprende quei controlli di tipo logico e fisico necessari alla protezione delle risorse aziendali all’interno del perimetro.
La prima considerazione riguardo il perimetro di sicurezza logica è riuscire ad ottenere una chiara comprensione del confine logico delle comunicazioni. È necessario valutare in quale area eventuali attori malevoli potrebbero sfruttare vettori d’intrusione per accedere al sistema di controllo.
La sicurezza logica comprende sistemi come i meccanismi di autenticazione, ACL all’interno degli apparati di rete, IDS/IPS signatures, tools di analisi del contesto, e altri strumenti per proteggere i sistemi da una prospettiva di tipo logico.
La sicurezza perimetrale fisica include key card per l’apertura delle porte, videocamere per la rilevazione del movimento, operatori di sicurezza per rispondere ad intrusioni fisiche e altri meccanismi per proteggere gli impianti.
Firewall
I firewall rappresentano la prima linea di difesa all’interno di un ambiente di rete ICS. Questi componenti mantengono fuori dal perimetro eventuali attori malevoli, consentendo il passaggio autorizzato dei dati necessari per il funzionamento dell’organizzazione.
I firewall si comportano da sentinelle tra le varie zone e, se configurati correttamente, consentono il passaggio attraverso il perimetro di sicurezza solo del traffico essenziale.
Le principali funzioni di un firewall sono
• Stabilire e mantenere domini separati.
• Monitorare (e registrare) gli eventi di sistema.
• Autenticare gli utenti prima dell’accesso.
• Monitorare il traffico in ingresso e in uscita ed impedire comunicazioni non autorizzate.
Il posizionamento dei firewall all’interno delle infrastrutture critiche deve essere attentamente progettato e coordinato. L’organizzazione deve garantire che attraverso il corretto posizionamento di un firewall non sia possibile per un attore malevolo bypassare il perimetro di sicurezza.
In questo esempio (figura 8) tratto da NIST 800-82 Guide to Industrial Control Systems (ICS) Security è possibile osservare l’utilizzo concomitante di un firewall e di una DMZ.
Fig 8 fonte https://csrc.nist.gov/publications/detail/sp/800-82/rev-2/final
Ogni DMZ contiene uno o più elementi critici, come lo storico dei dati, access point o sistemi di accesso remoto. Questa configurazione impedisce una comunicazione diretta tra la rete di controllo e la rete aziendale.
In questo secondo esempio (figura 9) tratto da Control Systems Cyber Security: Defense in Depth Strategies, viene mostrata una distribuzione firewall all’interno di un dominio di gestione energetica.
Fig 9 fonte Control Systems Cyber Security: Defense in Depth Strategies, 2006
In questo caso il firewall isola l’area aziendale e protegge le tecnologie dell’Energy Management Systems (EMS) che si trovano nel centro di controllo. Per implementare una corretta strategia di Defense-in-Depth un secondo firewall è stato implementato per separare il dominio EMS dai sistemi SCADA.
Il posizionamento improprio di un firewall può comportare una riduzione della sua efficacia come strumento di difesa.
Un computer con due schede d’interfaccia di rete (NIC) spesso indicato come host “dual-homed”, rappresenta un rischio informatico quando permette ad un utente di connettersi con lo stesso host sia alla rete aziendale che alla rete di controllo processi industriali utilizzata dagli operatori dell’impianto. Anche se questo tipo di configurazione facilita la gestione e riduce la complessità, genera anche una vulnerabilità significativa che un attore malevolo potrebbe facilmente sfruttare.
I router che si connettono direttamente alle apparecchiature dei sistemi di controllo, le VPN dei fornitori che si connettono direttamente alla rete di controllo dei processi, gli access point wireless e gli host dual-NIC rappresentano esempi di configurazioni che possono invalidare l’efficacia di un firewall.
Diodi
Un dispositivo di rete unidirezionale (noto anche come gateway di sicurezza unidirezionale o diodo dati) è un’appliance di rete o un dispositivo che consente ai dati di viaggiare in un’unica direzione.
È possibile ritrovare i diodi in ambienti ad alta sicurezza come la Difesa dove vengono utilizzati per la connessione tra due o più reti con diverse classificazioni di sicurezza.
Questa tecnologia viene oggi utilizzata a livello di controllo industriale per strutture come le centrali nucleari e gli impianti di generazione e distribuzione elettrica.
La configurazione fisica delle reti unidirezionali permette ai dati da passare solo da un verso ad un altro di una connessione di rete. I benefici per gli utenti di una rete con livello di criticità elevato come un segmento di controllo ICS, includono la possibilità di condividere i dati con una rete di criticità inferiore come un server in una DMZ, impedendo al contempo l’accesso dalla rete a rischio basso al segmento di controllo industriale. Tradizionalmente quando una rete aziendale fornisce l’accesso ad un server DMZ per un utente autorizzato, i dati diventano vulnerabili ad un’intrusione all’interno della rete aziendale. Con una rete unidirezionale, che separa un’area di alto livello con dati sensibili, da un’area di basso livello con una connettività di tipo business e Internet, è possibile ottenere il miglior servizio da entrambi gli ambienti, garantendo la connettività richiesta e la sicurezza necessaria. La sicurezza viene mantenuta anche in caso di compromissione di entrambe le reti poiché il flusso di traffico viene mantenuto in un’unica direzione dalla configurazione fisica della tecnologia.
L’interfaccia controllata che comprende gli elementi di invio e ricezione di una rete unidirezionale funge da “communications protocol break” tra i due domini di rete, senza precludere l’uso della rete unidirezionale nel trasferimento di protocolli come TCP che richiedono comunicazioni (inclusi gli acknowledgments) tra mittente e destinatario.
In questi 2 esempi è possibile osservare una configurazione di sicurezza che sfrutta un dispositivo unidirezionale associato ad una DMZ e ad un firewall.
Fig 10 fonte https://waterfall-security.com/dmz-the-industrial-context/
Nell’esempio in figura 10 un server contenente database storico viene replicato attraverso una gateway unidirezionale dall’area ICS all’area DMZ. Gli utenti autorizzati potranno accedere alla DMZ e al server attraverso un firewall appositamente configurato.
Fig 11 fonte https://waterfall-security.com/dmz-the-industrial-context/
Nell’ esempio in figura 11 il server contenente il database storico riceve i dati dall’area ICS attraverso un firewall appositamente configurato e viene replicato dalla DMZ attraverso un gateway unidirezionale verso la rete aziendale dove potranno accedere gli utenti autorizzati.
In entrambi i casi il server e l’area dei sistemi di controllo industriale risultano protetti.
Il settore energetico utilizza la tecnologia a diodi da diversi anni e le autorità di regolamentazione ne hanno incoraggiato l’uso per proteggere apparecchiature e processi nei SIS. La Nuclear Regulatory Commission (NRC) impone l’uso di diodi di dati e diversi altri settori oltre a quello elettrico e nucleare stanno ora iniziando ad impiegare questo tipo di tecnologia per il mantenimento della sicurezza.
Controlli di accesso e autenticazione
Nella maggior parte dei sistemi di controllo industriali, utenti differenti devono poter accedere a sistemi diversi in un lasso di tempo relativamente breve come richiesto dalle normali operazioni di sistema.
L’autenticazione di sistema, i processi di autorizzazione e le politiche di gestione degli account possono rivelarsi problematiche per gli ICS, poiché i sistemi di controllo devono risultare sempre attivi e raggiungibili e l’arresto di un sistema per consentire ad un utente di disconnettersi e riconnettersi non è considerata un’opzione praticabile. Inoltre, i sistemi di autenticazione previsti dai fornitori potrebbero risultare limitati per i sistemi di controllo ICS.
La gestione di utenti collocati in aree differenti rappresenta una sfida per la gestione degli accessi e dei ruoli utente. Il medesimo processo di autenticazione può permettere infatti l’accesso a sistemi (HMI, dispositivi d’area, server SCADA) e reti (LAN delle sottostazioni) differenti che potrebbero richiedere l’utilizzo di credenziali condivise.
Gli amministratori possono controllare l’accesso ai sistemi ICS utilizzando un approccio distribuito o centralizzato.
La gestione tramite accesso distribuito richiede che ogni sistema abbia un’autenticazione separata. Ogni sistema viene gestito attraverso un set separato di utenze, credenziali e ruoli. Questo approccio, sebbene sia una buona soluzione per implementazioni ICS di dimensioni ridotte, non si adatta altrettanto bene alle grandi organizzazioni.
Le organizzazioni normalmente utilizzano una gestione centralizzata per gestire un numero ampio di utenti e di account. Gli account vengono gestiti attraverso un sistema centrale di autenticazione (ad esempio, Active Directory o LDAP (Lightweight Directory Access Protocol). Un protocollo di autenticazione (ad esempio, Kerberos, RADIUS (Remote Authentication Dial-In User Service) o Terminal Access Controller Access-Control System (TACACS)) comunica tra il server di autenticazione ed il sistema ICS. Un approccio centralizzato è scalabile per implementazioni di sistemi di grandi dimensioni, tuttavia introduce anche dei rischi quando utilizzato in ambienti ICS. I server centralizzati devono essere messi in estrema sicurezza poiché se compromessi, l’intero ICS potrebbe risultare compromesso. Devono anche essere sempre disponibili in caso di emergenza, attraverso l’utilizzo di server ridondati che tendono ad incrementare i costi di gestione dell’infrastruttura.
Architettura raccomandata basata sulla strategia di Defense-in-Depth
Una corretta strategia di Defense-in-Depth dovrà necessariamente fare affidamento su un set sovrapposto di tecnologie, prodotti e soluzioni di sicurezza diversificate, posizionate strategicamente in punti differenti dell’architettura.
Nella figura 12 viene mostrata un’architettura di rete raccomandata per i sistemi ICS basata sulla strategia di Defense-in-Depth, tratta da Control Systems Cyber Security: Defense in Depth Strategies e poi nuovamente riportata nel NIST 800-82.
Fig 12 fonte Control Systems Cyber Security: Defense in Depth Strategies, 2006
Questa architettura sfrutta l’utilizzo di firewall, DMZ e di funzionalità di rilevamento delle intrusioni (IDS) su tutta l’architettura ICS. L’utilizzo di numerose DMZ permette maggiori possibilità per la separazione delle funzioni e dei privilegi di accesso.
Il posizionamento strategico di tecnologia IDS fornisce un ulteriore livello di difesa in profondità che incrementa la sicurezza del perimetro e della rete. La distribuzione degli IDS all’interno dell’architettura avviene sia a livello rete che a livello host, permettendo un monitoraggio più accurato sul comportamento dei singoli host.