OT Assessment

Uno degli aspetti più preoccupanti dell’enorme incremento negli attacchi informatici è rappresentato dalla sua propagazione verso obiettivi che, fino a pochi anni fa, si ritenevano immuni da tali problemi.

Gli ambienti industriali erano ritenuti al riparo da questo genere di minacce, grazie ad alcune loro specificità. Uno dei punti cardine era l’isolamento degli ambienti industriali rispetto agli ambienti classici IT, in quanto la divisione fra l’informatica “tradizionale” ed il mondo dell’automazione industriale (“Operation Technology”, OT), era pressoché completa. I sistemi erano infatti fisicamente isolati (“air-gapped”, nella terminologia specialistica), senza alcuna connettività in comune con l’ambiente informatico classico.

Tuttavia, l’evoluzione nella tecnologia dei processori ha progressivamente introdotto “intelligenza” in ogni sistema di automazione. Le iniziative come “Industria 4.0” renderanno anzi una caratteristica saliente la totale digitalizzazione degli ambienti di manufacturing. Inoltre, l’integrazione delle reti IT e OT, spinta dalla necessità di ottimizzare al massimo i processi aziendali, ha abbattuto ogni reale divisione fra queste due realtà. Infatti il termine più usato nella documentazione specialistica, per descrivere questi complessi IT+OT+IoT, è quello di CPS (Cyber-Physical Systems).

Purtroppo la miscela IT, OT e networking ha portato anche nel mondo industriale la concreta possibilità che la miriade di attacchi che imperversano su Internet, si riversino anche su questi ambienti. Si deve inoltre ricordare come l’automazione digitale sia alla base dei sistemi di controllo non solo delle fabbriche, ma anche delle infrastrutture fondamentali della nostra società tecnologica: centrali energetiche, reti di distribuzione dei combustibili e dell’acqua, ecc. ecc. Di conseguenza la minaccia cyber incombe anche sulle fondamenta tecnologiche della nostra civiltà.

La minaccia di attacchi informatici sugli ambienti OT si è infatti concretizzata in numerosi episodi, alcuni di tale impatto da attirare anche l’attenzione dei media (basta ricordare il colossale black-out del 2017 in Ucraina, provocato dal malware NotPetya).

Come difendersi da queste minacce? I team di sicurezza IT, che hanno cercato di trasferirvi l’esperienza accumulata in decenni di lotta alle minacce informatiche, hanno presto scoperto che l’ambiente OT è molto più complicato del mondo IT.

Ad esempio, gli ambienti industriali sono un universo popolato da centinaia di protocolli di comunicazione differenti e proprietari, elaboratori la cui maggiore priorità non è la confidenzialità dei dati ma il funzionamento ininterrotto, tanto che spesso non possono essere spenti o riavviati per mesi o addirittura anni. Di conseguenza, spesso i firmware o software non possono essere corretti con patch, per periodi ancora maggiori. Tutto questo in un contesto nel quale il concetto di “security” è sempre stato considerato a bassa priorità rispetto alla “safety”. Nonostante tali difficoltà, si è cercato di adattare le metodologie di sicurezza già applicate con successo nel mondo IT. E alla base di qualsiasi attività di miglioramento della sicurezza non può che esserci la fondamentale fase di comprensione, più completa possibile, dell’ambiente da proteggere: stiamo quindi parlando dell’assessment.

Gli assessment sono una delle attività meglio conosciute dai professionisti della cyber security, in particolare nell’ambito della ricerca delle vulnerabilità. Anche nel mondo della sicurezza industriale l’assessment è spesso focalizzato sull’identificazione delle vulnerabilità, ma ci sono altri aspetti peculiari.

Il primo è relativo al fatto che la moltitudine e complessità dei dispositivi OT rende sempre necessario integrare l’analisi tecnologica con una attività di “discovery” a tavolino. Questo per evidenziare isole tecnologiche fortemente segmentate dal resto dei sistemi, oppure collegate con protocolli così particolari da renderne difficoltosa la corretta identificazione, anche ai sistemi di analisi del traffico OT più sofisticati.

La seconda particolarità consiste nella netta preferenza verso tecnologie di analisi completamente passive. Le ragioni sono molteplici: si vuole minimizzare qualsiasi possibilità di interferenza con i sistemi OT (ricordiamo che si lavora sempre negli ambienti di produzione, i sistemi di test sono rari nel mondo industriale), il timing di determinati sistemi può essere caratterizzato da una periodicità molto estesa (ad esempio azionamenti che si attivano ad intervalli di tempo elevati), che quindi necessitano di lunghi tempi di “osservazione”. Per questi motivi, le tecnologie che registrano i vari flussi di traffico in modalità passiva, senza interferenza con i sistemi e che quindi possono essere lasciati in funzione per lunghi periodi, sono sicuramente la scelta più opportuna.

È poi utile sottolineare come queste peculiarità dei sistemi di analisi passivi si coniughino perfettamente con il concetto di “continuous monitoring”, propugnato dalle “best practice” sia IT che OT. Questo significa che tali soluzioni possono essere utilizzate anche per attività di monitoraggio permanente, al di fuori del periodo di assessment, che tipicamente può durare da qualche settimana a qualche mese, a seconda della complessità e delle specificità dell’infrastruttura da analizzare.

L’assessment deve poi proseguire con l’investigazione di tutti gli aspetti relativi alla connettività verso l’esterno (internet, cloud, ecc.). In questa fase la valutazione dei sistemi OT si fonde con quello della sfera IT, in particolare per quanto riguarda gli accessi da remoto (VPN e similari).

Un altro versante importantissimo che deve essere affrontato è quello relativo alla supply chain. La catena di fornitura tecnologica dei sistemi OT deve essere analizzata e verificata, per limitare i rischi di attacchi/infiltrazioni, che compromettano la sicurezza passando per i collegamenti privilegiati che questi fornitori hanno solitamente con le aziende Clienti.

Infine, la valutazione tecnica non può prescindere dall’esame del contesto operativo, inteso come insieme di politiche, procedure, standard e metodologie di governance. Sebbene siano valutazioni non strettamente tecnologiche, sono indispensabili per comprendere e valutare correttamente, dal punto di visto operativo e di sicurezza, la gestione dei sistemi OT (e IT).

La cyber security OT sta diventando rapidamente un elemento di massima priorità nelle agende dei responsabili della sicurezza delle realtà sia industriali che appartenenti all’ambito delle infrastrutture critiche. È stato tuttavia evidenziato come anche solo la fase di analisi di questi ambienti ponga numerose sfide all’azienda che lo deve intraprendere. È necessario un notevole know-how sia tecnico che metodologico, il quale deve spaziare nell’ambito dei sistemi IT, OT e IoT, con competenze ed esperienze che comprendano sia la sicurezza che la conoscenza degli ambienti industriale e IT.