La trasformazione digitale e la convergenza delle infrastrutture di rete aprono le porte a potenziali criticità. Come proteggere nel modo migliore i sistemi ICS? Approfondiamo il tema.
I sistemi di controllo industriale – Industrial Control Systems (ICS) – sono oggi sempre più evoluti. Un percorso di sviluppo reso possibile dalla digitalizzazione e dalle tecnologie 4.0. Questa evoluzione, tuttavia, porta con sé nuove vulnerabilità. La convergenza tra reti IT, OT, IoT e ICS dà vita a infrastrutture che non sono più rigidamente separate come un tempo.
L’implementazione di dispositivi di Industrial Internet of Things ha portato, per esempio, all’integrazione tra sistemi ICS e gateway IoT, dispositivi di edge computing e piattaforme cloud. Ciò si traduce nell’apertura di sempre più punti di ingresso di potenziali attacchi dall’esterno.
In questa prospettiva, l’Anomaly Detection è fondamentale nel processo di messa in sicurezza di macchine e impianti, nonché dell’architettura di rete che li ospita.
È un approccio strategico, perché consente di identificare e affrontare una serie di minacce e vulnerabilità potenzialmente dannose, operando in modo passivo, senza influire negativamente sulla qualità e sulle performance dei processi produttivi o sulla erogazione dei servizi.
Il rilevamento delle anomalie è essenziale per individuare vulnerabilità nascoste all’interno di un sistema industriale. Vulnerabilità che potrebbero essere sfruttate da attaccanti esterni o interni per compromettere la sicurezza dell’ambiente industriale. Identificare queste anomalie consente alle organizzazioni di correggere i problemi di sicurezza prima che possano essere sfruttati da potenziali minacce. Le vulnerabilità possono riguardare sia software e sistemi operativi obsoleti, che devono essere aggiornati, sia configurazioni errate o aperture non necessarie nei firewall e nei sistemi di protezione.
Il rilevamento delle anomalie, inoltre, è vitale per identificare obsolescenze all’interno dell’infrastruttura industriale. Le tecnologie e i dispositivi di fabbrica tendono a diventare obsoleti nel tempo, con supporto limitato o addirittura cessato da parte dei produttori. L’obsolescenza può rappresentare una minaccia alla sicurezza, in quanto tali dispositivi potrebbero essere vulnerabili ad attacchi noti e non corretti. Rilevare le anomalie legate all’obsolescenza consente di pianificare la sostituzione o l’aggiornamento di dispositivi critici prima che diventino un punto debole nel sistema.
Le minacce ai sistemi ICS
La cybersecurity è oggi un tema sempre più fondamentale per garantire la protezione di reti, asset e persone. Lo è soprattutto alla luce dell’evoluzione del fenomeno cyber criminale, che oggi si caratterizza per una trasformazione a livello globale.
Analizzando nello specifico alcuni dati, nel secondo trimestre di quest’anno il 26,8% delle aziende intervistate ha registrato un attacco ai sistemi ICS, con una crescita dell’1,1% rispetto al trimestre precedente. Sistemi e strategie di cybersecurity hanno contribuito a bloccare il 34% degli attacchi, con una sostanziale continuità rispetto allo stesso periodo del 2022.
Infrastrutture OT e IoT sono oggetto di un assedio costante di malware o di semplici incidenti informatici che trovano terreno fertile in architetture spesso disomogenee e talvolta dotate di vulnerabilità legate semplicemente all’obsolescenza di software e hardware sugli impianti. Riguardo ai malaware, due sono le tipologie principali utilizzate: la prima è il Remote Access Trojan (RAT), che permette il controllo da remoto di un dispositivo oggetto di infiltrazione mentre la seconda è l’attacco di tipo Distributed Denial of Service (DDoS), che consiste nel bloccare reti e infrastrutture attraverso il sovraccarico del traffico internet.
Oggi le architetture di reti industriali piacciono sempre di più in ottica di cyber attacchi. Per questo, oggi è importante sviluppare una strategia di difesa sempre più articolata, a partire da alcuni paradigmi come la segmentazione del network, l’asset discovery, la gestione delle vulnerabilità e l’endpoint detection.
Diventa quindi sempre più centrale un approccio di Security-by-Design finalizzato al rilevamento delle anomalie, alla protezione dei sistemi, alla comunicazione sicura e al firewalling.
Anomaly detection per sistemi ICS: CLAROTY
L’anomaly detection è in grado di offrire un supporto strategico per rafforzare la sicurezza dei sistemi ICS in ottica di convergenza delle infrastrutture.
Monitorare la rete e individuare prontamente eventuali anomalie è possibile attraverso l’analisi delle relazioni tra i diversi terminali, lo schema funzionale e i volumi di traffico. Si ricostruisce in questo modo l’architettura di rete, migliorando la resilienza e la visibilità delle operazioni.
Un esempio di soluzione di anomaly detection è Claroty, un sistema di asset inventory e network visibility per ambienti ICS, OT, IoT e IT che offre le seguenti funzionalità:
- Rilevamento delle anomalie: Claroty utilizza algoritmi avanzati di machine learning per monitorare in tempo reale il traffico di rete e i dati dai dispositivi industriali. Rileva in modo proattivo anomalie nei dati, come comportamenti non conformi, deviazioni dai parametri di produzione ottimali o attività sospette che potrebbero indicare problemi di sicurezza o guasti
- Monitoraggio della sicurezza delle reti industriali: La soluzione di Claroty è progettata per monitorare e proteggere le reti industriali, inclusi i protocolli di comunicazione industriali come Modbus, DNP3 e OPC. Il monitoraggio aiuta a identificare possibili intrusioni, attacchi informatici o accessi non autorizzati alla rete
- Visualizzazione della topologia di rete: Claroty offre una visualizzazione dettagliata della topologia di rete industriale, consentendo agli operatori di comprendere meglio come sono connessi i dispositivi e i controller e come fluisce il traffico. Questo è utile per identificare potenziali punti deboli nella rete e migliorare la sicurezza
- Gestione degli eventi di sicurezza: La piattaforma Claroty consente di gestire in modo centralizzato gli eventi di sicurezza e le allerte, fornendo agli operatori un’interfaccia per esaminare e rispondere alle anomalie rilevate. Questo aiuta a migliorare la tempestività delle risposte alle minacce
Integrazione con altri sistemi di sicurezza: Claroty è progettato per essere integrato con altre soluzioni di sicurezza aziendale, come sistemi di gestione delle minacce (SIEM) o sistemi di prevenzione delle intrusioni (IPS). Questa integrazione consente di allineare la sicurezza delle reti industriali con la strategia globale di sicurezza dell’azienda