�ݺ�ߣ

Name of the Speaker / Title of the presentation / Date
Cyber Security in ambiente industriale
Lucca, 5 Luglio 2017
Raffaele Esposito
Product Manager Safety, I/O & Networking

Security
Definizione inclusa nella specifica tecnica IEC/TS 62443-1-1:2009
ʺIndustrial Communication Networks – Network and System Security –
Part 1-1: Terminology, concepts and modelsʺ:
ʺPrevenzione di accessi illegali o non voluti o di interferenze
nello specifico e previsto funzionamento di un sistema di
comando e controllo per l’automazione industriale”

Con fieldbus su base seriale e macchina non
interconnessa, le preoccupazioni dei progettisti
di automazione nei confronti della security si
limitavano al predisporre opportune misure e/o
modalità operative tali da evitare accessi
al progetto installato sul sistema di
controllo
Questo al fine di evitare modifiche dello
stesso con possibili conseguenze che
avrebbero potuto coinvolgere la responsabilità
dell’installatore o del produttore del macchinario

Smart Factory

„Controllare
valvola principale“
001
„Errore valvola
aperta“
Messaggio
Smart Watch

‘’La mia rete non è connessa ad
Internet dunque la sicurezza non
mi riguarda’’
Dipendenti o anche tecnici esterni
che accedono alla rete potrebbero
introdurre malware all’interno della
rete per mezzo di memorie USB o
attraverso PC di servizio

1
Perdita dei dati:
Improvvisamente tutti vostri dati vengono persi. Quale potrebbe essere il costo della
ricostruzione di tali dati? Euro _______
2
Perdita di know-how:
Un vostro competitor riesce ad accedere ai vostri dati sensibili (progettazione,
ingegnerizzazione, …). Quanto può economicamente valere il danno? Euro _______
3
Fermi di produzione:
A causa di problemi legati alla security, la produzione deve arrestarsi per alcune ore,
Quanto può essere il costo di una tale mancata produzione? Euro _______
4
Ore lavoro dei vostri dipendenti:
Quante ore lavoro dei vostri dipendenti sarebbe necessario impiegare per risolvere i
danni generati da una falla nelle vostre misure di security? Euro _______
5
Hijacking dai vostri computer:
Quanto potrebbe costare una campagna di comunicazione per spiegare che una
terza parte ha usato i vostri sistemi per spiare o attaccare un’altra società?
Euro _______
6
Reputazione:
Quanto potrebbe essere importante un danno alla vostra reputazione se i vostri clienti
non riponessero in voi la giusta fiducia circa la protezione da Cyber attacchi? Euro _______

Come fare a
difendersi?
‘’Mutuiamo l’approccio e le soluzioni
dell’Information Technology (IT) che ha
maturato un’esperienza specifica ben più
importate e matura rispetto alle applicazioni
informatiche in ambiente industriale produttivo
(Operation Tecnology, OT)’’

IT Security vs. OT Security
Sono la stessa cosa?
No perché hanno obiettivi ed esigenze diversi.
Confidenzialità
Integrità
Disponibilità
IT Security
Disponibilità
Integrità
Confidenzialità
OT Security

IT Security vs. OT Security
IT: possiamo fare lo scan per trovare vulnerabilità e dopo installare la patch
opportuna
OT: l’operazione di scan potrebbe comportare blocchi della produttività della
macchina; lo scan (specie su reti live!) non è un’opzione praticabile
Inoltre:
non tutti i vendor rilasciano patch aggiornate per i loro prodotti
alcune patch potrebbero richiedere la ri-certificazione dell’intero sistema
patch ‘’pesanti’’ richiedono il riavvio del sistema

Come per qualsiasi
processo industriale
strategico, anche per quel
che riguarda la
predisposizione di un
adeguato livello di Cyber
Security, utile è un
approccio sistematico che,
data la natura dei rischi cui
far fronte, assume
inevitabilmente l’aspetto di
un processo iterativo

La soluzione tecnologica ottimale è infatti quella che
meglio si adatta ai rischi esistenti, i quali rischi sono da
analizzare e da soppesare, di volta in volta, con stretto
riferimento alla specifica applicazione
Il processo iterativo ideale prevede quindi l’individuazione precisa
dell’applicazione specifica, l’esecuzione sulla stessa di un’analisi dei rischi,
l’individuazione e la messa in opera delle soluzioni ottimali, la validazione di
queste ultime e la predisposizione di strumenti di monitoraggio continuo
Il processo è infatti dinamico: una soluzione ottimale in uno specifico momento
temporale potrebbe risultare non più adeguata a causa di evoluzioni delle
tattiche/tecniche di attacco, capaci di cambiare lo scenario dei rischi presenti

Cyber Security in ambiente industriale – I rischi
Alcuni possibili rischi:
Introduzione di malware in rete mediante l’utilizzo di memorie
USB o PC di servizio utilizzati da dipendenti interni ma anche
eventualmente da tecnici esterni chiamati ad intervenire sulla rete anche per
manutenzione e/o riparazioni
Utilizzo di Industrial PC (IPC) sulla rete con sistemi operativi per i quali non
vengono più fornite patch di aggiornamento (esempio Windows XP)
Utilizzo di comunicazioni via tunnel VPN senza utilizzo di Firewall dedicato
Mancata segmentazione di rete con tecnico manutentore esterno che, da
singola macchina, ha accesso a tutta la rete di fabbrica
……

Misure e soluzioni tecnologiche per garantire un
adeguato livello di Security di una rete andranno
quindi scelte in funzione delle esigenze specifiche
Tra tali misure possiamo elencare un’opportuna
segmentazione di rete con adeguata protezione
(routing/firewall) dei punti di segmentazione, una
corretta gestione delle prerogative di accesso
locale alla rete e un’efficace protezione degli
accessi da remoto (VPN, firewall, security cloud)
L’utilizzo di strumenti di monitoraggio continuo di
rete permetterà anche la rilevazione immediata di
tentativi di intrusioni non autorizzate o
malfunzionamenti
Cyber Security in ambiente industriale – Soluzioni?

Local HMIs Remote HMIs Customer DCS
DMZ
Remote Service Zone
Customer
Monitoring
System
‘’Zone’’
Dispositivi di
protezione dei
‘’percorsi’’
‘’Percorsi’’
I
E
C
6
2
4
4
3

Dispositivi di
protezione dei
‘’percorsi’’
Security Router
•Routing & Firewall
•VPN & Firewall
•NAT
•DMZ
•…

Un Firewall consente la definizione di politiche di accesso da una rete
esterna (WAN) ʺinsicuraʺ (rete superiore o accesso da remoto via, ad
esempio, Internet) a una rete LAN (rete di macchina)
WAN
LAN
192.168.0.2
Port: 80
Port: 21
192.168.10.4

Server aziendali (sito Internet,
posta elettronica, …)

Untrusted
NetworkTrusted Trusted
Encryption Decryption
Encrypted Data
Un tunnel VPN consente una comunicazione crittografata e quindi sicura
attraverso una rete esterna (WAN) ʺinsicuraʺ (ad esempio Internet)

Cyber Security in ambiente industriale – Monitoraggio?
!!SCAN!!!!SCAN!!
CIFS
Integrity
Monitoring

by

Ufficio
centraleCentro di
comando
Eventi,
storico
Integrazione nativa con i
sistemi aziendali
SIEM (Security Information and Event
Management) , archivio dati, server di
autenticazione
Eventi,
storico
Eventi,
storico
Eventi,
storico
Sito 1 Sito 2 Sito n
Monitoraggio
sensori
Monitoraggio passivo della rete: nessuna interferenza sulla rete e nei processi
Gestione / Dorsale di rete

ASSET INVENTORY & NETWORK MAP
NETWORK &
PROTOCOL WHITELISTS
VISUAL NETWORK ANALYTICS
ICS THREAT LIBRARY &
CUSTOM CHECKS

Analisi in tempo reale
dei flussi di
comunicazione tra host,
in termini di protocolli
utilizzati e rilevamento
anche di pacchetti non
conformi alle specifiche
del singolo protocollo

Protocolli OT Protocolli IT
IEC 60870-5-104 SMB/CIFS
DNP3 RPC/DCOM
ICCP TASE.2 LDAP
IEC 61850 (MMS, GOOSE, SV) NetBIOS
IEEE C37.118 (Synchrophasor) HTTP
Modbus/TCP FTP
EtherNet/IP SSH
CSLib (ABB 800xA) SSL
DMS (ABB AC 800 F) SMTP
MMS (ABB AC 800 M) IMAP
Step7 (Siemens) POP3
OMS+ (Siemens) VNC/RFB
OPC-DA RDP
OPC-AE Telnet
DeltaV (Emerson) SNMP
Ovation (Emerson) NTP
Vnet/IP (Yokogawa) DNS
BACnet RTSP
PROFINET AFP
Rockwell CIP extensions PVSS

Previsti attualmente 80 controlli automatici suddivisi in:
• Networking: Rilevamento errori di configurazioni dei
dispositivi e di rete
• Operations: Rilevamento di problemi e minacce per il
processo industriale
• Security: Rilevamento minacce alla sicurezza e vulnerabilità

In aggiunta ai controlli inclusi nella Industrial Control System
(ICS) Threat Library, il software può prevedere anche controlli
personalizzati (Custom Checks) quali, ad esempio:
Rilevamento di errata apertura/chiusura di valvole
Rilevamento intervento di un numero non previsto di interruttori magnetotermici
(Attacco Ucraino)
Rilevamento riproduzione di messaggi
Estrazione ed analisi delle richieste e dei parametri di risposta
Monitoraggio delle variabili di processo (allarme per cambiamenti improvvisi)
Registrazione trasferimento dei file
...

Fields
Points
Values
Visibilità completa della rete
Rilevamento topologia di rete
Visione analitica della rete e delle minacce
Rilevamento delle minacce
Dispositivi, protocolli e comandi indesiderati
Minacce ed attacchi informatici interni
Problemi operativi e di rete
Controlli personalizzabili
Risultati istantanei
Configurazione e avvio automatico
Controlli ‘’out off the box’’ per le minacce maggiori

La Security in ambiente industriale è un processo continuativo e iterativo
Questo processo prevede idealmente i seguenti step:
•Identificazione dell’installazione e delle sue esigenze operative
•Analisi dei rischi
•Adeguata politica di limitazione accessi alla rete di macchina
(credenziali di accesso per tipologia di operatore)
•Segmentazione della rete (secondo IEC 62433) con definizione dei
percorsi in funzione delle reali esigenze operative
•Protezione dei percorsi tra celle di rete
•Protezione degli accessi da remoto
•Predisposizione di un efficace sistema di monitoraggio continuo
Cyber Security in ambiente industriale – In breve

Grazie per l‘attenzione
Lucca, 5 Luglio 2017
Raffaele Esposito
Product Manager Safety, I/O & Networking

�ݺ�ߣ

Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale

More Related Content

Industria 4.0. Lucca, 5 luglio 2017 - Cyber Security in ambiente industriale