Come si evolve la sicurezza ICS, con il perimetro della rete che si dissolve

Con il perimetro della rete in continuo mutamento, la sicurezza ICS può beneficiare dell’architettura Zero Trust e della micro-segmentazione.

Un autista di un camion è fermo in coda presso uno stand di registrazione automatica, pochi metri fuori dall’area recintata di una fabbrica. Lo stand, che si connette direttamente alla rete di produzione ICS (industrial control system) dell’azienda, lascia che completi la procedura di registrazione senza lasciare il camion. Il sistema automatico di magazzino adesso sa che è arrivato per prendere il carico.

Un ingegnere del team di supporto tecnico di un fornitore sta gestendo un problema con un controller, operando all’interno della rete di produzione ICS. Per risolvere il problema, si connette direttamente alla rete usando una connessione VPN diretta L2L (LAN to LAN). Le regole del firewall perimetrale per l’intera gamma di indirizzi IP della rete del fornitore (/16 mask) abilita alcuni membri dello staff per connettersi alla fabbrica se necessario.

Un consulente visita il piano della fabbrica per aggiornare il software del controller che abiliterà la linea di produzione per assemblare un nuovo prodotto. Il prodotto richiede una logica aggiuntiva per i sensori sulla linea. Il consulente collega il suo laptop direttamente ad una porta ethernet di uno switch in un rack ICS e stabilisce una connessione al controller. Usando il suo telefono come access point mobile, procede quindi a connettersi ad internet per scaricare l’ultima versione del software del controller. La rete di produzione ICS è stata appena collegata ad internet.

Quindi dov’è il perimetro?

Questi sono solo alcuni esempi della natura flessibile dei perimetri dell’ambiente ICS che i nostri consulenti vedono quando visitano gli stabilimenti di produzione. Le crescenti esigenze di trasferimento dati e connettività remota hanno trasformato il firewall di rete ICS una volta isolato in un “formaggio con i buchi”, presentando quindi diverse sfide per la sicurezza ICS. Il perimetro effettivo della rete ICS potrebbe essere centinaia di chilometri lontano dallo stabilimento attuale. Questa tendenza è ulteriormente accelerata con l’adozione delle tecnologie mobile e cloud, anche in ambienti ICS.

Tutto ciò ha reso sempre più difficile la gestione efficace del perimetro della rete ICS, nella maniera tradizionale di mettere una singola barriera nel punto di ingresso della rete. E il perimetro non è più la recinzione fisica intorno allo stabilimento. Piuttosto, il perimetro è lì dove si trova il più lontano punto della tua rete. Potrebbe essere uno stand posizionato al di fuori della recinzione o la casa di un impiegato di un fornitore.

Infatti, non è raro che l’azienda che gestisce lo stabilimento di produzione non sappia nemmeno dove sia il suo attuale perimetro. Le moderne e complesse supply chain e la moltitudine di fornitori che popolano l’ambiente di produzione creano un’infrastruttura di rete complessa.

La micro-segmentazione come soluzione

Con i progressi tecnologici delle moderne apparecchiature di rete e le soluzioni di controllo degli accessi disponibili oggi sul mercato, è possibile implementare una cosiddetta architettura Zero Trust. In tale architettura, gli utenti che si connettono da remoto alla rete ICS sono identificati in maniera adeguata, in base alla loro identità e posizione geografica. I diritti di accesso possono essere assegnati in maniera granulare, consentendo connessioni solo per specifici host o controller all’interno della rete. Questa micro-segmentazione dinamica della rete consente un severo controllo degli accessi senza bisogno di configurare utenti con permessi eccessivi o regole del firewall specifiche per i fornitori. Questo riduce decisamente la superficie d’attacco verso la rete ICS e le possibilità di movimento laterale all’interno della rete.

Le overlay network private micro-segmentate sono descritte, per esempio, nel documento ISA (International Society of Automation) TR100.15.01 intitolato “Backhaul Architecture Model: Secured Connectivity over Untrusted or Trusted Networks.” Questo documento presenta un modello architetturale di connessione dei componenti ICS su reti di backhaul untrusted. Le conoscenze e il modello architetturale del documento possono essere usati come base per connessioni VPN e LAN “trusted”.

È tempo di riconoscere le sfide della sicurezza ICS. Numero uno, è difficile controllare cosa succede all’interno della rete ICS e come i fornitori gestiscono la loro sicurezza. Numero due, poichè le supply chain diventano sempre più complesse, è il momento di archiviare il paradigma secondo cui “tutto il traffico VPN proviene da fonti affidabili.”

Per ulteriori dettagli sulla sicurezza ICS, scarica il nostro ebook sulla storia di un cyber attacco mirato nel settore manifatturiero. Scoprirai come gli attaccanti possono violare le barriere difensive e cosa succede in un attacco ICS conclamato.