Swascan OT Cyber Framework

Swascan OT Cyber Framework, quanto è sicura la tua Operational technology?

Inizia il Free Trial!

Swascan OT Cyber Framework – In questo articolo parleremo del servizio Swascan OT Cyber Framework, l’assessment che ti permette di scoprire quanto è sicura la tua Operational Technology.

Nel dettaglio parleremo di:

  • Operational Technology;
  • Gli Asset dell’OT;
  • Swascan OT Cyber Framework – Servizi Swascan OT Cyber Security;
  • OT Cyber Framework Check-up.

IT and OT technology pyramid

Swascan OT Cyber Framework – In questa tabella sono illustrati i livelli coperti dalle tecnologie IT e OT

Operational Technology

Swascan OT Cyber Framework – OT o Operational Technology comprende i sistemi informatici che gestiscono le operazioni industriali. Questo include, come da illustrato da tabella:

  • Industrial Control System
  • Scada
  • Distributed Control System

Industrial control system

Swascan OT Cyber Framework – Industrial control system (ICS) è un termine collettivo usato per descrivere i diversi tipi di sistemi di controllo e la relativa strumentazione, che comprende i dispositivi, i sistemi, le reti e i controlli utilizzati per far funzionare e/o automatizzare i processi industriali. A seconda dell’industria, ogni SCI funziona in modo diverso e sono costruiti per gestire elettronicamente le attività in modo efficiente. Oggi i dispositivi e i protocolli utilizzati in un SCI sono utilizzati in quasi tutti i settori industriali e nelle infrastrutture critiche come l’industria manifatturiera, dei trasporti, dell’energia e del trattamento delle acque.

Esistono diversi tipi di SCI, i più comuni dei quali sono Supervisory Control and Data Acquisition (SCADA) systems, e Distributed Control Systems (DCS). Le operazioni locali sono spesso controllate dai cosiddetti Field Device che ricevono comandi di supervisione da stazioni remote.

SCADA

Swascan OT Cyber Framework – Le sue capacità sono focalizzate sul controllo a livello di supervisione. I sistemi SCADA sono composti da dispositivi (generalmente Controllori a logica programmabile (PLC), unità terminali remoti multipli (RTU) o altri moduli hardware commerciali) che sono distribuiti in varie località.

I sistemi SCADA possono acquisire e trasmettere dati e sono integrati con un’interfaccia uomo-macchina (HMI) che consente il monitoraggio e il controllo centralizzato di numerosi ingressi e uscite di processo. Lo scopo principale dell’utilizzo dello SCADA è il monitoraggio e il controllo a lunga distanza dei siti di campo attraverso un sistema di controllo centralizzato. I sistemi SCADA sono costituiti da tre componenti principali :

  • Un centro di comando centrale è costituito da tutti i server che eseguono software SCADA;
  • I sistemi di controllo locali multipli e remoti controllano e automatizzano direttamente le apparecchiature di processo;
  • I sistemi di comunicazione collegano i server del centro di comando centrale alle postazioni remote.

Lo scopo principale dello SCADA è l’acquisizione di dati

Distributed Control System

Il Distributed Control System (DCS) è un tipo di sistema di controllo di processo che collega controllori, sensori, terminali operatore e attuatori.

Si tratta di un sistema che viene utilizzato per controllare i sistemi di produzione che si trovano in un unico luogo. In un DCS, viene inviato al controllore un setpoint che è in grado di istruire le valvole, o addirittura un attuatore, a operare in modo tale da mantenere il setpoint desiderato. I dati provenienti dal campo possono essere memorizzati per riferimenti futuri, utilizzati per un semplice controllo di processo o anche per strategie di controllo avanzate con dati provenienti da un’altra parte dell’impianto.

Ogni DCS utilizza un circuito di supervisione centralizzato per gestire più controllori locali o dispositivi che fanno parte dell’intero processo produttivo. In questo modo le industrie hanno la possibilità di accedere rapidamente ai dati di produzione e di funzionamento. Inoltre, utilizzando più dispositivi all’interno del processo di produzione, un DCS è in grado di ridurre l’impatto di un singolo guasto sull’intero sistema.

Le funzioni di acquisizione e controllo dei dati sono svolte da processori distribuiti situati in prossimità delle periferiche o degli strumenti da cui vengono raccolti i dati.

Gli Asset dell’OT

OT Technologies

  • IT and OT: Le variabili di Operational Technology (OT) comprendono i sistemi hardware e software che monitorano e controllano i dispositivi fisici sul campo. I compiti di OT variano a seconda del settore industriale. I dispositivi che monitorano la temperatura in ambienti industriali sono esempi di dispositivi OT. La convergenza tra IT e OT fornisce alle imprese una maggiore integrazione e visibilità della supply chain, che include gli asset critici, la logistica, i piani e i processi operativi. Avere una buona visione della supply chain aiuta le organizzazioni a rimanere competitive. Dall’altro lato, tuttavia, la convergenza tra OT e IT consente un accesso più facile a queste due componenti che sono obiettivi dei criminali informatici. In molte organizzazioni l’infrastruttura OT è nel migliore dei casi scarsamente protetta contro gli attacchi informatici.
  • Programmable Logic Controller (PLC): Si tratta di un tipo di hardware che viene utilizzato sia nei sistemi DCS che SCADA come componente di controllo di un sistema globale. Fornisce anche la gestione locale dei processi in corso attraverso dispositivi di controllo di feedback come sensori e attuatori. Nello SCADA, un PLC offre le stesse funzionalità delle unità terminali remoti (RTU). Nei DCS, i PLC sono utilizzati come controllori locali all’interno di uno schema di controllo di supervisione. I PLC sono implementati anche come componenti primari in configurazioni di sistemi di controllo più piccoli.
  • Remote Terminal Unit (RTU): Una RTU è un dispositivo di campo controllato da microprocessore che riceve comandi e invia informazioni alla MTU.
  • Control Loop: Ogni circuito di controllo è costituito da hardware come PLC e attuatori. L’anello di controllo interpreta i segnali provenienti da sensori, valvole di controllo, freni, interruttori, motori e altri dispositivi simili. Le variabili misurate da questi sensori vengono poi trasmesse al controllore per eseguire un compito e/o completare un processo.
  • Human Machine Interface (HMI): Un’applicazione di interfaccia grafica utente (GUI) che permette l’interazione tra l’operatore umano e l’hardware del controllore. Può anche visualizzare informazioni sullo stato e dati storici raccolti dai dispositivi in ambiente ICS. Viene inoltre utilizzato per monitorare e configurare i setpoint, gli algoritmi di controllo e per regolare e stabilire parametri nei controllori.
  • Remote Diagnostics and Maintenance: Questo è un termine usato per identificare, prevenire e recuperare da operazioni anomale o guasti.
  • Control Server: Un server di controllo ospita il software di controllo di supervisione DCS o PLC e comunica con i dispositivi di controllo di livello inferiore.
  • SCADA Server or Master Terminal Unit (MTU): Si tratta di un dispositivo che emette comandi alle RTU sul campo.
  • Intelligent Electronic Device (IED): Un dispositivo intelligente in grado di acquisire dati, comunicare con altri dispositivi ed eseguire elaborazioni e controlli locali. L’uso degli IED in sistemi di controllo come SCADA e DCS consente di effettuare automaticamente i controlli a livello locale.
  • Data Historian: Uno storico dei dati è un database centralizzato per la registrazione di tutte le informazioni di processo in un ambiente ICS e la successiva esportazione dei dati nell’IS aziendale. I dati raccolti vengono quindi utilizzati per l’analisi di processo, il controllo statistico di processo e la pianificazione a livello aziendale.

OT Communication Protocols

  • Process Field Bus (PROFIBUS): PROFIBUS utilizza le comunicazioni da RTU a MTU, da MTU a MTU e da RTU a RTU sul campo. Sono disponibili due varianti: Profibus DP (periferiche decentralizzate), utilizzato per azionare sensori e attuatori attraverso un controllore centrale, e Profibus PA (automazione di processo), utilizzato per monitorare le apparecchiature di misura attraverso un sistema di controllo di processo.
  • Distributed Network Protocol (DNP3): Si tratta di un protocollo a tre livelli che opera a livello di collegamento dati, applicazione e trasporto. Questo protocollo è ampiamente utilizzato negli impianti di trattamento dell’elettricità e/o dell’acqua e delle acque reflue.
  • Modbus: Dalla sua introduzione nel 1979, il Modbus è considerato uno dei più antichi protocolli ICS. Il Modbus utilizza le comunicazioni seriali con i PLC ed è stato di fatto il protocollo di comunicazione in ambiente ICS. Esistono due tipi di implementazione del Modbus: Modbus seriale – che utilizza lo standard HDLC (High Level Data Link Control) per la trasmissione dei dati, e Modbus-TCP – che utilizza lo stack di protocollo TCP/IP per la trasmissione dei dati.
  • Open Platform Communication (OPC): L’OPC è una serie di standard e specifiche per le comunicazioni industriali. La specifica OPC si basa su tecnologie sviluppate da Microsoft® per la famiglia di sistemi operativi Windows® (OLE, COM e DCOM).
  • Building Automation and Control Networks (BACnet): Si tratta di un protocollo di comunicazione progettato per controllare il controllo del riscaldamento, della ventilazione e della climatizzazione (HVAC), l’illuminazione, l’accesso agli edifici e la rilevazione di incendi.
  • Common Industrial Protocol (CIP): Un CIP è un insieme di servizi e messaggi per il controllo, la sicurezza, la sincronizzazione, la configurazione, le informazioni e così via. L’ICP può essere integrato in reti Ethernet e Internet. CIP ha una serie di adattamenti che forniscono intercomunicazione e integrazione per diversi tipi di reti.
  • Ethernet for Control Automation Technology (EtherCAT): Un protocollo di comunicazione open-source utilizzato per incorporare Ethernet in ambienti industriali. EtherCAT è utilizzato in applicazioni di automazione con cicli di aggiornamento brevi (≤ 100μs) e con jitter ≤ 1μs.

Swascan OT Cyber Framework, i servizi

ICS Security Assessments

Per identificare tutte le potenziali vulnerabilità in un ambiente ICS, i nostri esperti conducono test di penetrazione interna su un insieme concordato di sistemi e componenti.

Una valutazione di sicurezza che simula vari tipi di intrusi a vostra scelta, il cui obiettivo è elevare i privilegi attuali e accedere all’ambiente ICS.

ICS Audit

Gli specialisti ICS Swascan impiegano un’ampia gamma di test per valutare i meccanismi di protezione esistenti nella vostra rete ICS e nel vostro ambiente. Attraverso una combinazione di ispezioni visive, interviste con il personale chiave, e la verifica delle impostazioni di configurazione per tutti i componenti ICS.

Swascan OT Cyber Framework: ICS Audit

1.Analizzare l’architettura di rete per verificare specificamente la corretta segmentazione della rete (separazione tra controller, server e workstation);

2.Analizzare le procedure per l’applicazione degli aggiornamenti;

3.Valutare l’efficacia della vostra protezione antivirus;

4.Analizzare l’utilizzo di software contraffatto o di terze parti;

5.Identificare gli account delle postazioni di lavoro e i privilegi di amministratore, compresa la valutazione dei loro livelli di sicurezza;

6.Analizzare le regole del firewall;

7.Rivedere le politiche sulle password;

8.Test di blocco automatico del lavoro (ad eccezione delle postazioni di lavoro operative);

9.Analizzare le interfacce di gestione disponibili per PLC, switch gestiti e router;

10.Controllare il posizionamento delle postazioni di ingegneria e dei server in una stanza separata;

11.Verificare la sicurezza delle porte di comunicazione sulla postazione operatore, sui server e sulle stazioni di progettazione;

12.Verificare l’accesso alla shell di Windows sulle postazioni operatore;

13.Controllare la rete di backup (switch, router, firewall), controller e server critici;

14.Verificare l’uso di protocolli non dichiarati nei segmenti di controllo;

15.Test armadio di sicurezza e apparecchiature di telecomunicazione;

16.Verify accessibility of ICS via wireless and remote access technologies;

17.Testare l’interazione di ICS con sistemi esterni;

18.Controllare la connettività a Internet per tutti i componenti ICS;

19.Confermare l’uso di apparecchiature di livello industriale: router, interruttori, interruttori, firewall, convertitori, supporti, ecc.

Swascan OT Cyber Framework: Penetration Test

Per identificare tutte le potenziali vulnerabilità in un ambiente ICS, i nostri esperti conducono test di penetrazione interna su un insieme concordato di sistemi e componenti. Questi test includono:

1.Valutazione della resilienza della sicurezza della rete agli attacchi al livello di collegamento dati per identificare i punti deboli che potrebbero consentire agli aggressori di accedere alla LAN;

2.Monitoraggio e analisi del traffico di rete per identificare se gli aggressori possono accedere a informazioni sensibili da esso;

3.Identificazione di tutti i tipi di dispositivi, sistemi operativi e applicazioni presenti sul segmento LAN di destinazione;

4.Rilevamento di servizi di rete vulnerabili;

5.Scoperta dei punti deboli del controllo degli accessi, come le informazioni riservate memorizzate su file server mal protetti e una protezione firewall inadeguata o mancante;

6.Revisione dell’utilizzo della password, compresa l’analisi dei dati sul traffico di rete per le informazioni potenzialmente derivate da una password (NTLM, MD5 hash, ecc.). Questa analisi verrà utilizzata per generare un elenco passivo di password che viene testato rispetto ai componenti ICS insieme a un dizionario di password comuni;

7.Analisi dei livelli di sicurezza delle infrastrutture di rete;

8.Determinazione dell’eventualità che le vulnerabilità più critiche riscontrate diano agli aggressori la possibilità di scavare nella rete oltre il segmento di test e di ottenere l’accesso non autorizzato a componenti ICS critici, come SCADA e controllori.

Swascan OT Cyber Framework: Penetration Test Metodology

ICS Penetration Testing segue metodologie documentate di test di sicurezza che possono includere:

Swascan OT Cyber Framework: Results

Come risultato del servizio di valutazione della sicurezza ICS, possono essere identificate varie vulnerabilità che portano all’accesso non autorizzato ai componenti critici della rete, tra cui:

1.Protezione fisica insufficiente delle apparecchiature ICS

2.Architettura di rete vulnerabile, protezione di rete insufficiente (compresi i difetti di separazione della rete ICS da altre reti)

3.Vulnerabilità che portano all’intercettazione e al reindirizzamento del traffico di rete (comprese quelle dei protocolli di comunicazione industriale)

4.Vulnerabilità dei componenti ICS, come SCADA, PLC, contatori intelligenti, ecc.

5.Autenticazione e autorizzazione insufficiente in vari servizi

6.Credenziali utente deboli

7.Difetti di configurazione, compresi privilegi eccessivi per l’utente, nonché la non conformità agli standard di sicurezza e alle raccomandazioni dei fornitori

8.Vulnerabilità nelle comunicazioni tra il SCI analizzato e altri sistemi (ad esempio, attraverso un MES)

9.Vulnerabilità causate da errori nel codice delle applicazioni (iniezioni di codice, traversata del percorso, vulnerabilità lato client, ecc.)

10.Vulnerabilità causate dall’utilizzo di versioni hardware e software obsolete senza gli ultimi aggiornamenti di sicurezza

11.Divulgazione delle informazioni

Swascan OT Cyber Framework: Standards

Il servizio è svolto da un team di esperti Cyber Research Team di Swascan che rispetta la riservatezza, l’integrità e la disponibilità dei vostri sistemi in stretta osservanza alle leggi e alle migliori pratiche internazionali.

In conformità con i seguenti standard internazionali e le migliori pratiche:

1.Standard di esecuzione dei test di penetrazione (PTES)

2.Pubblicazioni speciali del NIST 800-115 Guida tecnica per le prove e la valutazione della sicurezza dell’informazione

3.Manuale della metodologia di test di sicurezza open source (OSSTMM)

4.Quadro di valutazione della sicurezza dei sistemi informatici(ISSAF)

5.Infrastrutture critiche della North American Electric Reliability Corporation Critical Infrastructure

6.Norme di protezione (NERC CIP)

7.Web Application Security Consortium (WASC) Classificazione delle minacce

8.Guida ai test dell’Open Web Application Security Project (OWASP)

9.Centro per gli standard di sicurezza Internet (CIS)

10.Sistema comune di valutazione delle vulnerabilità (CVSS) e altri standard (a seconda dell’attività e della posizione geografica dell’organizzazione).

OT Cyber Framework Check-up

Obiettivo

Il Servizio di OT Cyber Framework Checkup di Swascan permette di:

  • Valutare il Cyber Security Framework dell’Operational Technology in essere del Cliente.
  • Effettuare una Gap Analysis tra l’AS IS e gli standard e best practice di Cyber Security Governance
  • Disegnare il OT Cyber Security Framework aziendale in linea con il contesto

Le fasi

Il Servizio di OT Cyber Framework Checkup di Swascan è strutturato in 6 fasi:

1.Mapping

2.Assess Threats

3.Security KPI

4.Design

5.Gap Analysis

6.Road Map

Le fasi

 

Autore: Pierguido Iezzi

AvatarDa anni mi occupo di CyberSecurity e Digital Innovation. Ho fondato e seguo diverse start-up. La mia passione per la Sicurezza Informatica mi ha portato a lanciare Swascan di cui sono il Co-Fondatore insieme a Raoul Chiesa. Swascan è la prima piattaforma di CyberSecurity, in cloud, SaaS e Pay for Use.
La mia frase è “Ognuno di noi è le risposte alle domande che si pone”.

I nostri servizi

Vulnerability
Assessment

Network
Scan

Code
Review

GDPR
Assessment

ON PREMISE

Servizi Swascan