I sistemi di controllo industriali (Industrial Control Systems – ICS) sono una componente onnipresente e integrante delle aziende: che si tratti degli ambienti di produzione o di settori industriali più specifici, come i trasporti o il comparto dell’Oil & Gas, molte delle infrastrutture cosiddette critiche impongono maggiore visibilità e trasparenza a livello di controllo, ma anche a livello di sicurezza. In molti casi, infatti, le cronache del cybercrime raccontano come gli attacchi agli ICS siano sempre più frequenti, in quanto tallone d’Achille della gestione aziendale. In tale ottica, è importante capire cos’è un firewall e quale ruolo può avere in questo contesto.
ICS 4.0 e tecnologie abilitanti
All’inizio i sistemi di controllo industriale erano costituiti da soluzioni meccanizzate poi diventate elettromeccanizzate. I dispositivi ICS che utilizzavano protocolli proprietari erano considerati da molti a prova di hacker e tenuti separati dai sistemi IT implementati negli uffici aziendali.
Negli ultimi anni, invece, si è assistito a una progressiva convergenza tra i due sistemi che, sempre più spesso, non vengono più separati a livello di rete pubblica. Si tratta di un’evoluzione che ha comportato una diversificazione della domanda sia in termini di acquisizione e di condivisione dei dati sia in termini di requisiti. In sintesi, oggi per comunicare tra la fabbrica/ICS e le reti IT aziendali i sistemi di business devono prevedere l’uso di programmi specifici di gestione delle risorse aziendali. Questa convergenza, per altro, è stata accelerata dall’aumento dei costi legati alla manutenzione e alla messa in sicurezza delle reti ICS legacy, dai cambiamenti rispetto ai metodi di connessione utilizzati dai nuovi sistemi di controllo (passati dalle connessioni seriali dirette alle reti TCP/IP) nonché dalla maggiore richiesta di accesso remoto ai sistemi e ai dispositivi ICS da parte degli utenti ma anche dei vendor. I nuovi criteri di impostazione delle reti ICS e delle interfacce aziendali impongono un sistema di difesa più profondo e pervasivo. Per questo motivo gli esperti accendono i riflettori sul firewall come parte integrante di una buona strategia di sicurezza.
Firewall: cos’è, come funziona e a cosa serve
Nel documento Firewall Deployment for SCADA and Process Control Networks pubblicato dall’U.K. Centre for the Protection of National Infrastructure (CPNI) si ricorda cos’è un firewall: “… un meccanismo utilizzato per controllare e monitorare il traffico da e verso una rete, allo scopo di proteggere i dispositivi, parametrando il traffico a criteri di sicurezza predefiniti, scartando i messaggi che non soddisfano le policy definite“.
I firewall, infatti, fungono da protezione tra le diverse zone di rete che, se non configurate correttamente, possono consentire il passaggio di contenuti a utenti non autorizzati o o con intenzioni malevole. Non solo: i firewall possono anche limitare ulteriormente le comunicazioni della sottorete ICS tra subnet e dispositivi di sicurezza funzionali.
Le funzionalità di un firewall ben posizionato e configurato permettono di:
- autenticare gli utenti prima che sia consentito loro l’accesso;
- bloccare tutte le comunicazioni tra dispositivi (ad eccezione di pacchetti o applicazioni specificamente abilitati);
- imporre l’autorizzazione per ogni flusso di destinazione;
- stabilire la separazione dei domini;
- monitorare e registrare eventi di sistema;
- monitorare il traffico in ingresso e in uscita, disabilitando le comunicazioni non autorizzate;
- consentire agli ICS di implementare politiche operative appropriate che potrebbero non essere appropriate in una rete IT (un esempio è il divieto di comunicazioni meno sicure, come può essere la posta elettronica).
I firewall possono anche essere utilizzati per definire la separazione di sistemi di controllo industriali e reti aziendali, delineando i confini della DMZ. I firewall sono anche espressamente menzionati nella norma IEC 62443-3-2, “Sicurezza per i sistemi di automazione e controllo industriali”, quando si affronta il modo in cui le zone separate sono stabilite all’interno dell’ICS o della zona operativa.
In sintesi, i firewall sono un imperativo operativo per la separazione di sistemi di controllo industriali e reti aziendali. Attenzione, però, avvertono gli esperti: i firewall possono anche essere problematici. Non solo possono ritardare il traffico di rete ma, essendo soggetti a installazioni e configurazioni errate, possono introdurre variabili di complessità e di rischio che vanno risolte sin dall’inizio.
Firewall specifici per ICS
Sul mercato, uno dei primi firewall specifici per i sistemi di controllo industriali è stato Tofino Xenon Security Appliance, un firewall con fattore di forma ridotto, funzionalità aggiuntive per l’ispezione approfondita dei pacchetti e controlli di configurazione specifici per i protocolli ICS. Xenon Security Appliance è progettato per applicazioni associate alle zone e ai conduttori descritte nella norma IEC 62443-3-2.
Tra gli altri fornitori di firewall a supporto delle reti ICS troviamo Fortinet, PaloAlto Networks, Check Point e Cisco.
Gli architetti di rete che gestiscono i sistemi di controllo industriale dovrebbero sapere che questo tipo di ambienti possono essere ostili, sporchi e possono richiedere dispositivi intrinsecamente sicuri a causa degli ambienti critici nei quali operano. Questo significa che, con molta probabilità un firewall standard non funzionerà o non sarà adeguato. Insomma: bisogna valutare con cura, pensando a tutte le specificità dell’ambiente in cui sarà inserito il firewall.
Una potenziale alternativa futura ai firewall ICS sono i cosiddetti data diodi: si tratta di dispositivi di rete unidirezionali, utilizzati come gateway di sicurezza, che consentono ai dati di spostarsi in un’unica direzione e vengono utilizzati nelle centrali nucleari per separare i sistemi di sicurezza strumentali. Queste porte unidirezionali sono efficaci, ma sono anche molto costose.
È possibile bypassare un firewall?
I firewall non sono infallibili e nemmeno sono una panacea per la sicurezza dei sistemi di controllo industriali. Alcune dinamiche di vulnerabilità possono essere:
- l’utilizzo di credenziali rubate degli utenti ICS autorizzati;,
- l’attacco a un’interfaccia web aziendale esterna e – se ha successo – probabilmente facendo perno sullo storico dei dati, attraverso un programma che raccoglie e archivia i dati di produzione e di processo e che si trova all’interno della DMZ;
- l’inserimento di media mobili infetti in un componente di sistema delle reti ICS;
- l’esecuzione di un upload di software firewall difettoso o di una patch del firmware da un server contaminato, come quelli utilizzati in un watering hole attack.
È possibile bypassare o aggirare un firewall anche quando un firewall non è stato riparato, è stato configurato in modo non idoneo o è stato posizionato in modo errato nella rete ICS. Allo stesso modo, un firewall può essere reso inefficace se i suoi set di regole non sono stati aggiornati o non sono stati impostati correttamente.
Un altro punto di attenzione segnalato dagli analisti è quello relativo all’impatto della catena di fornitura. Ad esempio, recentemente, c’è stata una forte attenzione all’utilizzo di firewall commerciali e pronti all’uso. Questi dispositivi sono spesso realizzati all’estero e potrebbero essere soggetti a malware software o firmware, configurazione errate e via dicendo.
Gli hacker possono anche bypassare un firewall sfruttando l’accesso remoto da Internet o dal mondo esterno nell’ICS e all’interno del confine del firewall. Ad esempio, un intruso può accedere all’account di un utente presso la sua sede o la sua sede aziendale e quindi utilizzare questo tipo di credenziali rubate per connettersi ai componenti/sistemi ICS critici. Allo stesso modo, l’utilizzo dei modem o dei punti di accesso wireless all’interno delle reti ICS può consentire agli hacker di aggirare un firewall. Le azioni umane, intenzionali o non intenzionali, possono anche consentire a un utente malintenzionato di aggirare un firewall.
Uno studio del Dipartimento del Dipartimento della Sicurezza Nazionale degli Stati Uniti (Department of Homeland Security – DHS) sottolinea come una buona pratica per migliorare la sicurezza informatica dei sistemi di controllo industriali sia quella di non dare per scontato che l’implementazione di una DMZ sia una panacea per prevenire la minaccia di soggetti capaci di penetrare in profondità negli ambienti critici.
Come proteggere i firewall ICS
Come affermato in precedenza, gli utenti devono riconoscere che nessun sistema è sicuro al 100% e nessun singolo prodotto o tecnologia di sicurezza può proteggere l’ICS da solo. Il rapporto CPNI indica alcuni accorgimenti utili:
- Non consentire connessioni dirette da Internet alla rete ICS e viceversa.
- Limitare l’accesso dalla rete aziendale alla rete di controllo.
- Consentire solo l’accesso autorizzato dalla rete aziendale ai server ICS condivisi nella DMZ (normalmente lo storico dei dati, i server di manutenzione, i server per le patch e i server antivirus).
- Mettere in sicurezza i metodi utilizzati per il supporto remoto autorizzato dei sistemi di controllo.
- Mettere in sicurezza le connessioni dei dispositivi wireless.
- Stabilire, implementare e mantenere regole definite che delineano il tipo di traffico consentito sulla rete ICS.
- Monitorare il traffico sulla rete ICS e il traffico che tenta di accedervi.
- Mettere in sicurezza la connettività che serve a gestire i firewall.
Altre azioni chiave da attuare per i firewall includono:
- Implementare politiche e procedure per garantire che il software e il firmware del firewall abbiano le patch adeguate e siano costantemente aggiornati. Rinviare le attività di patch, infatti, può dare agli aggressori più tempo per applicare nuove conoscenze contro ICS e altri sistemi critici.
- Formare gli utenti e gli amministratori di firewall su tutte le possibili vulnerabilità, minacce e impatto del fattore umano sulla sicurezza di questo tipo di dispositivi che potrebbero causare errori od omissioni rispetto alla configurazione del firewall, i set di regole, e via dicendo.
- Eseguire il backup delle configurazioni del firewall.
- Sottoscrivere un abbonamento per una soluzione DHS Industrial Control System Cyber Emergency Response team monitorando le notifiche di allarme.
- Istituire l’autenticazione multifactor per qualsiasi accesso, locale o remoto, a firewall e componenti/sistemi ICS.
- Controllare periodicamente e verificare che i set di regole e il posizionamento del firewall siano corretti, aggiornati e non consentire a un utente malintenzionato di bypassare il firewall.
- Cambiare sempre le credenziali predefinite – nomi utente / password – su tutti i sistemi ICS e aziendali prima che vengano pubblicati.
- Implementare e mettere in pratica un piano di risposta agli incidenti in caso di violazione di un firewall, che potrebbe causare danni all’ICS o alle reti e ai dati aziendali.
Relazioni con i fornitori di firewall
È necessario che l’amministratore di ICS eserciti pressione sui propri fornitori di firewall per assicurarsi che questi non contengano vulnerabilità nascoste o zero-day. Un amministratore dovrebbe anche stabilire uno stretto rapporto con il suo fornitore e lo staff di ingegneri della sicurezza per rimanere aggiornato sulle evoluzioni delle potenziali minacce. Questo è particolarmente importante perché i fornitori potrebbero non essere necessariamente al di sopra delle strategie e dei processi di ingegneria della sicurezza del firewall.