Affrontare il tema “security” in ambito industriale non è mai semplice.

Si tratta di lavorare con infrastrutture spesso critiche ed è necessario porre molta attenzione a non impattare l’andamento delle operazioni.

L’attività di Threat Modeling può tornare molto utile in questo contesto, ancor più che in ambito IT, evidenziando le minacce più pericolose e le contromisure più critiche da adottare.

I sistemi di controllo industriale

Si tratta di sistemi di vario genere, come SCADA, DCS e PLC, che permettono il monitoraggio e la variazione dei parametri operativi dei componenti di campo (e.g. attuatori, turbine, sensori).

Vengono identificati con l’acronimo inglese ICS, Industrial Control System, e sono alla base della moderna industria.

Storicamente, nella realizzazione di architetture industriali si è favorita la netta separazione tra i sistemi ICS e i sistemi IT, collocando i primi all’interno di ambienti “air gapped” isolati.

Tuttavia, negli ultimi 20 anni, la diffusione di dispositivi più “smart”, dell’IIoT (Industrial Internet of Things), in combinazione con la crescente necessità delle aziende di monitorare ed accedere ai sistemi da remoto, ha fatto sì che il mondo IT permeasse sempre più all’interno di quello ICS.

ICS e Cybersecurity

La fusione tra ambiente industriale e tecnologie informatiche ha permesso alle aziende di adottare soluzioni più economiche e di aumentare la propria competitività sul mercato, ma con l’utilizzo di soluzioni consumer e protocolli standard più accessibili, i sistemi ICS sono diventati più esposti all’ambiente esterno.

È importante comprendere che, quando si parla di sicurezza in ambito ICS, i criteri di valutazione sono ben diversi da quelli IT. L’accento non va più posto su confidenzialità, integrità e disponibilità (paradigma CIA) ma su sicurezza fisica di apparati e persone, affidabilità e disponibilità (paradigma SRA).

PERA

Acronimo di Purdue Enterprise Reference Architecture, anche noto come modello Purdue, PERA è un modello di riferimento per architetture enterprise sviluppato negli anni ‘90.

Il modello è costituito da sei livelli, numerati da 0 a 5, ognuno dei quali è costituito da uno specifico insieme di apparati e tecnologie. Al livello più basso si trovano tutti i dispositivi di campo, come sensori, attuatori e valvole. Al livello più alto stanno invece tutte le tecnologie a corredo del business, come Active Directory, e-mail e software CRM.

Tra il terzo e il quarto livello si trova il confine tra il mondo dei sistemi ICS e quello del mondo IT. Questo punto è stato a lungo trattato come una sorta di DMZ, in grado di proteggere in un ambiente “air gapped” gli apparati più critici.

È importante notare che il modello Purdue non è stato pensato per la cybersecurity e che il suo scopo principale è esclusivamente quello di aiutare nella segmentazione delle reti per favorire l’integrazione tra ambienti IT e industriali.

Nonostante questa limitazione, PERA è ancora ampiamente adottato, ed è stato usato come punto di partenza per sviluppare nuovi modelli più focalizzati sulla sicurezza, come ad esempio il SANS ICS410 Reference Model. Resta inoltre un ottimo supporto durante le attività di threat modeling.

Threat modeling

Con il termine threat modeling si intende il processo di analisi delle potenziali minacce. Questo si effettua attraverso l’identificazione dei vettori di attacco sfruttabili da un attore malevolo, e degli obiettivi che plausibilmente prenderebbe di mira.

Se fatto correttamente, il threat modeling permette di:

  • produrre dati misurabili, sul tipo di minacce e sulle probabilità di ognuna di trasformarsi in eventi avversi;
  • rispettare requisiti regolatori, quando espressamente richiesto, o facilitarne l’adeguamento rendendo più semplici le operazioni di auditing;
  • risparmiare denaro, permettendo di identificare per tempo le possibili falle di sicurezza, quando non è ancora troppo oneroso correggerle.

Come si effettua il threat modeling

Generalmente, il processo di threat modeling è suddivisibile in tre steps successivi, ciascuno dei quali prende in input i risultati del precedente.

1.      Modellazione dell’architettura e dei processi

Consiste nell’identificazione di tutti gli assets, dei punti d’ingresso e dei livelli d’accesso che permettono il normale funzionamento di un ambiente. PERA, il modello di cui abbiamo accennato prima, torna molto utile a questo proposito in campo industriale.

Genera come output una mappa dei flussi di dati, nota anche come Data-flow Diagram o DFD.

2.      Classificazione delle minacce

Si appoggia alla mappa dei flussi prodotta durante lo step della modellazione per aiutare a identificare, categorizzare e valutare le minacce.

Nel corso degli anni, in ambito IT sono stati sviluppati diversi modelli per rendere più semplice questo passaggio. Un esempio è dato dai metodi STRIDE e DREAD.

STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, Elevation of privilege) è utilizzato per classificare le minacce e assegnarle ad una categoria. Nel caso ICS, ricordando il paradigma SRA, è possibile aggiungere due nuove classi di minacce al modello: Physical DoS e Physical harm, per cui si parlerà di STRIDEPP.

DREAD (Damage, Reproducibility, Exploitability, Affected users, Discoverability), invece, viene utilizzato per assegnare un valore al rischio causato dalla minaccia. Può essere riadattato al caso industriale inserendo come nuovo fattore di valutazione l’Environmental Impact, diventando così DREADE.

Il risultato del passaggio di classificazione è dunque una lista ordinata di minacce su cui operare secondo il livello di rischio.

3.      Determinazione delle contromisure

Partendo dalla classificazione delle minacce si passa all’individuazione delle possibili contromisure da adottare.

Questo si traduce in tre possibili scelte:

  • accettare il rischio dovuto alla minaccia;
  • eliminare la minaccia, se possibile, operando sui componenti dell’architettura;
  • mitigare la minaccia, implementando controlli compensativi (e.g. IDS, NDI, EDR, ecc.).

ICS e threat modeling: futuro prossimo

Il contesto industriale pone delle sfide uniche al mondo della cybersecurity. Questa breve e non esaustiva guida, mira ad essere un’infarinatura utile per affrontare queste sfide con un po’ più di consapevolezza e a spronare verso l’approfondimento dei temi trattati.

Fortunatamente, i professionisti della cybersecurity sono già al lavoro per aggiornare standard e framework, come il NIST 800-82, riadattandoli alle evoluzioni subite dall’industria. Questo presumibilmente renderà più semplice la scelta di quali misure di sicurezza adottare, riducendo i costi di analisi per le aziende.

Tuttavia, il threat modeling rimane uno strumento di valore inestimabile per tutti quegli operatori del settore che scelgono di seguire un approccio proattivo alla sicurezza.

Se sei interessato ad approfondire l’argomento scrivici a info@radsec.it o compila la form che si trova alla fine di questa pagina.

Riferimenti

Bongiorni, L. (2019, Settembre 21). How Threat Modelling Can Influence ICS Security Posture. Tratto da Kaspersky: https://ics.kaspersky.com/media/ics-conference-2019/01-Luca-Bongiorni-How-Threat-Modeling-can-Influence-ICS-Security-Posture.pdf

ENISA. (2011, Dicembre 09). Protecting Industrial Control Systems. Recommendations for Europe and Member States. Tratto da ENISA – European Union Agency for Cybersecurity: https://web.archive.org/web/20220716044705/https://www.enisa.europa.eu/publications/protecting-industrial-control-systems.-recommendations-for-europe-and-member-states/@@download/fullReport

Kamal, M. (2019, Gennaio 1). ICS Layered Threat – SANS Institute. Tratto da SANS: https://www.sans.org/reading-room/whitepapers/ICS/ics-layered-threat-modeling-38770

Mathezer, S. (2021, Luglio 16). Introduction to ICS Security Part 2. Tratto da SANS: https://www.sans.org/blog/introduction-to-ics-security-part-2/

OWASP. (2022, Settembre 4). Threat Modeling Process | OWASP Foundation. Tratto da OWASP: https://owasp.org/www-community/Threat_Modeling_Process