Industrial Control Systems: Aspetti difensivi – Digital4Pro

Industrial Control Systems: Aspetti difensivi

L’impiego dell’AI nello sviluppo di nuovi prodotti
13 Maggio 2025
at
Categories
Tags

Nel nostro articolo Cyber Security e impianti industriali abbiamo visto come gli Industrial Control System (ICS) sono una parte integrante delle moderne Infrastrutture Critiche (IC) in quanto sovrintendono a tutte le operazioni connesse con la gestione e il controllo di settori vitali come quello elettrico, petrolchimico, energetico, ecc. Tuttavia, tali sistemi espongono le IC alla minaccia cyber, e i recenti attacchi informatici hanno dimostrato che è possibile, attraverso delle manipolazioni malevoli dei processi produttivi, provocare danni dalle conseguenze potenzialmente catastrofiche.

Nel nostro articolo Industrial Control Systems e Infrastrutture critiche abbiamo visto come le società moderne dipendono in modo sempre più radicale dai dispositivi di controllo industriale. Tra i clienti dei principali fornitori di soluzioni OT figurano soggetti che operano in campi quali il settore energetico, delle comunicazioni e dei trasporti. Tali campi sono considerati dalla maggior parte degli stati come settori critici, e i soggetti che vi operano sono identificati come infrastrutture critiche (IC).

Nel nostro articolo Sicurezza negli ambienti OT abbiamo visto come uno studio condotto alcuni anni fa da una società specializzata negli USA ha evidenziato che il tempo medio per l’applicazione di una patch di sicurezza era di 350 giorni con alcuni episodi nei quali l’istallazione era stata effettuata solo 3 anni dopo il rilascio della patch.

In Industrial Control Systems: Una crescente superficie di attacco abbiamo visto come in un contesto di vulnerabilità intrinseche, l’unica barriera che ha garantito per un lungo periodo di tempo un livello accettabile di protezione degli Industrial Control System era costituita dalla così detta security through obscurity. Oggi, i cyber criminali possono soddisfare in buona parte le loro esigenze di raccolta di informazioni e documentazione impiegando strumenti di intelligence open source (OSINT).

Nel nostro articolo Industrial Control Systems: Evoluzione della minaccia abbiamo visto che gli sviluppi del mondo delle OT hanno portato a una trasformazione effettiva del panorama delle minacce cyber.

In Gli attacchi più famosi ai sistemi industriali abbiamo visto che gli attacchi informatici, a differenza delle catastrofi ambientali, sono minacce artificiali di cui la mano umana è la prima responsabile e, in quanto tali, sono più facilmente difendibili e mitigabili.

Ci occupiamo questa volta degli aspetti difensivi con riferimento agli Industrial Control Systems.

Sebbene la loro intrinseca vulnerabilità e l’alta esposizione alla minaccia cyber, gli attacchi contro le OT sono risultati limitati sia in termini di frequenza (ad oggi se ne possono annoverare solo cinque che hanno avuto conseguenze fisiche), sia in termini di impatto, e questo suggerisce che gli aggressori non hanno ancora sviluppato la capacità o l’intenzione di infliggere danni significativi.

In primo luogo, bisogna considerare che a partire dalla scoperta di Stuxnet sono state proposte varie misure difensive per proteggere gli ICS. Una delle strategie migliori è il così detto approccio a “cipolla” o defence in depth.

Questo metodo è organizzato sulla base di una gerarchia di rilevanza delle minacce nei vari sistemi e mira a creare filtri e barriere che ostacolino l’attaccante nel tentativo di accedere ai settori critici del processo, ossia quei livelli del sistema che garantiscono la safety dell’intero ambiente.

La defence in depth, introdotta con lo standard ANIS/ISA 99 (Byres & Al., 2012) e ripresa in modo più dettagliato dall’ICS Cyber Emergency Response Team statunitense (DHS, 2016), prevede di segmentare la rete ICS in zone, dove sono raggruppati gli asset logici e fisici che presentano requisiti di sicurezza comuni in termini di criticità e conseguenze in caso di un eventuale manomissione. Tutte le unità che compongono un settore sono considerate trust e possono dunque scambiare dati e informazioni senza restrizioni. Al contrario, il dialogo tra entità afferenti a zone diverse deve essere concentrato in un numero limitato di snodi, generalmente chiamati conduits, e in corrispondenza di ognuno di essi è bene che vengano inseriti sistemi di monitoraggio, come firewall o dispositivi analoghi, per verificare la correttezza e regolarità dei flussi.

Inoltre, in un’architettura a cipolla si tende a raggruppare gli asset più critici nei settori più interni del sistema. In tale contesto, una misura che aumenterebbe notevolmente la sicurezza dell’intero sistema potrebbe essere quella di adottare soluzioni di comunicazioni data diode, ossia basate su device che consentono un flusso dell’informazione esclusivamente unidirezionalmente dall’interno (campo) verso l’esterno (rete aziendale).

Tuttavia, limitare il flusso informativo risulta particolarmente problematico in quanto occorre sia ricevere informazioni dal campo sia definire set-point, strategie e attività di manutenzione. Questo impone la presenza di sistemi di by-pass del data diode con conseguente limitazione dell’efficienza di quest’ultimi rendendone l’adozione poco utile in tutti quei casi in cui le attività di controllo sono in volume paragonabili al flusso di monitoraggio.

Al di là delle misure difensive poste in essere, le operazioni cibernetiche sono scale sensitive e la difficolta di preparare e sferrare un attacco con successo aumenta in parallelo con la complessità del sistema preso di mira.

I sistemi industriali sono tra i target più complessi e quindi tra i più ardui da compromettere. La grande difficoltà risiede nel fatto che un malintenzionato, per portare un processo al punto di rottura, deve essere in grado non solo di comprendere e padroneggiare il linguaggio dell’ICS per mandare comandi legittimi, ma deve anche sapere quali comandi mandare, a quali componenti del sistema e quali reazioni fisiche provocare per mandare il processo in una configurazione erronea[1]. In altre parole, un attaccante deve combinare skills di diversa natura che comprendono non solo articolate abilità informatiche ma anche avanzate conoscenze ingegneristiche del processo che si vuole compromettere.

Oggi, gli attori che raggiungono questo livello di sofisticazione vengono definiti come Advanced Persisten Threath (APT)[2], ossia un team di avversari determinati e dotati di risorse consistenti (basti pensare che lo sviluppo di Stuxnet è costato oltre venti milioni di dollari) che trascendono il regno digitale comprendendo anche aspetti istituzionali ed organizzativi quali la capacità di acquisire conoscenze di intelligence precise e dettagliate, e la possibilità di mobilitare capitale umano di prima qualità[3].

È evidente che la soglia di risorse necessarie per poter prendere di mira gli ambienti ICS è ben al di fuori della portata degli attori più deboli e, al contrario, rimane una prerogativa di attori di altissimo profilo probabilmente sponsorizzati e supportati da entità statali che usano le APT come proxies nel cyberspace (Maurer, 2018). Da una parte, questo aspetto taglia fuori gli attori più comuni, come i criminali o gli attivisti (Craig & Valeriano, 2018). Dall’altra suggerisce che le operazioni offensive contro gli OT sono volontariamente circoscritte nel loro impatto e sono progettate più per raggiungere vantaggi geopolitici, economici o militari, che per infliggere danni “economici” o reputazionali alla vittima.

Negli ultimi anni si è assistito a una crescita non solo della frequenza, ma anche della qualità degli attacchi cyber contro gli ICS. Da una parte, questo è dovuto a un aumento sostanziale della vulnerabilità esposte da questi sistemi, che per ragioni di efficienza hanno integrato in modo sempre più massiccio strumenti e prodotti propri del mondo IT. Dall’altra, si è registrato un generale aumento e diffusione delle capacità offensive cyber che ha portato al verificarsi di almeno cinque attacchi informatici (Stuxnet, Irongate, BlackEnergy3, Crashoverride, Trisis) con conseguenze cinetiche.

L’impatto di questi attacchi è risultato limitato e distante dalle previsioni catastrofiche di un “Cyber Pearl-Harbour”. Inoltre, le OT costituiscono i target più complessi e comprometterli richiedere il lavoro delle APT, ossia team altamente sofisticati che dispongono di risorse tecnico organizzative al di fuori della portata degli hacker più comuni.

Come riconosciuto dal summit NATO del 2016, che elegge il cyberspace come quinto dominio delle operazioni (NATO, 2019), si pensa che le APT vengano sponsorizzate da entità statali che se ne servono per avanzare i propri interessi geopolitici.

Tuttavia, è da notare come le capacità offensive cyber si stiano sviluppando più velocemente delle contromisure per arginarne la minaccia[4], è dunque urgente e necessario che gli operatori delle IC, in sinergia con i soggetti pubblici deputati, si preparino per ridurre le vulnerabilità delle OT e per proteggersi rispetto a questa classe di attacchi.

Le reti ICS sono nate come sistemi isolati, poi connesse ad internet. Elementi caratterizzanti dei sistemi ICS sono:

  • I sistemi SCADA sono spesso installati su PC accessibili da chiunque operi nei reparti produttivi.
  • Il ciclo di vita degli impianti industriali è nettamente più lungo di quello di qualsiasi PC presente in azienda e spesso i sistemi SCADA sono installati su hardware che segue i tempi di tali impianti magari equipaggiato con Windows XP (non più supportato da Microsoft dall’aprile del 2014) o con Windows Server 2003 (supporto terminato dal luglio 2015).
  • Essendo i sistemi ICS spesso considerati come afferenti il mondo produttivo, vengono trascurati gli aggiornamenti dei sistemi operativi e le relative patch di sicurezza.
  • Le reti ICS, a differenza delle altre reti aziendali, sono spesso non protette da firewall.
  • Mancano antivirus ed antimalware, magari perché non compatibili con le applicazioni.
  • Spesso la rete è aperta verso l’esterno per consentire a terzi di operare gli interventi manutentivi o aggiornare il software di produzione.
  • La responsabilità della progettazione e gestione degli ICS spesso non ricade sul responsabile dei sistemi informativi aziendali, tipicamente più sensibile alla cybersecurity, ma in capo al direttore di produzione o, addirittura, completamente delegata al fornitore delle macchine operatrici o degli impianti.

La Direttiva NIS pone proprio l’accento su queste vulnerabilità, portando gli impianti ICS ad essere considerati alla stregua di ogni altro sistema IT per quanto attiene gli aspetti legati alla sicurezza.

Si tratta di un piccolo passo tecnologico, ma di un grande passo culturale.

 

Bibliografia

  • http://www.mix-it.net
  • https://www.rt.com/news/snowden-nsa-interview-surveillance-831/
  • http://www.giorgiosbaraglia.it/la-guerra-cibernetica-caso-piu-famoso/
  • https://www.nerc.com/pa/CI/ESISAC/Documents/E-ISAC_SANS_Ukraine_DUC_18Mar2016.pdf
  • https://nulltx.com/ukraines-power-grid-hacked-twice-in-one-year/
  • https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
  • https://dragos.com/blog/trisis/TRISIS-01.pdf
  • Cybersecurity kit di sopravvivenza. Il web è un luogo pericoloso. Dobbiamo difenderci!, Giorgio Sbaraglia
  • Albright, D., Brannan, P., & Walrond, C. (2011). Stuxnet malware and natanz: Update of isis december 22, 2010 report. Institute for Science and International Security, 15, 739883-3
  • ARIA – Analysis, Research and Information on Accidents database (2015). Ministry of Environment / General Directorate for Risk Prevention, the BARPI (Bureau forAnalysis of Industrial Risks and Pollutions). At: https://www.aria.developpement-durable.gouv.fr/the-barpi/the-aria-database/?lang=en
  • Assante, M. (2018). Triton/TriSIS – In Search of its Twin. SANS Industrial Control Systems. 29 January. Available at: https://ics.sans.org/blog/2018/01/29/tritontrisis-in-search-of-its-twin
  • Assante, M. J., & Lee, R. M. (2015). The industrial control system cyber kill chain. SANS Institute InfoSec Reading Room, 1
  • Bodenheim, R. C. (2014). Impact of the Shodan computer search engine on internet-facing industrial control system devices (No. AFIT-ENG-14-M-14). AIR FORCE INSTITUTE OF TECHNOLOGY WRIGHT-PATTERSON AFB OH GRADUATE SCHOOL OF ENGINEERING AND MANAGEMENT
  • [6] Bodenheim, R., Butts, J., Dunlap, S., & Mullins, B. (2014). Evaluation of the ability of the Shodan search engine to identify Internet-facing industrial control devices. International Journal of Critical Infrastructure Protection, 7(2), 114-123
  • Brunner, E.M. & Suter, M. (2009). International CIIP Handbook 2008/2009, CRN handbooks, 4(1)
  • Bumiller, E. and Shanker, T. (2012). Panetta Warns of Dire Threat of Cyberattack on U.S, The New York Times, 11 October 2012 available at: http://www.nytimes.com/2012/10/12/world/panetta-warns-of-dire-threat-of-cyberattack.html
  • Byres, E., & Lowe, J. (2004, October). The myths and facts behind cyber security risks for industrial control systems. In Proceedings of the VDE Kongress (Vol. 116, pp. 213-218)
  • Byres, E., Eng, P., & Fellow, I. S. A. (2012). Using ANSI/ISA-99 standards to improve control system security. White paper, Tofino Security
  • Cárdenas, A. A., Amin, S., & Sastry, S. (2008). Research Challenges for the Security of Control Systems. In HotSec
  • Cherepanov, A. (2017). WIN32/INDUSTROYER, A new threat for industrial control systems. White paper, ESET (June 2017)
  • Conway, T., Lee, R. M., & Assante, M. J. (2016). Analysis of the Cyber Attack on the Ukrainian Power Grid. Electricity Information Sharing and Analysis Center. Available at: https://ics.sans.org/media/E-ISAC_SANS_Ukraine_DUC_5.pdf
  • Cook, A., Janicke, H., Smith, R., & Maglaras, L. (2017). The industrial control system cyber defence triage process. Computers & Security, 70, 467-481
  • Craig, A. J., & Valeriano, B. (2018) Realism and Cyber Conflict: Security in the Digital Age. Realism in Practice, 85
  • DHS (2016). Recommended Practice: Improving Industrial Control System Cybersecurity with Defense-in-Depth Strategies. Industrial Control Systems Cyber Emergency Response Team. https://ics-cert.us-cert.gov/sites/default/files/recommended_practices/NCCIC_ICS-CERT_Defense_in_Depth_2016_S508C.pdf [20/05/2019]
  • Drias, Z., Serhrouchni, A., & Vogel, O. (2015). Analysis of cyber security for industrial control systems. In Cyber Security of Smart Cities, Industrial Control System and Communications (SSIC), 2015 International Conference on (pp. 1-8). IEEE
  • E-ISAC (2016). Analysis of the cyber attack on the Ukrainian power grid. Electricity Information Sharing and Analysis Center (E-ISAC).
  • ESET, (2017). ESET discovers dangerous malware designed to disrupt industrial control systems. ESET – Enjoy Safer Technology. 12 June, Available at: https://www.eset.com/us/about/newsroom/press-releases/eset-discovers-dangerous-malware-designed-to-disrupt-industrial-control-systems/
  • European Commission (2005). Green Paper on a European programme for critical infrastructure protection, Com. 576 final. Available at: https://eur-lex.europa.eu/legal-content/EN-FR/TXT/?uri=CELEX:52005DC0576&from=BG
  • Galloway, B., & Hancke, G. P. (2013). Introduction to industrial control networks. IEEE Communications surveys & tutorials, 15(2), 860-880.
  • Higgins, K. J., & Jan, D. (2013). The SCADA patch problem. Information Week. Available at: https://www.darkreading.com/vulnerabilities—threats/the-scada-patch-problem/d/d-id/1138979
  • Higgins, K.J. (2018). FireEye Finds New Clue in TRITON/TRISIS Attack. Dark Reading, 6 August. Available at: https://www.darkreading.com/operations/fireeye-finds-new-clues-in-triton-trisis-attack/d/d-id/1332008
  • Iversen, W. (2004). Hackers Step Up SCADA Attacks. AutomationWorld. 12 october. Available: https://www.automationworld.com/article/technologies/networking-connectivity/switches-gateways-routers-modems/hackers-step-scada
  • Johnson, B., Caban, D., Krotofil, M., Scali, D., Brubaker, N., Glyer, C., (2017). Attackers Deploy New ICS Attack Framework “TRITON” and Cause Operational Disruption to Critical Infrastructure. FireEye. 14 December. Available at: https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
  • Kaspersky lab ICS-CERT, (2017). Threat Landscape for Industrial Automation Systems In The Second Half Of 2016, Kaspersky Lab. Available: https://ics-cert.kaspersky.com/reports/2017/03/28/threat-landscape-for-industrial-automation-systems-in-the-second-half-of-2016/
  • Langner, R. (2011). Stuxnet: Dissecting a cyberwarfare weapon. IEEE Security & Privacy, 9(3), 49-51.
  • Langner, R. (2013). To kill a centrifuge: A technical analysis of what stuxnet’s creators tried to achieve. The Langner Group
  • Larson, S. (2018). Threats to Electric Grid are Real; Widespread Blackouts are Not. Dragos, 6 August. Available at: https://dragos.com/blog/20180806ElectricGridThreats.html
  • Lee, R. (2017 a). CRASHOVERRIDE: Analysis of the threat to electric grid operations. Dragos Inc., March
  • Lee, R. (2017 b). TRISIS Malware: Analysis of Safety System Targeted Malware. Dragos Inc. available at: https://dragos.com/blog/trisis/
  • Lee, R. M., Assante, M. J., & Conway, T. (2014). German steel mill cyber-attack. Industrial Control Systems, 30, 62
  • Liff, A. P. (2012). Cyberwar: a new ‘absolute weapon’? The proliferation of cyberwarfare capabilities and interstate war. Journal of Strategic Studies, 35(3), 401-428
  • Lindsay, J. R. (2013). Stuxnet and the limits of cyber warfare. Security Studies, 22(3), 365-404
  • Maurer, T. (2018). Cyber Mercenaries. Cambridge University Press
  • McAfee, (2009). In the Crossfire: Critical Infrastructure in the Age of Cyber War. McAfee report. Available at: https://img.en25.com/Web/McAfee/CIP_report_final_uk_fnl_lores.pdf
  • McLaughlin, S., Konstantinou, C., Wang, X., Davi, L., Sadeghi, A. R., Maniatakos, M., & Karri, R. (2016). The cybersecurity landscape in industrial control systems. Proceedings of the IEEE, 104(5), 1039-1057
  • Moreno, V. C., Reniers, G., Salzano, E., & Cozzani, V. (2018). Analysis of physical and cyber security-related events in the chemical and process industry. Process Safety and Environmental Protection, 116, 621-631
  • Napolitano, J. (2009) A New Challenge for Our Age: Securing America Against the Threat of Cyber Attack. Department of Homeland security. 20 October. Available: https://www.dhs.gov/news/2009/10/20/secretary%E2%80%99s-web-address-cybersecurity
  • NATO (2019). NATO’s role in cyberspace. NATO Review Magazine, 2019. Available: https://www.nato.int/docu/review/2019/Also-in-2019/natos-role-in-cyberspace-alliance-defence/EN/index.htm
  • Nicholson, A., Webber, S., Dyer, S., Patel, T., & Janicke, H. (2012). SCADA security in the light of Cyber-Warfare. Computers & Security, 31(4), 418-436
  • NIST (2011). Managing Information Security Risk: Organization, Mission, and Information System View (No. Special Publication (NIST SP)-800-39)
  • Rid, T., & McBurney, P. (2012). Cyber-weapons. the RUSI Journal, 157(1), 6-13
  • Sadeghi, A. R., Wachsmann, C., & Waidner, M. (2015, June). Security and privacy challenges in industrial internet of things. In Design Automation Conference (DAC), 2015 52nd ACM/EDAC/IEEE (pp. 1-6). IEEE
  • Setola, R. (2011), La strategia globale di protezione delle infrastrutture e risorse critiche contro gli attacchi terroristici, Centro Militare di Studi Strategici CEMISS, At: http://www.difesa.it/SMD_/CASD/IM/CeMiSS/Pubblicazioni/ricerche/Pagine/Lastrategiaglobalediprotezione.aspx
  • Setola R., Faramondi L., Salzano E., & Cozzani, V.(2019). An overview of Cyber Attack to Industrial Control System. Chemical Engineering Transactions vol.75,2019
  • Slay, J., & Miller, M. (2007, March). Lessons learned from the maroochy water breach. In International Conference on Critical Infrastructure Protection (pp. 73-82). Springer, Boston, MA
  • Stouffer, K., Lightman, S., Pillitteri, V., Abrams, M., & Hahn, A. (2015). Guide to Industrial Control Systems (ICS) Security, NIST special publication 800-82, National Institute of Standards and Technology
  • Symantec (2011). Symantec. “SCADA (Supervisory Control and Data Acquisition) security threat landscape”. Available at: https://www.symantec.com/security-center/threat-report
  • Tabansky, L. (2011). Critical Infrastructure Protection against cyber threats. Military and Strategic Affairs, 3(2) 61-68
  • World Economic Forum (2018), The Global Risks Report 2018, https://www.weforum.org/reports/the-global-risks-report-2018
  • World Economic Forum (2019). Global Risks Report 2019. http://www3.weforum.org/docs/WEF_Global_Risks_Report_2019.pdf
  • Peculiarities and challenges of cyber security for the Industrial Control Systems, Giacomo Assenza, Luca Faramondi, Roberto Setola

 

Note

[1] Setola & Al., 2019

[2] NIST, 2011

[3] Rid & Mc Burney, 2012; Lindsay, 2013; Liff, 2012

[4] WEF, 2018

Condividi su:
David Licursi
David Licursi

Related posts

7 Maggio 2025

IoT: Standard LPWANs Unlicensed Spectrum

Read more
23 Aprile 2025

Smart Roads: Monitoraggio geotecnico e strutturale

Read more
16 Aprile 2025

OT: Gli attacchi più famosi ai sistemi industriali

Read more

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ditigal4PRO Store
Digital4PRO Academy
Digital4PRO Consulting