L’analisi del rischio cyber di dettaglio (Low Level Risk Assessment) è l’attività di analisi condotta a seguito del High Level Risk Assessment, in conformità con lo standard IEC 62443.
In cosa consiste il Low Level IEC 62443 Assessment
Il IEC 62443 Assessment di dettaglio viene eseguito tipicamente a valle di una analisi dei rischi di alto livello (High Level Risk Assessment) oppure, in alcuni casi, su impianti circoscritti allo scopo di valutare nel dettaglio la probabilità di un attacco su tale impianto, in modo da derivarne una precisa stima del rischio. In generale, l’analisi di dettaglio si concentra solo sugli apparati sensibili emersi nella analisi dei rischi di alto livello.
Infatti, mentre in sede di High Level Assessment in IEC 62443, lo scopo è valutare macroscopicamente le possibili conseguenze di un attacco, il Low Level Risk Assessment approfondisce la valutazione sulle parti più sensibili dell’asset produttivo oggetto di analisi.
La determinazione del rischio di dettaglio si basa sulla seguente formula:
Rischio =〖Minaccia〗Specifica x 〖Vulnerabilità] (Sfruttabile〗 x 〖Conseguenze〗Evento
Norme tecniche di riferimento
In questa tabella sono elencate le norme tecniche per la conduzione del Low Level Risk Assessment:
Parte | Titolo |
ISA 62443-1-1:2015 | Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models |
IEC 62443-2-1:2010 | Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program |
IEC 62443-2-4:2015 | Security for industrial automation and control systems – Part 2-4: Security program requirements for IACS service providers |
IEC/TR 62443-3-1:2009 | Industrial communication networks – Network and system security – Part 3 1: Security technologies for industrial automation and control systems |
IEC 62443-3-3:2013 | Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels |
IEC 62443-4-1:2018 | Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements. |
Le fasi del Low Level Risk Assessment
L’analisi del rischio cyber di dettaglio si può definire come la quantificazione microscopica del potenziale rischio cyber che affligge un sistema di controllo industriale. L’attività, secondo lo schema IEC 62443, si articola in 4 fasi principali di sviluppo:
1) Identificazione dell’asset oggetto di analisi, in particolare in termini di estensione e di principali caratteristiche tecniche dei dispositivi che lo compongono, concentrandosi su singole reti e dispositivi del sistema e delle vulnerabilità esistenti su di essi.
2) Network Mapping & Analysis, ossia l’applicazione delle minacce potenziali in dettaglio a ciascun sottosistema e componente attraverso la verifica delle loro caratteristiche fondamentali. Durante questa attività di scansione di rete, verranno identificate tutte le vulnerabilità potenzialmente sfruttabili per la conduzione di un attacco, attraverso scansioni passive dei pacchetti per analizzare il traffico di rete, e scansioni attive non autenticate (unauthenticated scans) oppure autenticate (authenticated scans), a seconda che il comportamento della rete venga studiato dall’esterno oppure dall’interno verso l’esterno, e, infine, agent-based scans, ossia attraverso l’utilizzo di software ad hoc.
3) Social Engineering e analisi degli accessi, ossia un’analisi mirata delle vulnerabilità sfruttabili dal fattore umano, con particolare attenzione nei confronti degli interventi di personale esterno, generalmente incaricato di manutenzioni ordinarie e straordinarie alle infrastrutture. Questa fase prende in considerazione anche i controlli sulla parte di sicurezza perimetrale, quale il controllo accessi.
Hai bisogno di supporto per analizzare la Cyber Security della vostra infrastruttura OT?
Torna all'elenco degli articoli