Cyber Security Risk Assessment: l’analisi di dettaglio

Tempo di Lettura: 6 minuti - Livello di Difficoltà: avanzato

L’analisi del rischio cyber di dettaglio (Low Level Risk Assessment) è l’attività di analisi condotta a seguito del High Level Risk Assessment, in conformità con il Cyber Security Lifecycle in conformità allo standard internazionale IEC 62443, che tratta la Cyber Security dei sistemi di controllo industriale.

In cosa consiste il Low Level Risk Assessment

La valutazione del rischio di dettaglio viene eseguita tipicamente a valle di una analisi dei rischi di alto livello (High Level Risk Assessment) oppure, in alcuni casi, su impianti circoscritti allo scopo di valutare nel dettaglio la probabilità di un attacco su tale impianto, in modo da derivarne una precisa stima del rischio.  In generale, l’analisi dei rischi di dettaglio si concentra solo sugli apparati sensibili emersi nella analisi dei rischi di alto livello, in relazione alle possibili conseguenze critiche evidenziate nella stessa analisi.

Infatti, mentre in sede di High Level Risk Assessment lo scopo è valutare macroscopicamente le possibili conseguenze di un attacco, il Low Level Risk Assessment approfondisce la valutazione sulle parti più sensibili dell’asset produttivo oggetto di analisi.

 

La determinazione del rischio di dettaglio si basa sulla seguente formula:

Rischio =〖Minaccia〗Specifica  x 〖Vulnerabilità] (Sfruttabile〗 x 〖Conseguenze〗Evento

 

Norme tecniche di riferimento per l’analisi del rischio cyber di dettaglio

In questa tabella sono elencate le norme tecniche per la conduzione del Low Level Risk Assessment:

Parte Titolo
ISA 62443-1-1:2015 Industrial communication networks – Network and system security – Part 1-1: Terminology, concepts and models
IEC 62443-2-1:2010 Industrial communication networks – Network and system security – Part 2-1: Establishing an industrial automation and control system security program
IEC 62443-2-4:2015 Security for industrial automation and control systems – Part 2-4: Security program requirements for IACS service providers
IEC/TR 62443-3-1:2009 Industrial communication networks – Network and system security – Part 3 1: Security technologies for industrial automation and control systems
IEC 62443-3-3:2013 Industrial communication networks – Network and system security – Part 3-3: System security requirements and security levels
IEC 62443-4-1:2018 Security for industrial automation and control systems – Part 4-1: Secure product development lifecycle requirements.

 

Le fasi del Low Level Risk Assessment secondo IEC 62443

L’analisi del rischio cyber di dettaglio si può definire come la quantificazione microscopica del potenziale rischio cyber che affligge un sistema di controllo industriale. L’attività, secondo lo schema IEC 62443, si articola in 4 fasi principali di sviluppo:

1) Identificazione dell’asset oggetto di analisi, in particolare in termini di estensione e di principali caratteristiche tecniche dei dispositivi che lo compongono, concentrandosi singole reti e dispositivi del sistema e delle vulnerabilità esistenti su di essi.

2) Network Mapping & Analysis, ossia l’applicazione delle minacce potenziali in dettaglio a ciascun sottosistema e componente attraverso la verifica delle loro caratteristiche fondamentali. Durante questa attività di scansione di rete, verranno identificate tutte le vulnerabilità potenzialmente sfruttabili per la conduzione di un attacco, attraverso scansioni passive dei pacchetti per analizzare il traffico di rete, e scansioni attive non autenticate (unauthenticated scans) oppure autenticate (authenticated scans), a seconda che il comportamento della rete venga studiato dall’esterno oppure dall’interno verso l’esterno, e, infine, agent-based scans, ossia attraverso l’utilizzo di software ad hoc.

3) Social Engineering e analisi degli accessi, ossia una analisi mirata delle vulnerabilità sfruttabili dal fattore umano, con particolare attenzione nei confronti degli interventi di personale esterno, generalmente incaricato di manutenzioni ordinarie e straordinarie alle infrastrutture. Questa fase prende in considerazione anche i controlli sulla parte di sicurezza perimetrale, quale il controllo accessi.

 

La nostra proposta per l’analisi dei rischi cyber di dettaglio

Partendo dai dati reperiti nella fase che abbiamo visto essere precedente al Low Level Risk Assessment, ossia High Level Risk Assessment, il nostro pool di specialisti in-house certificati ISA99/IEC62443 propone un set completo di servizi in conformità con il Cyber Security Lifecycle definito dallo standard IEC 62443. La comprovata esperienza nell’automazione industriale, ci permette di supportare il cliente in tutte le fasi dell’analisi del rischio di dettaglio descritte nel paragrafo precedente.

 

 Il nostro servizio di Cyber Security Risk Assessment di dettaglio è articolato su 4 fasi:

  1. Conduzione delle analisi delle vulnerabilità, di mappatura della rete e del rischio dovuto al fattore umano e alla gestione degli accessi
  2. Low Level Risk Assessment (preliminare), ossia l’emissione di un report preliminare di analisi contenente i risultati delle analisi di cui al punto precedente
  3. Meeting per la valutazione del risultato preliminare dell’analisi per la condivisione con le figure aziendali responsabili della security degli asset produttivi delle successive azioni da pianificare
  4. Low Level Risk Analysis (finale), con la quale completiamo l’analisi del rischio di dettaglio fornendo le informazioni necessarie al personale interno per l’implementazione di un remediation plan, ossia un piano contenente le misure di mitigazione più idonee.

 

Hai trovato utili queste informazioni? Per saperne di più sui nostri servizi di Cyber Security Risk Assessment o per richiedere una quotazione

 

Contattaci

oppure

Torna all'elenco degli articoli

Send this to a friend