La fase di OT Cybersecurity Assessment è una fase fondamentale per l’end user, o per un system integrator, nell’applicazione dello standard IEC 62443. In questo articolo esaminiamo il metodo MITRE ATT&CK per l’analisi del rischio di dettaglio come previsto dalle best practices della IEC 62443, ottimo per la progettazione di nuovi sistemi; e come alcune delle soluzioni più innovative di Fortinet si prestano allo scopo.
L’ABC del Cybersecurity Risk Assessment
Quando parliamo di OT Cybersecurity Assessment, parliamo del passaggio che consente di implementare e modulare il sistema di gestione e le contromisure basandosi sull’effettivo rischio di attacco sui sistemi industriali.
In un precedente articolo abbiamo parlato di analisi del rischio di alto livello, così come presentato dalle best practices IEC 62443.
Sappiamo che l’analisi del rischio di “High Level” è seguita da una più approfondita fase di dettaglio, precisamente Detailed Risk Assessment.
Fra le responsabilità dell’end user – coadiuvato dal system integrator -, l’analisi del rischio di dettaglio si concentra proprio sulle vulnerabilità presenti sul sistema.
Se il sistema è esistente e funzionante, composto da sistemi definiti e noti, si può eseguire l’analisi delle vulnerabilità in modo classico, ossia attraverso scansioni attive/passive, e analisi delle reti del sistema.
Ma quando il sistema è in fase di concept (se non abbiamo dispositivi modello completamente identificati), dobbiamo trovare un modo alternativo per svolgere l’analisi delle vulnerabilità.
Esistono modalità che non si basano specificatamente su un prodotto – o meglio su specifiche CVE pubblicate, come avviene nel caso di sistemi esistenti -, ma che implementano concetti più teorici e di alto livello, più in linea con un threat modeling.
Quindi, come si imposta nella pratica un’analisi del rischio e delle vulnerabilità per un sistema in sviluppo?
Il metodo del MITRE ATT&CK è di grande aiuto in questo senso.
Il metodo del MITRE ATT&CK
Il MITRE ATT&CK è un framework sviluppato dalla MITRE Corporation grazie all’osservazione del mondo reale e degli attacchi analizzati nel tempo, che aiuta a classificare gli attacchi cyber e le intrusioni. Questo metodo combina tre componenti:
- Le tattiche rappresentano il “perché”: il motivo per compiere un’azione. Ad esempio, un attaccante potrebbe voler ottenere l’accesso alle credenziali
- Le tecniche rappresentano il “come”, ad esempio l’attaccante potrebbe tentare il dump delle credenziali per ottenerne l’accesso
- Le mitigazioni, infine, rappresentano le tecnologie impiegabili per frenare le tattiche e le tecniche, come presentato nella tabella qui sotto
Clicca sull’immagine per saperne di più
Questo significa che ad ogni tecnica sono legate più mitigazioni – e viceversa.
Il MITRE ATT&CK ci consegna quindi una lista di mitigazioni possibili, suddivise per tecnica di attacco e tipo di dispositivo.
Per citarne alcune, MITRE suggerisce best practices circa:
- Gestione degli accessi
- Configurazione dell’Active Directory
- Antivirus e Antimalware
- Backup dei dati
- Prevenzione della perdita dei dati
- Crittografia del traffico di rete
Alcuni esempi:
Hai bisogno di supporto per analizzare la Cyber Security della vostra infrastruttura OT?
Scopri il servizio più adatto alle vostre esigenze
Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin
Un caso di utilizzo del MITRE ATT&CK
Andiamo per gradi: in prima battuta, l’analisi del rischio può essere eseguita valutando lo scenario di rischio per un tipo di dispositivo specifico, e considerando le tecniche applicabili come parte dell’architettura complessiva del sistema:
Quindi, per mitigare uno scenario di rischio del genere, il metodo ci suggerisce questa serie di soluzioni:
La quantità di mitigazioni che vengono effettivamente adottate, e il livello di implementazione con cui applicare ogni misura sul progetto (Application Level), determinano quanto siamo riusciti a ridurre il rischio iniziale, nell’ipotesi che l’insieme di tutte le misure previste consenta di abbattere il rischio al massimo possibile.
Infine, confrontando il rischio residuo con il rischio tollerabile, si arriva a comprendere il livello di mitigazione necessaria, oppure a valutare se quell’insieme di misure è sufficiente a rendere tollerabile il rischio.
Per completezza:
Clicca sull’immagine per ingrandire
Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin
Prendiamo adesso un caso specifico di mitigazione suggerita: la gestione degli accessi
Nel contesto attuale della sicurezza dell’OT, garantire accessi locali e remoti sicuri alle risorse è di cruciale importanza per la continuità operativa. Come intuito, tali accessi possono presentare rischi significativi, considerando le possibili minacce in rete.
Per assicurare la protezione dei dati sensibili, l’adozione di una soluzione di gestione degli accessi remoti, come FortiPAM (Privileged Access Magement), proposta di punta di Fortinet di cui puoi scoprire di più a seguire, per la gestione, il controllo e il monitoraggio degli accessi basata su account, processi e sistemi mission-critical con privilegi elevati nell’intero ambiente OT, l’implementazione di controlli ZTNA (Zero-Trust Network Access) o connessioni IPsec, in conformità con il framework MITRE ATT&CK, è altamente efficace.
Le fasi chiave per garantire la gestione sicura degli accessi sono:
- Autenticazione e Autorizzazione (Mitigation MITRE ATT&CK: Multi-factor Authentication and Authorization – ID: M0804, M0932)
FortiPAM, per esempio, offre un sistema robusto di autenticazione e autorizzazione per gli utenti che richiedono l’accesso all’infrastruttura di rete, l’avvio di connessioni remote predefinite basate su applicazioni locali o web o facilmente configurabili in modo personalizzato e l’integrazione di soluzioni di autenticazione a due fattori per incrementare e rafforzare la sicurezza delle credenziali. Questo approccio riduce il rischio di compromissione delle password e di accessi non autorizzati, contribuendo a mitigare l’attacco.
- Monitoraggio delle sessioni e rilevamento anomalie (Mitigation MITRE ATT&CK: Session Activity Monitoring – ID: M0918)
Configurare FortiPAM per il monitoraggio attivo delle sessioni remote nell’ambito industriale è di fondamentale importanza. Analizzando le attività delle sessioni tramite screen recording e log dei comandi, è possibile individuare comportamenti insoliti o potenzialmente dannosi, come l’uso di comandi inusuali o l’accesso a risorse non autorizzate. Questa pratica, insieme ad altre possibili soluzioni presenti nell’Ecosistema Security Fabric, come il Next Generation Firewall FortiGATE, aiutano a identificare e interrompere tempestivamente attività sospette e a prevenire ulteriori fasi dell’attacco.
- Limitazione dei Privilegi (Mitigation MITRE ATT&CK: Secure Administrative Channel – ID: M0918)
Un elemento chiave per mitigare le minacce è stabilire un modello di privilegi per ogni utente della rete. Anche in questo caso, tramite FortiPAM, è possibile definire rigorose regole di accesso, garantendo agli utenti solo i privilegi necessari per svolgere le loro attività in finestre di tempo dedicate.
- Registrazione e Audit delle Attività (Mitigation MITRE ATT&CK: Audit and Accountability – ID: M0801, M0804)
Le attività di accesso remoto devono essere attentamente registrate e sottoposte ad audit regolari nelle infrastrutture OT. FortiPAM consente di mantenere anche dettagliati resoconti delle attività degli utenti, semplificando il monitoraggio e l’analisi in caso di incidenti. Questi registri risultano essenziali per individuare attività sospette e per condurre indagini in caso di violazioni.
Le soluzioi Fortinet per la gestione degli accessi
Come anticipato, le soluzioni citate per la gestione degli accessi di Fortinet offrono sicurezza e controlli avanzati per le infrastrutture di rete industriali. Implementare soluzioni convergenti con sistemi dedicati al mondo dell’OT, come, fra le altre, Next-Generation Firewall FortiGATE, la approfondita FortiPAM, FortiNAC per il monitoraggio e il controllo degli accessi, FortiAuthenticator per l’autenticazione multi-fattore e FortiToken per la generazione codici di autenticazione OTP e seguendo le mitigazioni del framework MITRE ATT&CK, consente alle aziende di ridurre significativamente il rischio di compromissione dei dati sensibili di produzione e delle risorse operative.
Fortinet è stata riconosciuta a livello globale dagli analisti di Westlands Advisory come leader per la convergenza IT/OT grazie alla piattaforma Security Fabric, e con il più forte orientamento al mondo OT con soluzioni all’avanguardia per garantire la sicurezza delle reti operative.
Le soluzioni hardware e software di Fortinet si distinguono per i seguenti vantaggi:
- Adattamento alle esigenze: devices sviluppati appositamente per le infrastrutture industriali, offrono sicurezza senza compromettere l’efficienza operativa
- Visibilità totale: monitoraggio del traffico di rete e delle attività degli utenti per individuare rapidamente comportamenti anomali
- Controllo applicativo: controllo preciso delle applicazioni, riducendo rischi
- Difesa avanzata: grazie a servizi di security dedicati all’OT e all’IoT presenti nella piattaforma Fortiguard, come Industrial Security Service per Intrusion Prevention (IPS), Application Control e Virtual Patching, è possibile rilevare e mitigare minacce sofisticate senza interruzioni
- Conformità: Rispetta le più recenti normative e standard di sicurezza delle infrastrutture critiche
L’integrazione di sistemi di autenticazione robusti, monitoraggio proattivo e regole di accesso mirate, permettono di mitigare le minacce e creare un ambiente operativo sicuro e protetto.
Per concludere, lo schema del MITRE ATT&CK ci ha dato i suggerimenti corretti, e passando alla pratica, fra le soluzioni di mitigazione più sviluppate sul mercato, abbiamo trovato le proposte di Fortinet.
Domande? Commenti?
Vuoi aiutare la nostra pagina a crescere? Seguici su Linkedin
Torna all'elenco degli articoli
