verifica dell`integrità dei sistemi di controllo industriale

VERIFICA DELL'INTEGRITÀ
DEI SISTEMI DI CONTROLLO
INDUSTRIALE
SCOPRI LE VULNERABILITÀ ESPOSTE DEL TUO SISTEMA DI CONTROLLO INDUSTRIALE
E CREA UN PIANO REALISTICO PER LA
RIDUZIONE DEI RISCHI INFORMATICI DEL TUO SISTEMA
Mandiant è il consulente fidato delle organizzazioni di tutto il mondo,
con oltre 10 anni di esperienza nel contrasto degli attori delle minacce
avanzate internazionali. Assistiamo le organizzazioni nei momenti più
delicati successivi all’individuazione di una violazione della sicurezza,
quindi le aiutiamo proattivamente a migliorare le proprie capacità di
rilevamento, risposta e contenimento.
La verifica dell'integrità dei sistemi di controllo industriali (ICS)
combina le conoscenze di Mandiant in merito agli attori delle
minacce e l'esperienza nel rispondere agli eventi di sicurezza
con le specializzazioni dei nostri consulenti ICS per valutare
approfonditamente l'effettivo grado di segmentazione, protezione e
monitoraggio della tua rete ICS.
?
ED
A
M
C
HE
AM I
RED?
EPA
PR
PREPA
R
FUTURE E FO
EV R
EN
T
S
I
A
E
La verifica dell'integrità ICS valuta in maniera minimamente invasiva la condizione
complessiva della sicurezza informatica di uno stabilimento industriale. La
valutazione è specificamente concepita per soddisfare le esigenze di quelle
organizzazioni che sono preoccupate dei rischi operativi associati agli agenti
software, alle scansioni della rete o ad altre tecniche più aggressive per la
valutazione della rete. La verifica dell'integrità ICS combina un workshop di
revisione dell'architettura ICS con la dettagliata analisi tecnica delle configurazioni
firewall e del traffico della rete ICS in tempo reale.
BR
Panoramica
AM I
AT RISK?
D!
I IS
AM M
RO
P
COM
Identifichiamo precocemente e
mitighiamo le vulnerabilità della
sicurezza che possono condurre alla
compromissione dei sistemi essenziali.
VA N TAG G I P R I N C I PA L I
• L'approccio minimamente invasivo evita i
rischi operativi associati agli agenti software
Gli specialisti ICS di Mandiant conoscono il linguaggio della tecnologia operativa
(OT) e lavorano direttamente con i tecnici responsabili della stessa, per adattare le
migliori pratiche di sicurezza informatica nel modo più idoneo per l'ambiente ICS.
Lavorano inoltre con i responsabili della sicurezza IT per dotarli delle conoscenze
di settore e della credibilità necessarie per coinvolgere il personale della OT in
produttive discussioni sulla sicurezza informatica.
e alla scansione della rete in un ambiente
ICS.
• Identificazione di vulnerabilità della
sicurezza ICS, configurazioni errate e altri
difetti.
• Analisi umana delle attività anomale e
sospette, eseguita dagli esperti ICS usando
strumenti appositi.
• Raccomandazioni pratiche ordinate per
priorità, personalizzate e contestualizzate
in base ai rischi e alle preoccupazioni
specifiche per il tuo processo industriale.
S C H E DA T E C N I C A
Il nostro approccio
Analisi dei dati tecnici
Analisi dei rischi dell'architettura e
modellazione delle minacce
Revisione della segmentazione della
rete – Analizziamo il file dei pacchetti
della rete acquisiti dal dispositivo
FireEye PX che è stato installato
nella rete ICS del cliente. I pacchetti
vengono esaminati per cercare i rischi
per la sicurezza quali:
Documentazione della situazione
corrente della rete
•Revisione di schemi, flussi di dati e
progetti dell'architettura esistente.
•Inventario e valutazione dei protocolli
di comunicazione industriale in uso.
•Revisione delle norme di sicurezza
eventualmente esistenti per la
distribuzione dei prodotti software.
Sviluppo del modello di minaccia
•Durante un workshop interattivo con
il personale informatico e tecnico/
operativo del cliente, partiamo dagli
schemi di architettura risultanti
per gettare le basi del modello di
minaccia.
•In base alle nostre ampie conoscenze
delle reali tattiche usate dagli
aggressori, generiamo delle
rappresentazioni visuali dei possibili
attacchi al sistema di controllo.
•Assistiamo nell'ordinare per priorità
l'implementazione del controllo di
sicurezza dell'ICS, identificando i
vettori di attacco che rappresentano i
rischi e l'esposizione maggiori.
C H E CO S A S I O T T I E N E
• Schema del modello di minaccia: schema
rappresentativo del tuo sistema di controllo
industriale (ICS) che mappa i vari vettori
delle minacce utilizzabili dagli aggressori
per interrompere o danneggiare le tue
attività, seguito da una discussione su come
•connessione involontaria dall'ICS a
Internet o alla rete aziendale;
ordinare per priorità gli appropriati controlli
di sicurezza.
•dispositivi dual-homed;
• Relazione sull’integrità dell’ICS: dettagliata
•protocolli ICS che attraversano il
firewall ICS;
relazione tecnica contenente le osservazioni
•connessioni anomale fra due
computer.
punti deboli dell’architettura, traffico
di Mandiant, incluse eventuali vulnerabilità
della protezione, configurazioni errate,
di rete sospetto o attività anomale con
raccomandazioni tecniche e pratiche per
Revisione della configurazione del
dispositivo di sicurezza – Prendiamo in
esame l'efficacia della configurazione
e gli insiemi di regole dei dispositivi di
sicurezza della rete, come i firewall. Ad
esempio:
ogni osservazione, ordinate per priorità,
insieme al riepilogo delle tematiche
principali emergenti dalla valutazione.
• Presentazione delle raccomandazioni
strategiche e tecniche: riepilogo delle nostre
osservazioni e raccomandazioni per tecnici
e dirigenti.
•il traffico in ingresso alla rete ICS
deve essere sempre instradato
tramite una DMZ;
•le reti ICS non devono poter
avere l'accesso diretto a Internet
e non devono mai connettervisi
direttamente.
Esempio della relazione
Ordinamento dei controlli per priorità
•Ordiniamo per priorità i potenziali
controlli in base alla loro convenienza,
considerando fattori quali la
riduzione del rischio,
il costo/laboriosità e la velocità
di implementazione.
Appendix A: Mandiant Risk Rating System
The risk of a particular threat or weakness in an application is determined by identifying the Exploitability and the
Impact of a given issue and then cross-referencing Table 8, below. The definition of each risk level can be found
in Table 9.
Executive Summary
INDUSTRIAL CONTROL SYSTEM
HEALTH CHECK
Impact
•Coordiniamo la discussione con il tuo
personale tecnico per identificare i
controlli di sicurezza che possono
meglio affrontare le minacce
identificate.
High
Medium
High
Medium
Low
Medium
Low
Low
Low
Prepared for [CUSTOMER}
June 12, 2015
Low
Medium
High
Overview
[CUSTOMER] contracted Mandiant to perform a security assessment of its Industrial Control Systems (ICS)
Medium
network. The purpose of this assessment was to offer recommendations that would help [CUSTOMER] prevent,
Appendix C: Example
detect, and contain threats to its systems. This assessment was performed between [DATE] and [DATE].
Exploitability
Table 8: Risk Rating by Impact and Exploitability
Risk
Definition
….
….
Info
High Risk
Medium Risk
Low Risk
Informational
X
X
X
X
Table 1: Total Findings Discovered
Project Scope
Mandiant completed several distinct activities onsite during the assessment. Mandiant’s assessment included:
•
Conducting interviews and workshops with [CUSTOMER] staff to determine the ICS network architecture
at the plant
•
Performing a plant walk down, with the assistance of [CUSTOMER] plant staff, to create a list of ICS
assets at the plant
•
Collecting a network packet capture from the site’s main switch to characterize the network
communications
between
ICS and Corporate network zones
Low risk issues have limited impact (such as disclosure of non-sensitive
information)
or can
• an
Reviewing
thecould
site’s only
firewall
only be executed by a very limited set of trusted users (e.g.,
attack that
beconfiguration
carried out by the DBA). Although low risk issues should still be considered threats the security
Key
Strengths
of the application, the organization may choose to accept the
risk Security
from these issues
rather than
identified several security controls currently in place during this assessment. These controls should be
address. In most cases, Mandiant recommends addressingMandiant
these issues.
continued in order to maintain [CUSTOMER]’s security posture. Mandiant has included
most Threat
significant
Figure 2: the
Example
Model
findings
below. due other aspects
Informational issues currently have either no impact or cannot
be exploited
High
Medium
Low
Threat Model
Low
This report documents the assessment and associated findings, and provides systemic causes and strategic
recommendations for improving the security of [CUSTOMER]’s ICS network and systems. It also provides a
detailed description of the specific risk findings identified and recommendations for resolving each finding. The
High
following table shows the number of High Risk, Medium Risk, Low Risk, and Informational findings contained in
this report.
of the system’s configuration. Future changes to the affected
or has
discovery
of new
• systems
The plant
clustered
firewalls already on site, which can be reconfigured to provide additional security
to the
ICS.
vulnerabilities could introduce a risk in the area, however. The
recommendation
for an
informational finding will describe ways that future risks can be• mitigated.
As resources
BY ACTUAL THREAT MODEL IN DELIVERABLE]
[REDACTED]
is beingallow,
used for remote access to the system, and can serve as an example[REPLACED
for remote
Mandiant recommends addressing these issues as part of a defense-in-depth
strategy.
access to other
systems.
Table 9: Risk Rating Definitions
Key Areas for Improvement
Mandiant identified several areas for improvement during the course of this assessment and has included the
most significant ones below. Additional findings and recommendations are included in the Detailed Findings
section of this report.
•
© 2015 Mandiant, a FireEye Company. All rights reserved.
The [REDACTED] ICS is directly connected to untrusted networks.
The [REDACTED] ICS is accessible via multiple uncontrolled remote access vectors. Some ICS vendors
and [CUSTOMER] users connect directly to systems on the [REDACTED] ICS network without
19
authenticating at the network
level through a VPN or other secure remote access mechanism.
Furthermore, these connections are not inspected by a firewall or monitored by other network security
technology. An attacker or a malicious insider could launch an attack on multiple systems from anywhere
© 2015 Mandiant, a FireEye Company. All rights reserved.
3
© 2015 Mandiant, a FireEye Company. All rights reserved.
Per maggiori informazioni sui servizi di consulenza Mandiant, visita:
www.FireEye.com/Mandiant.html
FireEye, Inc.
1440 McCarthy Blvd. Milpitas, CA 95035
408.321.6300 / 877.FIREEYE (347.3393) / [email protected]
www.FireEye.com
© 2016 FireEye, Inc. Tutti i diritti riservati. FireEye è un marchio registrato di FireEye, Inc.
Altri marchi, nomi di prodotti e servizi sono o possono essere rivendicati come proprietà
di terzi. DS.ICS.EN-US.012016
22