verifica dell`integrità dei sistemi di controllo industriale
Transcript
verifica dell`integrità dei sistemi di controllo industriale
VERIFICA DELL'INTEGRITÀ DEI SISTEMI DI CONTROLLO INDUSTRIALE SCOPRI LE VULNERABILITÀ ESPOSTE DEL TUO SISTEMA DI CONTROLLO INDUSTRIALE E CREA UN PIANO REALISTICO PER LA RIDUZIONE DEI RISCHI INFORMATICI DEL TUO SISTEMA Mandiant è il consulente fidato delle organizzazioni di tutto il mondo, con oltre 10 anni di esperienza nel contrasto degli attori delle minacce avanzate internazionali. Assistiamo le organizzazioni nei momenti più delicati successivi all’individuazione di una violazione della sicurezza, quindi le aiutiamo proattivamente a migliorare le proprie capacità di rilevamento, risposta e contenimento. La verifica dell'integrità dei sistemi di controllo industriali (ICS) combina le conoscenze di Mandiant in merito agli attori delle minacce e l'esperienza nel rispondere agli eventi di sicurezza con le specializzazioni dei nostri consulenti ICS per valutare approfonditamente l'effettivo grado di segmentazione, protezione e monitoraggio della tua rete ICS. ? ED A M C HE AM I RED? EPA PR PREPA R FUTURE E FO EV R EN T S I A E La verifica dell'integrità ICS valuta in maniera minimamente invasiva la condizione complessiva della sicurezza informatica di uno stabilimento industriale. La valutazione è specificamente concepita per soddisfare le esigenze di quelle organizzazioni che sono preoccupate dei rischi operativi associati agli agenti software, alle scansioni della rete o ad altre tecniche più aggressive per la valutazione della rete. La verifica dell'integrità ICS combina un workshop di revisione dell'architettura ICS con la dettagliata analisi tecnica delle configurazioni firewall e del traffico della rete ICS in tempo reale. BR Panoramica AM I AT RISK? D! I IS AM M RO P COM Identifichiamo precocemente e mitighiamo le vulnerabilità della sicurezza che possono condurre alla compromissione dei sistemi essenziali. VA N TAG G I P R I N C I PA L I • L'approccio minimamente invasivo evita i rischi operativi associati agli agenti software Gli specialisti ICS di Mandiant conoscono il linguaggio della tecnologia operativa (OT) e lavorano direttamente con i tecnici responsabili della stessa, per adattare le migliori pratiche di sicurezza informatica nel modo più idoneo per l'ambiente ICS. Lavorano inoltre con i responsabili della sicurezza IT per dotarli delle conoscenze di settore e della credibilità necessarie per coinvolgere il personale della OT in produttive discussioni sulla sicurezza informatica. e alla scansione della rete in un ambiente ICS. • Identificazione di vulnerabilità della sicurezza ICS, configurazioni errate e altri difetti. • Analisi umana delle attività anomale e sospette, eseguita dagli esperti ICS usando strumenti appositi. • Raccomandazioni pratiche ordinate per priorità, personalizzate e contestualizzate in base ai rischi e alle preoccupazioni specifiche per il tuo processo industriale. S C H E DA T E C N I C A Il nostro approccio Analisi dei dati tecnici Analisi dei rischi dell'architettura e modellazione delle minacce Revisione della segmentazione della rete – Analizziamo il file dei pacchetti della rete acquisiti dal dispositivo FireEye PX che è stato installato nella rete ICS del cliente. I pacchetti vengono esaminati per cercare i rischi per la sicurezza quali: Documentazione della situazione corrente della rete •Revisione di schemi, flussi di dati e progetti dell'architettura esistente. •Inventario e valutazione dei protocolli di comunicazione industriale in uso. •Revisione delle norme di sicurezza eventualmente esistenti per la distribuzione dei prodotti software. Sviluppo del modello di minaccia •Durante un workshop interattivo con il personale informatico e tecnico/ operativo del cliente, partiamo dagli schemi di architettura risultanti per gettare le basi del modello di minaccia. •In base alle nostre ampie conoscenze delle reali tattiche usate dagli aggressori, generiamo delle rappresentazioni visuali dei possibili attacchi al sistema di controllo. •Assistiamo nell'ordinare per priorità l'implementazione del controllo di sicurezza dell'ICS, identificando i vettori di attacco che rappresentano i rischi e l'esposizione maggiori. C H E CO S A S I O T T I E N E • Schema del modello di minaccia: schema rappresentativo del tuo sistema di controllo industriale (ICS) che mappa i vari vettori delle minacce utilizzabili dagli aggressori per interrompere o danneggiare le tue attività, seguito da una discussione su come •connessione involontaria dall'ICS a Internet o alla rete aziendale; ordinare per priorità gli appropriati controlli di sicurezza. •dispositivi dual-homed; • Relazione sull’integrità dell’ICS: dettagliata •protocolli ICS che attraversano il firewall ICS; relazione tecnica contenente le osservazioni •connessioni anomale fra due computer. punti deboli dell’architettura, traffico di Mandiant, incluse eventuali vulnerabilità della protezione, configurazioni errate, di rete sospetto o attività anomale con raccomandazioni tecniche e pratiche per Revisione della configurazione del dispositivo di sicurezza – Prendiamo in esame l'efficacia della configurazione e gli insiemi di regole dei dispositivi di sicurezza della rete, come i firewall. Ad esempio: ogni osservazione, ordinate per priorità, insieme al riepilogo delle tematiche principali emergenti dalla valutazione. • Presentazione delle raccomandazioni strategiche e tecniche: riepilogo delle nostre osservazioni e raccomandazioni per tecnici e dirigenti. •il traffico in ingresso alla rete ICS deve essere sempre instradato tramite una DMZ; •le reti ICS non devono poter avere l'accesso diretto a Internet e non devono mai connettervisi direttamente. Esempio della relazione Ordinamento dei controlli per priorità •Ordiniamo per priorità i potenziali controlli in base alla loro convenienza, considerando fattori quali la riduzione del rischio, il costo/laboriosità e la velocità di implementazione. Appendix A: Mandiant Risk Rating System The risk of a particular threat or weakness in an application is determined by identifying the Exploitability and the Impact of a given issue and then cross-referencing Table 8, below. The definition of each risk level can be found in Table 9. Executive Summary INDUSTRIAL CONTROL SYSTEM HEALTH CHECK Impact •Coordiniamo la discussione con il tuo personale tecnico per identificare i controlli di sicurezza che possono meglio affrontare le minacce identificate. High Medium High Medium Low Medium Low Low Low Prepared for [CUSTOMER} June 12, 2015 Low Medium High Overview [CUSTOMER] contracted Mandiant to perform a security assessment of its Industrial Control Systems (ICS) Medium network. The purpose of this assessment was to offer recommendations that would help [CUSTOMER] prevent, Appendix C: Example detect, and contain threats to its systems. This assessment was performed between [DATE] and [DATE]. Exploitability Table 8: Risk Rating by Impact and Exploitability Risk Definition …. …. Info High Risk Medium Risk Low Risk Informational X X X X Table 1: Total Findings Discovered Project Scope Mandiant completed several distinct activities onsite during the assessment. Mandiant’s assessment included: • Conducting interviews and workshops with [CUSTOMER] staff to determine the ICS network architecture at the plant • Performing a plant walk down, with the assistance of [CUSTOMER] plant staff, to create a list of ICS assets at the plant • Collecting a network packet capture from the site’s main switch to characterize the network communications between ICS and Corporate network zones Low risk issues have limited impact (such as disclosure of non-sensitive information) or can • an Reviewing thecould site’s only firewall only be executed by a very limited set of trusted users (e.g., attack that beconfiguration carried out by the DBA). Although low risk issues should still be considered threats the security Key Strengths of the application, the organization may choose to accept the risk Security from these issues rather than identified several security controls currently in place during this assessment. These controls should be address. In most cases, Mandiant recommends addressingMandiant these issues. continued in order to maintain [CUSTOMER]’s security posture. Mandiant has included most Threat significant Figure 2: the Example Model findings below. due other aspects Informational issues currently have either no impact or cannot be exploited High Medium Low Threat Model Low This report documents the assessment and associated findings, and provides systemic causes and strategic recommendations for improving the security of [CUSTOMER]’s ICS network and systems. It also provides a detailed description of the specific risk findings identified and recommendations for resolving each finding. The High following table shows the number of High Risk, Medium Risk, Low Risk, and Informational findings contained in this report. of the system’s configuration. Future changes to the affected or has discovery of new • systems The plant clustered firewalls already on site, which can be reconfigured to provide additional security to the ICS. vulnerabilities could introduce a risk in the area, however. The recommendation for an informational finding will describe ways that future risks can be• mitigated. As resources BY ACTUAL THREAT MODEL IN DELIVERABLE] [REDACTED] is beingallow, used for remote access to the system, and can serve as an example[REPLACED for remote Mandiant recommends addressing these issues as part of a defense-in-depth strategy. access to other systems. Table 9: Risk Rating Definitions Key Areas for Improvement Mandiant identified several areas for improvement during the course of this assessment and has included the most significant ones below. Additional findings and recommendations are included in the Detailed Findings section of this report. • © 2015 Mandiant, a FireEye Company. All rights reserved. The [REDACTED] ICS is directly connected to untrusted networks. The [REDACTED] ICS is accessible via multiple uncontrolled remote access vectors. Some ICS vendors and [CUSTOMER] users connect directly to systems on the [REDACTED] ICS network without 19 authenticating at the network level through a VPN or other secure remote access mechanism. Furthermore, these connections are not inspected by a firewall or monitored by other network security technology. An attacker or a malicious insider could launch an attack on multiple systems from anywhere © 2015 Mandiant, a FireEye Company. All rights reserved. 3 © 2015 Mandiant, a FireEye Company. All rights reserved. Per maggiori informazioni sui servizi di consulenza Mandiant, visita: www.FireEye.com/Mandiant.html FireEye, Inc. 1440 McCarthy Blvd. Milpitas, CA 95035 408.321.6300 / 877.FIREEYE (347.3393) / [email protected] www.FireEye.com © 2016 FireEye, Inc. Tutti i diritti riservati. FireEye è un marchio registrato di FireEye, Inc. Altri marchi, nomi di prodotti e servizi sono o possono essere rivendicati come proprietà di terzi. DS.ICS.EN-US.012016 22