Industrial Cyber Security
Lo stato dell'arte dell'Industrial Cyber Security
Sommario
Cyber Security
attacchi perché serve anche una cultura verso la cyber Security.
Investire nella formazione del personale in ambito Industrial Cyber Security può essere la soluzione di riduzione massima del rischio (ISO 27001):
- Ogni dipendente, dagli uffici alla produzione, gioca un ruolo importante nella cybersecurity;
- La formazione è di vitale importanza.
I nostri servizi
GFCC tramite un approccio consulenziale basato sulla profonda conoscenza degli standard di prodotto e
sull'operatività necessaria, fornisce:
- Certificazioni IEC 62443;
- Corsi per certificazioni IEC 62443;
- Supporto al fabbricante e all'integratore per lo sviluppo del prodotto in conformità alla norma IEC 62443;
- Assessment di altro livello dei processi e delle caratteristiche del prodotto;
- Assessment di dettaglio del ciclo di vita del prodotto;
- Vulnerability Assessment.
Vulnerability Assessment
l Vulnerability Assessment non è un Penetration Test:
- I due hanno obiettivi finali differenti, perché Vulnerability Assessment fornisce un'analisi completa in termini di vulnerabilità;
- Il Penetration Test si focalizza solo su alcune vulnerabilità, provando a sfruttarle per accedere alla rete in oggetto.
In altri termini lo Vulnerability Assessment (VA) si ferma un passo prima, però fornisce un'analisi completa, mentre il Penetration Test (abbreviato PT) non fornisce un'analisi completa e soprattutto può diventare fortemente invasivo al punto da creare
problemi al sistema sotto test.
I due test hanno obiettivi finali differenti, perché:
- Vulnerability Assessment fornisce un'analisi completa in termini di vulnerabilità;
- Il Penetration Test si focalizza solo su alcune vulnerabilità, provando a sfruttarle per accedere alla rete in oggetto;
- Inoltre, gli strumenti di Penetration Testing non vanno a cercare tutte le vulnerabilità ma gli basta cercarne qualcuna ed eseguire l'exploitation sfruttandola.
Le due attività (VA e PT) dovrebbero essere utilizzate in maniera congiunta e ricorsiva:
- Si esegue lo Internal Vulnerability Assessment per stabilire le Weakenesses;
- E poi esegue il Penetration Testing per verificarne i risultati;
- Questo modo di operare è definito processo dinamico;
- L'oggetto delle nostre offerte non è il processo dinamico ma la sola attività di Vulnerability Assessment.
Per disegnare i test necessari, ci si riferisce all'ultimo rapporto Clusit 2021 sulla sicurezza ICT in Italia che documenta gli
attacchi gravi di dominio pubblico rilevati nel corso del 2020.
Video
IEC 62443
Che cosa è la IEC 62443
- Insieme di requirements per la progettazione;
- Insieme di requirements per la Maintenance ed il Monitoring;
- Definizione delle procedure del personale del Provider che effettua la maintenance ed il monitoring.
Come nasce la IEC 62443-4-2
International Society of Automation (ISA) ha creato questo standard con l'intenzione di rendere le infrastrutture Industrial
Automation Control Systems (IACS) sicure rispetto alle minacce informatiche.
Come nasce la IEC 62443-2-4
Deriva dal modello CMMI-SVC, definito in CMMI® for Services, Versione 1.3
IEC 62443 - 4 - 2
Requirements di Cyber Security per la progettazione dei device e dei sistemi con 4 livelli di sicurezza:
- Security Level 1 (SL1): protezione contro la violazione occasionale o casuale;
- Security Level 2 (SL2): protezione contro la violazione intenzionale con mezzi scarsi, con risorse scarse, competenze generiche del sistema e motivazione scarsa;
- Security Level 3 (SL3) Protezione contro la violazione intenzionale con mezzi sofisticati, con risorse moderate, competenze specifiche del sistema e motivazione moderata;
- Security Level 4 (SL4) Protezione contro la violazione intenzionale con mezzi sofisticati con risorse ingenti, competenze specifiche del sistema e forte motivazione.
Conclusioni
Per la quarta volta dal 2011, nel 2020 le tecniche sconosciute (categoria "Unknown") sono al secondo posto, aumentando del 17,4% rispetto al 2019, superate solo dalla categoria "Malware", stabile al primo posto, che cresce ulteriormente del +7,4% e rappresenta da sola il 42% del totale. Al terzo posto la categoria "Phishing/Social Engineering", che rimane stabile rispetto al 2019 e rappresenta il 15% del totale.
Non sono oggetto della fornitura VA :
- Gli attacchi di "Phishing/Social Engineering" non sono oggetto di offerta VA perché sono prevenibili solo con la norma ISO 27001;
- Gli attacchi known vulnerabilities/Misconfigurations, Multiple technique / ATP hacking e Account Cracking sono oggetto di studio nell'ambito di ingegnerizzazione di prodotti secondo norma IEC 62443;
- Gli attacchi 0-day perché vengono trattati in ambito di altre normative, come ad esempio la ISO/IEC TS 17961:2013 per la codifica sicura in linguaggio C.
- Matteo Marconi
- MIMIT - Ministero delle Imprese e del Made in Italy