Le 8 strategie di cybersecurity per i dispositivi SENECA
SENECA - Seneca
Le violazioni che si verificano nel dominio dell'IoT industriale sono spesso critiche a causa delle esposizioni specifiche legate alla comunicazione e agli ambienti M2M (Machine-to-Machine). Nei gateway, nei controllori e nei server IIoT Edge di SENECA adeguati livelli di cybersecurity sono di fondamentale importanza.
Nei gateway, nei controllori e nei server IIoT Edge di SENECA (Z-TWS4-RT, R-PASS, R-PASS-S, Z-PASS1-RT, Z-PASS2-RT, Z-PASS-S-RT; VPN BOX 2) adeguati livelli dicybersecurity sono di fondamentale importanza. In particolare assicurare la sicurezza a livello di Edge, consente di ridurre la superficie di attacco. Gestire il traffico dati verso le piattaforme IoT con pochi passaggi riduce il rischio potenziale di manomissione dei dati o di accessi non autorizzato come. Vediamo dunque le principali strategie di cybersecurity adottate dai dispositivi SENECA
1. Blocco meccanico accesso remoto
Si tratta di un primo e fondamentale step di sicurezza. La configurazione di un ingresso digitale come blocco accesso remoto impedisce meccanicamente modifiche alle impostazioni a persone non autorizzate
2. Separazione LAN/WAN
Gateway / Router IoT possono essere utilizzati con un approccio tale da fornire un livello di sicurezza maggiore. Si tratta di connettere e configurare correttamente in modo indipendente le porte LAN e WAN. In questo modo è possibile disporre di due reti separate e prevenire possibili attacchi da parte di hacker e malintenzionati.
3. Autenticazione a 2 fattori
L'autenticazione a due fattori è un sistema di sicurezza che autorizza l'accesso a un account attraverso l'inserimento di un codice di verifica dopo la password. Google ha messo a disposizione dei suoi utenti Google Authenticator, un'app di sicurezza che genera codici causali per l'autenticazione in due passaggi. L'app consente di aumentare il livello di protezione di qualsiasi tipo di account che supporti il sistema 2FA e non necessita di connessione a Internet per generare i codici, che variano circa ogni 30 secondi in modo del tutto casuale.
4. Gestione avanzata permessi
L'autenticazione e l'autorizzazione regolano l'accesso ai dispositivi SENECA, per cui si determina in modo chiaro se un utente è autorizzato a visualizzare, accedere o modificare determinati parametri.
I dispositivi consentono un controllo puntuale dell'autorizzazione e dei ruoli, costituiti da set di privilegi, specificando il supervisore, l'utente o il gruppo ad essi associati.
5. Algoritmo cifratura Data Encryption
Il Data Encryption Standard (DES) è un algoritmo di crittografia utilizzato per proteggere i dati da possibili intrusioni. Si basa su un algoritmo a chiave simmetrica, il che significa che la stessa chiave viene utilizzata sia per criptare che per decriptare i dati. Il DES è considerato uno degli algoritmi di crittografia più sicuri esistenti. Il codice di crittografia del canale dati crittografa e decrittografa i pacchetti di dati trasmessi attraverso il tunnel OpenVPN. Le configurazioni del server di accesso create nella versione 2.5 o successiva utilizzano AES-256-CBC come cifratura. A questo framework viene associato un autenticatore sicuro SHA-256 (Secure Hash Algorithm) a 256 bit o selezionabile dall'utente.
6. Protocolli di sicurezza
I protocolli di sicurezza supportati dai dispositivi Edge IIoT SENECA permettono di realizzare reti e infrastrutture affidabili in cui lo scambio dati avviene con la massima sicurezza:
OpenVPN è una tecnologia VPN open source usata per creare tunnel crittografati punto-punto sicuri fra due computer attraverso una rete non sicura, ad esempio Internet. Permette agli host di autenticarsi l'uno con l'altro per mezzo di chiavi private condivise, certificati digitali o credenziali utente/password. Usa le librerie di cifratura OpenSSL e il protocollo SSLv3/TLSv1.
HTTPS Server è un server di base utilizzato per trasportare messaggi. HTTPS è un protocollo per la comunicazione sicura attraverso una rete di computer utilizzato su Internet. Consiste nella comunicazione tramite il protocollo HTTP (Hypertext Transfer Protocol) all'interno di una connessione criptata, l Transport Layer Security (TLS) o Secure Sockets Layer (SSL) fornendo come requisiti chiave. Il server HTTPS utilizza il certificato SSL per la sicurezza.
MQTT over TLS/SSL è l'acronimo di Message Queuing Telemetry Transport e indica un protocollo di trasmissione dati TCP/IP basato su un modello di pubblicazione e sottoscrizione che opera attraverso un apposito message broker. Per la crittografia del trasporto con MQTT, i protocolli Transport Layer Security (TLS) e Secure Sockets Layer (SSL) forniscono un canale di comunicazione sicuro tra un client e un server. Fondamentalmente, TLS e SSL sono protocolli crittografici che utilizzano un meccanismo di handshake per negoziare vari parametri per creare una connessione sicura tra il client e il server.
7. Gestione automatizzata certificati TLS per Https
Una piattaforma di gestione dei certificati digitali scalabile è la scelta migliore. Quest'ultima fornisce gli strumenti necessari per gestire e controllare in maniera efficace i certificati TLS/ SSL. Questi rappresentano uno dei principi fondamentali di sicurezza p poiché aiutano a certificare che un sito o server web possiede un livello base di integrità e privacy garantendo il trasferimento sicuro dei dati dal punto A al punto B. L'Hypertext Transfer Protocol (HTTP) viene utilizzato per trasmettere dati in chiaro. Le richieste e le risposte HTTPS sono crittografate con certificati TLS (SSL).
8. Certificato penetration test OASWAP, NITS 800 115, Risk Analysis, IEC 62443
Un penetration test è un metodo per la valutazione della sicurezza di un sistema informatico o di una rete simulando un attacco da parte di attaccanti esterni o interni. SENECA ha ottenuto la certificazione si sicurezza da parte di un soggetto indipendente, intraprendendo un percorso di conformità rispetto alle più diffuse norme e regolamentazioni in ambito cybersecurity quali OASWAP (Open Web Application Security Project, iniziativa open source per divulgare principi di sviluppo software sicuro), NITS SP 800-115 (linee guida degli elementi chiave dei test di sicurezza), Risk Analysis (metologia sistematica per definire provvedimenti di sicurezza ed evitare rischi), IEC 62443 (standard internazionale per la sicurezza dei sistemi di controllo industriale).
1. Blocco meccanico accesso remoto
Si tratta di un primo e fondamentale step di sicurezza. La configurazione di un ingresso digitale come blocco accesso remoto impedisce meccanicamente modifiche alle impostazioni a persone non autorizzate
2. Separazione LAN/WAN
Gateway / Router IoT possono essere utilizzati con un approccio tale da fornire un livello di sicurezza maggiore. Si tratta di connettere e configurare correttamente in modo indipendente le porte LAN e WAN. In questo modo è possibile disporre di due reti separate e prevenire possibili attacchi da parte di hacker e malintenzionati.
3. Autenticazione a 2 fattori
L'autenticazione a due fattori è un sistema di sicurezza che autorizza l'accesso a un account attraverso l'inserimento di un codice di verifica dopo la password. Google ha messo a disposizione dei suoi utenti Google Authenticator, un'app di sicurezza che genera codici causali per l'autenticazione in due passaggi. L'app consente di aumentare il livello di protezione di qualsiasi tipo di account che supporti il sistema 2FA e non necessita di connessione a Internet per generare i codici, che variano circa ogni 30 secondi in modo del tutto casuale.
4. Gestione avanzata permessi
L'autenticazione e l'autorizzazione regolano l'accesso ai dispositivi SENECA, per cui si determina in modo chiaro se un utente è autorizzato a visualizzare, accedere o modificare determinati parametri.
I dispositivi consentono un controllo puntuale dell'autorizzazione e dei ruoli, costituiti da set di privilegi, specificando il supervisore, l'utente o il gruppo ad essi associati.
5. Algoritmo cifratura Data Encryption
Il Data Encryption Standard (DES) è un algoritmo di crittografia utilizzato per proteggere i dati da possibili intrusioni. Si basa su un algoritmo a chiave simmetrica, il che significa che la stessa chiave viene utilizzata sia per criptare che per decriptare i dati. Il DES è considerato uno degli algoritmi di crittografia più sicuri esistenti. Il codice di crittografia del canale dati crittografa e decrittografa i pacchetti di dati trasmessi attraverso il tunnel OpenVPN. Le configurazioni del server di accesso create nella versione 2.5 o successiva utilizzano AES-256-CBC come cifratura. A questo framework viene associato un autenticatore sicuro SHA-256 (Secure Hash Algorithm) a 256 bit o selezionabile dall'utente.
6. Protocolli di sicurezza
I protocolli di sicurezza supportati dai dispositivi Edge IIoT SENECA permettono di realizzare reti e infrastrutture affidabili in cui lo scambio dati avviene con la massima sicurezza:
OpenVPN è una tecnologia VPN open source usata per creare tunnel crittografati punto-punto sicuri fra due computer attraverso una rete non sicura, ad esempio Internet. Permette agli host di autenticarsi l'uno con l'altro per mezzo di chiavi private condivise, certificati digitali o credenziali utente/password. Usa le librerie di cifratura OpenSSL e il protocollo SSLv3/TLSv1.
HTTPS Server è un server di base utilizzato per trasportare messaggi. HTTPS è un protocollo per la comunicazione sicura attraverso una rete di computer utilizzato su Internet. Consiste nella comunicazione tramite il protocollo HTTP (Hypertext Transfer Protocol) all'interno di una connessione criptata, l Transport Layer Security (TLS) o Secure Sockets Layer (SSL) fornendo come requisiti chiave. Il server HTTPS utilizza il certificato SSL per la sicurezza.
MQTT over TLS/SSL è l'acronimo di Message Queuing Telemetry Transport e indica un protocollo di trasmissione dati TCP/IP basato su un modello di pubblicazione e sottoscrizione che opera attraverso un apposito message broker. Per la crittografia del trasporto con MQTT, i protocolli Transport Layer Security (TLS) e Secure Sockets Layer (SSL) forniscono un canale di comunicazione sicuro tra un client e un server. Fondamentalmente, TLS e SSL sono protocolli crittografici che utilizzano un meccanismo di handshake per negoziare vari parametri per creare una connessione sicura tra il client e il server.
7. Gestione automatizzata certificati TLS per Https
Una piattaforma di gestione dei certificati digitali scalabile è la scelta migliore. Quest'ultima fornisce gli strumenti necessari per gestire e controllare in maniera efficace i certificati TLS/ SSL. Questi rappresentano uno dei principi fondamentali di sicurezza p poiché aiutano a certificare che un sito o server web possiede un livello base di integrità e privacy garantendo il trasferimento sicuro dei dati dal punto A al punto B. L'Hypertext Transfer Protocol (HTTP) viene utilizzato per trasmettere dati in chiaro. Le richieste e le risposte HTTPS sono crittografate con certificati TLS (SSL).
8. Certificato penetration test OASWAP, NITS 800 115, Risk Analysis, IEC 62443
Un penetration test è un metodo per la valutazione della sicurezza di un sistema informatico o di una rete simulando un attacco da parte di attaccanti esterni o interni. SENECA ha ottenuto la certificazione si sicurezza da parte di un soggetto indipendente, intraprendendo un percorso di conformità rispetto alle più diffuse norme e regolamentazioni in ambito cybersecurity quali OASWAP (Open Web Application Security Project, iniziativa open source per divulgare principi di sviluppo software sicuro), NITS SP 800-115 (linee guida degli elementi chiave dei test di sicurezza), Risk Analysis (metologia sistematica per definire provvedimenti di sicurezza ed evitare rischi), IEC 62443 (standard internazionale per la sicurezza dei sistemi di controllo industriale).
Leggi tutto
Fonte: https://blog.seneca.it/it/le-8-strategie-di-cybersecurity-dei-dispositivi-seneca/
Settori: Automazione industriale, Cyber Security, Industria 4.0, Informatica, IoT, Reti di comunicazione, Sicurezza industriale, Software industriale
Mercati: Sicurezza industriale
- Matteo Marconi
- MIMIT - Ministero delle Imprese e del Made in Italy