Industrial che prevedono una serie sistematica di operazioni chimiche, fisiche, elettriche e meccaniche sono solitamente protetti da sistemi tradizionali e obsoleti, che non sono mai stati progettati per contrastare le moderne minacce alla sicurezza informatica.
Nei settori della produzione energetica e della raffinazione, questi processi riguardano la trasformazione delle materie prime in energia su larga scala. Le varie apparecchiature OT utilizzate nelle raffinerie di petrolio devono comunicare tra loro affinché i processi ingegneristici possano funzionare correttamente.
Ed è proprio qui che si manifesta la vulnerabilità critica.
I sistemi di controllo quali PLC, DCS e SCADA partono generalmente dal presupposto che qualsiasi entità che comunichi con essi sia affidabile. Di conseguenza, possono non disporre di meccanismi di autenticazione, crittografia o della capacità di convalidare i comandi.
Se i sistemi OT sono collegati alla stessa rete dei sistemi IT (strumenti di accesso remoto, connessioni di appaltatori o computer portatili utilizzati per la manutenzione), qualsiasi violazione in quelle aree meno sicure può raggiungere direttamente l’ambiente di controllo. Di conseguenza, un incidente di sicurezza che ha origine nell’IT può propagarsi lateralmente nell’OT incontrando scarsa resistenza.
Gli attacchi DoS/DDoS, un software configurato in modo errato o utenti con intenti malevoli possono comunicare direttamente con i sistemi di controllo, alterando potenzialmente i valori di processo, interrompendo la produzione, danneggiando le apparecchiature o creando condizioni operative non sicure.
Gli ambienti OT danno priorità alla disponibilità e alla stabilità. Non si tratta di sistemi a cui è possibile applicare rapidamente delle patch, il che significa che le vulnerabilità rimangono sfruttabili per lunghi periodi. In una rete piatta o scarsamente segmentata, un singolo incidente può quindi aggravarsi rapidamente e interessare più risorse o siti.
Il nostro cliente, una delle più grandi società quotate in borsa al mondo nel settore energetico e chimico, ha preso coscienza della propria esposizione al rischio e ha deciso di affrontare le vulnerabilità legate ai sistemi legacy attraverso la segmentazione.
Grazie a un’adeguata segmentazione, le reti vengono separate in base al rischio e alla funzione. In questo modo, le risorse OT critiche sono accessibili solo attraverso percorsi rigorosamente controllati, mentre la comunicazione è esplicitamente definita e limitata, anziché essere considerata sicura per impostazione predefinita.
Poiché i firewall IT tradizionali si sono rivelati inefficaci nel gestire i loro protocolli di comunicazione specifici, l’organizzazione ha sceltoFirewall MetaDefender Industrial Firewall OPSWATFirewall creare una segmentazione sicura tra le risorse OT critiche e le zone meno protette.
Quando la sicurezza informatica diventa sicurezza nazionale
In qualità di importante operatore europeo nel settore petrolifero e del gas, i processi del cliente si basavano su un’infrastruttura distribuita tra diverse raffinerie, piattaforme di trivellazione offshore e centri di controllo delle condutture.
Tale infrastruttura dipendeva in larga misura da sistemi industriali tradizionali quali PLC, piattaforme SCADA e HMI.
Questi sistemi erano stati originariamente progettati per garantire affidabilità e disponibilità, non per la sicurezza informatica. Non disponevano di funzioni integrate di autenticazione, crittografia e registrazione dettagliata degli eventi.
I tradizionali firewall informatici utilizzati si sono rivelati inefficaci nel gestire i protocolli di comunicazione specifici utilizzati negli ambienti OT e CPS, lasciando i sistemi esposti a:
- Traffico di rete superfluo e rischi di movimento laterale
- Potenziali punti di accesso per ransomware e attacchi informatici mirati
- Difficoltà nell'applicare un controllo granulare sui protocolli industriali
Non si tratta di rischi che un’organizzazione operante nei settori della produzione e della raffinazione energetica possa semplicemente ignorare: gli attacchi ai sistemi energetici possono mettere a repentaglio la sicurezza pubblica, compromettere i servizi essenziali e indebolire la sicurezza nazionale.
Anziché aspettare che si verificasse il peggio, il cliente ha deciso di risolvere la situazione critica in cui versava l’organizzazione, implementandoFirewallIndustrial MetaDefender OPSWAT.
Garantire la resilienza Industrial nel rispetto dei requisiti delle norme IEC 62443 e NIS2
L'azienda ha implementatoFirewall Industrial OPSWAT MetaDefender Firewall creare una segmentazione sicura tra le risorse OT critiche e le zone meno protette.
MetaDefender Industrial Firewall
Firewall nostroFirewall Industrial Firewall le operazioni è un dispositivo robusto e ad alte prestazioni, progettato come ultima linea di difesa contro configurazioni errate accidentali, utilizzi dolosi, minacce zero-day, attacchi DoS e DDoS e anomalie potenzialmente dannose.
Grazie all’ispezione approfondita dei pacchetti per i protocolli industriali e al controllo degli accessi basato su criteri, il firewall ha consentito al cliente di:
- Isolare le risorse OT/ICS dagli attacchi informatici diretti contro i sistemi PLC, SCADA e DCS.
- Filtrare e controllare i protocolli industriali per bloccare i comandi non autorizzati, garantendo al contempo il funzionamento in sicurezza.
- Proteggere le postazioni di lavoro degli storici e degli ingegneri da tentativi di accesso non autorizzati.
Supporto alla conformità alle norme IEC 62443 e NIS2
Grazie alFirewall Industrial Firewall le operazioni, il cliente è stato inoltre supportato nei suoi sforzi volti a garantire la conformità ai requisiti della norma IEC 62443 e della direttiva NIS2 per gli operatori europei di servizi essenziali.
La direttiva NIS2 | IEC 62443 |
Applicazione delle misure di gestione dei rischi: garantisce la segmentazione della rete tra IT e OT per ridurre il rischio informatico sistemico a carico dei servizi essenziali. | Architettura a zone e percorsi: |
Riduzione della superficie di attacco: | Convalida a livello di comando: |
Resilienza operativa: | Filtraggio dei comandi Industrial : |
Controlli a prova di audit: | Integrità di controllo e comunicazione (SR 3.x): |
Responsabilità a livello di consiglio di amministrazione: | Applicazione delle misure di controllo degli accessi per le risorse OT: Limita l'accesso ai PLC, ai sistemi SCADA e alle postazioni di lavoro di progettazione |
Controllo architettonico o segmentazione, stabilità operativa e governance migliorata
MetaDefender Industrial Firewall fungeFirewall da sistema di controllo compensativo per le risorse legacy o per quelle per cui non è possibile applicare patch, piuttosto comuni nelle raffinerie e nei sistemi di condotte.
Grazie al Firewall, il cliente può ora:
- Prevenire l'invio accidentale o non autorizzato di comandi ai controllori tramite l'ispezione dei protocolli industriali.
- Contenere le interruzioni a livello di sito, impedendo la propagazione a più sedi tra strutture interconnesse.
- Limitare il traffico anomalo e i pacchetti non validi per garantire la disponibilità del controller.
- Isolare i sistemi di sicurezza dalle reti di controllo standard per ridurre il rischio operativo.
- Garantire l'applicazione verificabile delle politiche di gestione degli accessi per fornitori e appaltatori.
Opportunità future
Il nostro cliente è consapevole che una segmentazione sicura rappresenta solo il primo passo verso l'attuazione di una solida strategia di difesa in profondità.
Eppure, si tratta di un passo importante, poiché prepararsi alla crescita futura consente all’organizzazione di portare avanti le proprie attività in un ambiente sicuro.
Il cliente può ora rafforzare ulteriormente la propria strategia di sicurezza informatica:
- Integrazione di MetaDefender Industrial Firewall MetaDefender OT Security la visibilità delle risorse e vulnerability detection reti delle raffinerie e delle condutture.
- Sfruttare MetaDefender OT Access garantire un accesso remoto e sicuro agli ambienti OT.
- Sviluppare una strategia di difesa a più livelli che coinvolga le piattaforme offshore e gli impianti di raffinazione, al fine di mitigare i rischi legati al personale interno e alla catena di approvvigionamento.
Se la vostra organizzazione intende modernizzare e proteggere la propria rete su larga scala, ilFirewall Industrial MetaDefender Firewall aiutarvi a velocizzare la risoluzione dei problemi e a migliorare le operazioni.
Contattaci per scoprire come OPSWAT nostra OPSWAT può proteggere i tuoi sistemi.
