AO_440

Tutorial SETTEMBRE 2022 AUTOMAZIONE OGGI 440 | 109 e nella progettazione del sistema e delle pro- cedure atte a proteggere gli asset aziendali. Rilevamento e risposta sono le azioni che hanno luogo durante una compromissione del sistema: opportuni dispositivi di monitorag- gio analizzano il flusso dei dati alla ricerca di anomalie compatibili con il verificarsi di un at- tacco, provvedono a classificarlo e a generare allarmi per la successiva fase di contenimento e neutralizzazione della minaccia. La quinta funzione, quella di ripristino, con- templa la stesura di un piano di emergenza da porre in essere dopo il verificarsi di un attacco e include controlli di tipo correttivo (tipica- mente il ripristino a partire dall’ultimo backup) e compensativo (ad esempio trasferire le ope- razioni a un mirror separato o attivare disposi- tivi hardware ridondanti). Gestire la sicurezza informatica di un sistema di controllo industriale è un’attività conti- nuativa che richiede la ripetizione ciclica di una serie di azioni collegate: valutazione dei rischi, risposta ai rischi identificati tramite eli- minazione, mitigazione o compensazione, e monitoraggio continuo dell’evoluzione delle minacce e delle relative misure di sicurezza. Gli addetti alla cybersecurity attingono a una molteplicità di fonti (i bollettini di sicurezza del produttore del sistema operativo, le pa- gine relative alla sicurezza dei produttori dei dispositivi, le notifiche di ICS-Cert e degli isti- tuti nazionali che documentano le vulnerabi- lità critiche ecc.) per identificare nuovi fonti di rischio e relative contromisure. Nelle aziende di media o grande entità si ricorre anche a team contrapposti di esperti di sicurezza (Red Team, Blue Team) che hanno da un lato il com- pito di cercare di penetrare le difese dei propri sistemi informatici, e dall’altro quello di iden- tificare e rispondere agli attacchi. I principali passi della messa in sicurezza del sistema Formare una squadra di professionisti della sicurezza Definire le policy e le procedure di sicurezza Implementare un programma di gestione dei rischi Definire e inventariare gli asset del sistema da proteggere Sviluppare un piano di cybersecurity sulla base delle specificità del sistema Identificare i rischi Definire le misure per la mitigazione o compensazione valutando costi e benefici » Definizione dei perimetri delle zone da proteggere » Introduzione di una o più zone demilitarizzate (DMZ) » Firewall, Proxy, Data Diode, Intrusion Prevention System (IPS) » Archiettura Zero Trust » Sistemi ridondanti » Polizze assicurative (ad es. da perdita dati per ransomware) » Strategie di backup – Test del backup Rivedere ed affinare periodicamente il programma di sicurezza Update » Applicare patch di sicurezza » Aggiornare OS, software applicativi e antivirus Ripetere l’identificazione dei rischi e delle contromisure Effettuare test periodici di penetrazione (pentesting) Formazione continua del personale addetto alla sicurezza Sensibilizzazione di tutto il personale alle problematiche di sicurezza In particolare relativamente alle tecniche di social engineering Phishing, Vishing, Mishing, ... Ripristino del sistema dopo un attacco Ripristino software dall’ultimo backup » da archivi isolati dalla rete » da siti mirror separati Installazione di nuovo hardware o ripristino dei sistemi ridondanti Revisione delle protezioni e delle policy di sicurezza Eventuale Trasmissione delle informazioni per uso legale » Rispetto della catena di custodia » Consulenza legale I principali passi nella gestione dell’incidente Rivelazione dell’incidente informatico Raccolta e analisi dei log per il monitoraggio continuo delle attività di » Server, workstation, PC » Firewall, Switch, Gateway » Antivirus e Antimalware SIEM: Security Information and Event Management System » Correlazione tra le voci dei log IDS: Intrusion Detection System » Segnalazione anomalie nel flusso dati e accesso ai dispositivi DLP: Data Leakage/Loss Prevention » Decisioni basate sui contenuti e sull’analisi di contesto Identificazione dell’incidente L’agente è interno o esterno all’azienda? Spionaggio, estorsione, attivismo o terrorismo? Vettore di attacco: virus, worm, trojan, connessione non sicura, furto di credenziali... Obbiettivi colpiti: quali reti o sottoreti, quali dispositivi, quali software Timeline dell’incidente Raccolta di informazioni per uso legale Preservazione delle prove Risposta all’incidente Analisi della minaccia (eventuale reverse engineering) Rimozione software o sostituzione hardware compromesso Ripristino dell’operatività in linea con le policy prestabilite