OPC UA è uno standard ampiamente adottato negli ambienti industriali; tuttavia, ci sono ancora problemi relativamente alla sua sicurezza. Ciò è stato dimostrato chiaramente nell’aprile 2022, quando al Pwn2Own (una conferenza di hacker che offre premi in denaro ai partecipanti che riescono a violare un sistema di controllo industriale) due hacker sono riusciti a guadagnare l’accesso al software che governa molte delle power grid mondiali. E, ovviamente, se due ethical hacker possono conquistare l’accesso a servizi critici in due giorni, sicuramente possono riuscirci anche i servizi segreti stranieri.
Nello stesso mese, inoltre, la Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato un allarme congiunto con il Dipartimento dell’Energia USA, la National Security Agency e l’FBI dopo avere identificato strumenti che presentavano una minaccia avanzata persistente per i server OPC UA.
Gli esperti di Paessler, azienda specializzata nel monitoraggio di rete, hanno esaminato i rischi per i server OPC UA evidenziati dall’hack Pwn2Own e dalla segnalazione del CISA e hanno suggerito quattro azioni che possono essere adottate subito per proteggere gli ambienti OPC UA.
Mitigare il rischio
1. Isolare le reti e i sistemi ICS/SCADA dalla rete aziendale e da Internet
Per quanto non direttamente collegato a OPC UA, ciò minimizza la possibilità che attori esterni abbiano accesso alle reti e ai sistemi ICS. L’ideale sarebbe avere una rete ICS completamente isolata, ma nella realtà questo non è quasi mai possibile. Piuttosto, quanto il CISA raccomanda è mantenere uno stretto controllo sulle comunicazioni che entrano o escono dai perimetri ICS/SCADA.
Una buona pratica sarebbe monitorare accuratamente i firewall sui confini tra le diverse reti così da sapere esattamente quale traffico entra ed esce e potere identificare ogni attività anomala (ad esempio, picchi inspiegabili nell’uso della banda).
2. Configurare la sicurezza di OPC UA
Il CISA raccomanda che la sicurezza di OPC UA sia configurata correttamente. Ciò significa, ad esempio, assicurarsi che sia prevista l’autenticazione delle applicazioni e che siano usate liste fidate esplicite. Paessler consiglia per questo la lettura delle linee guida pratiche per la costruzione di applicazioni OPC UA di OPC Foundation.
3. Monitorare la diagnostica del server OPC UA
Gli attacchi forza bruta tendono a esibire certe caratteristiche, come ad esempio un picco nel numero di tentativi o nel numero di richieste al server OPC UA. É facile intuire che si dovrebbe sempre tenere sotto controllo questi due aspetti dell’ambiente OPC UA.
I server OPC UA possono essere configurati per registrare le informazioni diagnostiche. Se questa funzione è attivata, si possono monitorare certi numeri che potrebbero indicare un attacco a forza bruta teso a guadagnare l’accesso. Tra questi numeri, ad esempio, vanno monitorati i conteggi delle sessioni rifiutate e delle richieste rifiutate.
É possibile usare un tool di monitoraggio che sia dotato di funzionalità OPC UA, come Paessler PRTG, per controllare queste metriche e attivare un allarme quando il numero di sessioni o richieste rifiutate cresce in modo anomalo.
4. Tenere d’occhio i certificati OPC UA
I certificati OPC UA sono una parte critica del concetto di sicurezza e devono, quindi, essere monitorati attentamente per essere certi che siano validi e non scadano improvvisamente. Anche in questo caso un tool di monitoraggio con funzionalità OPC UA può giocare un ruolo importante.
Il monitoraggio è una componente importante della sicurezza della rete
Il monitoraggio è fondamentale per mantenere sicura una rete. Non solo permette di identificare i segnali che potrebbero indicare una attività sospetta, ma può anche lanciare allarmi in modo da esserne subito al corrente. Anche il report CISA raccomanda di usare una soluzione di monitoraggio per tracciare e lanciare allarmi in presenza di opportuni indicatori e comportamenti pericolosi.
Il software di monitoraggio Paessler PRTG permette di monitorare l’ambiente OT usando standard e protocolli come OPC UA, Modbus, SNMP e altri ancora. Soprattutto, permette di combinare i dati di monitoraggio degli ambienti OT, IT e IoT in una sola panoramica.
