verticale

Criteri di progettazione della sicurezza per la gestione delle reti locali nelle applicazioni industriali

- La Security secondo IEC 62443-1-1
- Security ieri e oggi
- Il modello “difesa in profondità"
- Le politiche di accesso
- Una rete “piatta” non ha confini “sicuri”

Scarica il PDF Scarica il PDF
Aggiungi ai preferiti Aggiungi ai preferiti


Atti di convegni o presentazioni contenenti case history
SAVE ottobre 2017 La Cyber Security nella trasformazione digitale delle industrie: esigenze e soluzioni

Pubblicato
da Benedetta Rampini
SAVE 2017Segui aziendaSegui




Settori: 

Parole chiave: 


Estratto del testo
Veronafiere 18-19 ottobre 2017 Gli atti dei convegni e pi di 8.000 contenuti su www.verticale.net Cogenerazione Termotecnica Industriale Pompe di Calore 27 ottobre Cogenerazione Termotecnica Industriale Pompe di Calore Alimentare Alimentare Petrolchimico Alimentare 28 ottobre Alimentare Petrolchimico Alimentare Alimentare Petrolchimico Visione e Tracciabilit 28 ottobre Luce Energia Domotica LED Luce Energia Domotica LED La Cyber Security nella trasformazione Digitale delle Industrie: Esigenze e Soluzioni Roberto Motta Criteri di progettazione della
sicurezza per la gestione delle reti
locali nelle applicazioni industriali
La Security secondo IEC 62443-1-1 ' Prevenzione di accessi illeciti o non voluti o di interferenze nello specifico e normale funzionamento di un sistema di comando e controllo per
l'automazione industriale Un'affermazione imbarazzante ... "La mia macchina non
connessa alla rete di fabbrica
o ad Internet, dunque la
Security non mi riguarda"
' Chiunque acceda alla macchina
potrebbe introdurre un malware
attraverso una pennetta USB o
attraverso il proprio PC di servizio ' Un PC con un sistema operativo per
il quale non sono pi fornite patch di
aggiornamento (p.e. Windows XP) o
un PC su cui non sono state installate
le patch di aggiornamento messe a
disposizione dal fornitore, sono altre
possibili situazioni di rischio ' La mancata segmentazione della rete di fabbrica
potrebbe dare accesso ovunque a chiunque Perch si parla tanto di Security' Dobbiamo garantire: ' Disponibilit / Integrit / Riservatezza
' Autenticazione / Autorizzazione / Accounting
' Accessi Remoti sicuri
' Protezione delle informazioni Sistemi Operativi: Comunicazioni: Flusso delle Informazioni: Soluzioni Informatiche: Architetture: Utenti: Proprietari
Proprietari
Isolato (Silos)
'Monolitiche'
Proprietarie
'Interni' Aperti
Protocolli e tecnologie standard
Integrato
Modulari & Remote
Aperte
Interni & Esterni (Remoti) IERI OGGI Le sfide per l'industria aumentano ' Oggi gli ambienti di controllo hanno nuovi punti di accesso in cui
possono essere "violati" ' Abbiamo avuto un trend crescente di interruzione di controlli critici
dopo Stuxnet (via USB) ' La maggior parte delle reti industriali oggi non protetta
contro queste minacce


Physical Remote Access Open Port Malware Proximal Plant Facciamo degli esempi ' Come posso accertarmi che la configurazione del mio sistema di controllo non sia cambiata' ' Come posso assicurare l'accesso ad un controllore attraverso un percorso di connessione sicuro' ' Quanto modifiche accidentali al sistema di controllo possono influenzare il corretto funzionamento della mia applicazione ed interferire con la
sicurezza degli operatori' Protezione e rilevamento delle manomissioni e intrusioni Il modello 'difesa in profondit' ' Modello di Security su pi Livelli: ' Schermare potenziali 'bersagli' dietro livelli multipli di protezione per ridurre i rischi ' Difesa in profondit: ' Utilizzare pi contromisure di sicurezza per proteggere l'integrit di componenti e sistemi ' Apertura: ' Soluzioni disponibili da vari fornitori ' Flessibilit: ' Per soddisfare Politiche e Procedure specifiche ' Coerenza: ' Soluzioni che si allineano a direttive governative e degli organismi internazionali di normazione Non bastano un unico prodotto, tecnologia o
metodologia per garantire al 100% la sicurezza
dei sistemi di controllo industriale Come applichiamo questo modello' 1. Autentichiamo l'identit di tutti gli utenti che richiedono di accedere ad un sistema di automazione 2. Autorizziamo l'accesso di un utente ad una specifica risorsa di un sistema rispetto all'insieme di 'permission' definiti nel suo profilo 3. Tracciamo (Accounting) quanto fatto da un utente che ha avuto accesso a quella specifica risorsa 4. Aggiorniamo le patch dei S. O. disinstalliamo i componenti software e le porte USB o altre interface poco usate 5. Segreghiamo e Segmentiamo le reti di automazione anzich creare reti piatte 6. Limitiamo l'accesso fisico ai dispositivi di automazione p.e. limitiamo l'accesso alle porte di uno switch ad indirizzi MAC specifici Le politiche di accesso sono varie ' Product policies: ' Definiscono a quali funzioni (p.e. Frimware update) ha accesso uno specifico utente ' System policies: ' Definiscono le regole che governano il modo di protezione (p.e. le scadenze delle password) ' Computer policies: ' Per definire ad esempio quali computer hanno accesso ad uno specifico sistema di
automazione ' Permission policies: ' Lo stesso livello di Permission pu essere attribuito ad un utente per un singolo
dispositivo, per tutti o per gruppi Una rete 'piatta' non ha confini 'sicuri' Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Line control er Line I/O Layer 2
Switch Layer 2
Switches Layer 2 Switch Line controller Line I / O Layer 2
Switch Layer 2
Switches Machine/ Skid control er Machine I/O Application Servers ' I Domini di Fault (Layer 2 loops), di Broadcast e di Trust
rischiano di crescere a dismisura senza controllo ' Peggio se le reti sono unamanged 192.168.10.xxx / 24 192.168.xxx.xxx / 16 ' e oltre Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Line control er Line I/O Line control er Line I/O Layer 2
Switch Layer 2
Switches Layer 2
Switches Layer 2 Switch Layer 2
Switch Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Layer 2
Switches Machine/ Skid control er Machine I/O Possiamo creare confini 'sicuri' ' Line controller Line I / O Layer 3
Switch VLAN 10 - 192.168.10.xxx VLAN 20 - 192.168.20.xxx VLAN 30 ' 172.25.30.xxx VLAN 40 ' 172.25.40.xxx ' Dispositivi di Layer 3 creano Domini di Fault, di
Broadcast e di Trust separati e pi piccoli ' Dispositivi NAT forniscono un modo semplice per
mappare gli indirizzi IP di una sottorete nei
corrispondenti indirizzi IP della rete di controllo Core switches Application Servers Industrial Firewalls Line control er Line I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Layer 3
Switch Layer 2
Switches NAT Switch Distribution
Switches Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Line control er Line I/O Line control er Line I/O NAT Switch Layer 3
Switch NAT
Switches Layer 2
Switches Layer 3
Switch Distribution
Switches ... controllare il traffico fra domini, Machine/ Skid control er Machine I/O Layer 2
Switches Machine/ Skid control er Machine I/O Line controller Line I / O Layer 3
Switch VLAN 10 - 192.168.10.xxx VLAN 20 - 192.168.20.xxx VLAN 30 ' 172.25.30.xxx VLAN 40 ' 172.25.40.xxx Core switches Application Servers Industrial Firewalls Line control er Line I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Layer 3
Switch Layer 2
Switches NAT Switch Distribution
Switches Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Line control er Line I/O Line control er Line I/O NAT Switch Layer 3
Switch NAT
Switches Layer 2
Switches Layer 3
Switch Distribution
Switches ... e autorizzare accessi 'sicuri' Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Line control er Line I/O Layer 3
Switch Layer 2
Switches NAT Switch Distribution
Switches Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Machine/ Skid control er Machine I/O Line control er Line I/O Line control er Line I/O NAT Switch Layer 3
Switch NAT
Switches Layer 2
Switches Layer 3
Switch Distribution
Switches Line controller Line I / O Layer 3
Switch Layer 2
Switches Machine/ Skid control er Machine I/O VLAN 10 - 192.168.10.xxx VLAN 20 - 192.168.20.xxx VLAN 30 ' 172.25.30.xxx VLAN 40 ' 172.25.40.xxx Core switches Application Servers Industrial Firewalls Machine/ Skid control er Machine I/O VPN Client VPN Client ' In una VPN il traffico viene canalizzato e
criptografato in un tunnel sicuro fra un VPN
Client e un VPN Server ' I dati sono accessibili solo ai due capi del
tunnel da dispositivi autenticati I firewall creano baffer zone dette zone
deimilitarizzate (DMZ) che permettono a
dati e servizi di essere condivisi in modo
siuro senza traversare direttamente il buffer La Cyber Security nella trasformazione Digitale delle Industrie: Esigenze e Soluzioni 14 Grazie per l'attenzione


In evidenza

ExxonMobil
Grassi Mobil™ - Formulati per fornire elevate prestazioni anche in condizioni operative estreme
2G Italia
Cogenerazione e trigenerazione dal leader tecnologico mondiale
SD Project
SPAC : Il Software per la progettazione Elettrica
select * from VERT_CONTENUTI as con left join VERT_UTENTI_AZIENDE as azi on con.iduteazienda = azi.iduteazienda where testataurl like '%%' or eventourl like '%'%' or testataurl like '%'eiomfiere.it%' or eventourl like '%'eiomfiere.it'%'
Array ( ) Array ( [0] => Array ( [0] => 42000 [SQLSTATE] => 42000 [1] => 102 [code] => 102 [2] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Incorrect syntax near 'eiomfiere'. [message] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Incorrect syntax near 'eiomfiere'. ) [1] => Array ( [0] => 01000 [SQLSTATE] => 01000 [1] => 16954 [code] => 16954 [2] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Executing SQL directly; no cursor. [message] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Executing SQL directly; no cursor. ) )
© Eiom - All rights Reserved     P.IVA 00850640186