verticale

Industria 4.0 e Cyber Security: Industrial Network Resilience

Il requisito tipico dell'industria 4.0 è l'analisi in tempo reale degli impianti di processo e il massiccio trattamento di dati, così da aumentare la produttività e ridurre i costi.
La digitalizzazione delle reti industriali espone però le organizzazioni a una vasta gamma di minacce, derivanti sia dall'interno che dall'esterno della rete industriale, diventa quindi imprescindibile adottare una strategia efficace per la Cyber Security per i diversi livelli delle reti di impianti.

Scarica il PDF Scarica il PDF
Aggiungi ai preferiti Aggiungi ai preferiti


Atti di convegni o presentazioni contenenti case history
mcT Petrolchimico Milano novembre 2017 workshop

Pubblicato
da Benedetta Rampini
mcT Petrolchimico Milano 2017Segui aziendaSegui




Settori: 

Parole chiave: 


Estratto del testo
Milano, 30 novembre 2017 Gli atti dei convegni e pi di 8.000 contenuti su www.verticale.net P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Salvatore Brandonisio Industria 4.0 e Cyber Security: Industrial Network Resilience P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Phoenix Contact Group L'azienda opera su nove siti produttivi al di fuori della Germania. Abbiamo pi di 50 filiali di vendita e pi di 30 agenzie locali. Leader mondiale nella tecnologia di connessione e per l'automazione industriale. P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 La filiale Italiana Ufficio Vendite a Cusano Milanino e Centro Logistico a Cesano Maderno Nel 2016 il fatturato stato di 78 Mln ', con poco pi di 100 dipendenti Phoenix Contact SPA P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 I Mega Trend: ancora pi Internet Integrazione dei dati nel Cloud P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Cyber ''Attacks: Un rischio tra i pi temuti 5 Al World Economic Forum 2016: Gli attacchi informatici sono
considerati uno dei maggiori rischi
per l'economia in termini di
IMPATTO e PROBABILIT P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 http://www.clearswift.com/sites/default/files/images/blog/enemy-within.pdf Gli "attacchi" non sono sempre intenzionali Le minacce sono interne o esterne'
(ex)impiegati, (sub)contractors, service P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 ' Memorie USB / PC di servizio:
Malware Cyber security Quali sono i potenziali vettori di ingresso' ' Mail : Phishing ' Wi Fi: cracking da dispositivi in impianto o
telecamere ' Teleassistenza : VPN credenziali sottratte o
accessi dal costruttore
e/o cliente finale ' Rete : Firewall non configurati
correttamente P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Tutto ci riguarda anche il mondo industriale' 1980s ' Fieldbus con protocolli proprietari 1990s ' Standard PCs con sistema operativo Windows vengono impiegati come HMIs, sistemi SCADA, etc. 2000s ' Aumento della domanda di connettivit alla rete di produzione Today ' Le reti industriali sono sempre pi basate su Ethernet (Profinet, Ethernet IP, ecc.), con un mezzo di comunicazione omogeneo da MES a rete di campo P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Le vulnerabilit devono essere rese non accessibili
senza influenzare il normale funzionamento degli
impianti Dividere la rete industriale in 'Isole' separate ' Le zone comunicano tra loro usando solo i percorsi" precedentemente identificati ' Tutto il traffico in entrata / in uscita da un percorso protetto da firewall o sistemi dedicati che garantiscono
l'integrit e la riservatezza della comunicazione (ad es.
VPN)
Questo approccio suggerito anche dal ICS-CERT e dallo standard ISA99 Soluzioni per l'Industrial IT
Approccio per Isole e Percorsi: ANSI/IEC-62443 https://www.isa.org/link/networkthreats/ P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Cyber security Comprendere le vulnerabilit del sistema di controllo Per capire come rendere sicure
le reti SCADA e PLC
necessario:
' Identificare
' Monitorare
' Controllare
OGNI percorso di comunicazione
a livello di processo / produzione P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Isole e Percorsi: un esempio Icons designed by Freepik Local HMIs Remote HMIs Customer DCS DMZ Remote
Service Zone
IPS/IDS
System SIEM
System Isole P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Soluzioni da Phoenix Contact Cyber security Router / Firewall IDS P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Security Router / Firewall Caratteristiche della famiglia
' Facilit di integrazione nelle reti esistenti
' Non richiedono alcuna modifica al piano degli indirizzi IP ' Funzionano in layer 2 e in layer 3, se le funzionalit di rete lo richiedono ' Possono registrare il traffico bloccato per l'analisi post-intervento ' Supportano DPI su traffico Modbus e OPC Single Stealth Subnet A Multi Stealth Subnet A Router Mode Subnet B Subnet A P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Security Router / Firewall Configurazione ed aggiornamento di tutti i
dispositivi Security Router e Firewall
' Configurazioni centralizzate
' Aggiornamento centralizzato del firmware
' Semplici configurazioni basate su modelli
' Licenze centralizzate
' Funziona sia su Intranet che su Internet
' Modo push / pull per inviare i dati
' Supporta multiutente
' Supporta diversi "diritti utente" P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 CIFS Integrity Checking ' Nessun software da installare sul sistema da proteggere ' Alla scansione iniziale viene creato un database crittografato che contiene gli hash di tutti i file
del sistema di destinazione ' Esplorazione ciclica delle directory accessibili e confronto dei risultati con la scansione iniziale ' Rilevazione automatica delle modifiche ai file (eliminazione, creazione, modifica) ' Rileva le vulnerabilit di 0-day LAN WAN Rileva ogni cambiamento del File System !! P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Ridondanza: percorso, firewall e VPN ' Ridondanza Hardware tra due firewall-router
' Ridondanza di percorso per la connessione a Internet : ' tramite la rete ADSL e canale di backup tramite la doppia SIM integrata ' stato delle connessioni aggiornato in continuo per evitare interruzioni in caso di
commutazione ' La ridondanza pu essere garantita anche per i tunnel VPN Ridondanza Firewall o Ridondanza Firewall + VPN P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Accesso da remoto e VPN Icons designed by Freepik Cosa si vuole ottenere
' Teleassistenza (accesso remoto al dispositivo) Nasce l'esigenza di creare collegamenti sicuri attraverso una rete non sicura: i tunnel VPN Local HMIs Remote HMIs Customer DCS DMZ Remote Service
Zone
IPS/IDS
System SIEM
System VPN P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Le soluzioni VPN-based per la Teleassistenza 18 Soluzione Secure Cloud Il Cloud usato per l'instradamento delle connessioni sicure Accesso da remoto Soluzione InHouse Usa componentistica hardware che opera con una infrastruttura centralizzata di comunicazione P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Remote Access via Internet Service Gateway (virtual) Machine Builder / Service Technician Service VPN Plant by the End-User Secure Cloud App Machine Gateway (virtual) Routing & Management Raggiungibile attraverso un indirizzo IP reale Maximum availability VPN: online VPN: online Firewall friendly Ipsec con selezione
porta (es: TCP 443) e supporto
Proxy Machine VPN Soluzioni con Secure Cloud Public P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 'Con gli impianti di servizio
remoto possibile accedere
con un IP reale! 'Il telecontrollo e il servizio
remoto possono lavorare
insieme! Internet ADSL Router VPN tunnel mGuard Star
Center Machine
Builder Office Remote
Plant n.1 Remote
Plant n.2 Public IP
address or
active DynDNS
Technician on
travel Remote
Plant n.3 MachineSelector
Web Server (VM)
Remote Access via Internet
Soluzione In-House P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 ICS Security platform SilentDefense P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Principali funzionalit SilentDefense P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 Industrial Threat Library (ITL) ' La libreria effettua 80 controlli, che vengono estesi a ogni release
' Controlli suddivisi in tre categorie ' Networking: rileva cattive configurazioni di dispositivi e rete
' Operations: rileva problemi e minacce ai processi industriali
' Security: rileva minacce alla sicurezza e vulnerabilit SilentDefense P15b 6,20 5,30 4,00 3,50 4,60 5,60 6,20 11,20 11,20 PHOENIX CONTACT
Vi aspettiamo al nostro DESK


© Eiom - All rights Reserved     P.IVA 00850640186