verticale

L’ePAC come Device Hardening nell’approccio DiD

- Industry Cybersecurity Strategy
- Security Manager
- Esempio 1 : Cybersecurity Hardening nei sistemi di controllo
- Esempio 2 : Cybersecurity Hardening nell’hardware di supervisione e comunicazione M2M

Scarica il PDF Scarica il PDF
Aggiungi ai preferiti Aggiungi ai preferiti


Atti di convegni o presentazioni contenenti case history
SAVE ottobre 2017 La Cyber Security nella trasformazione digitale delle industrie: esigenze e soluzioni

Pubblicato
da Benedetta Rampini
SAVE 2017Segui aziendaSegui




Settori: 

Parole chiave: 


Estratto del testo
Veronafiere 18-19 ottobre 2017 Gli atti dei convegni e pi di 8.000 contenuti su www.verticale.net Cogenerazione Termotecnica Industriale Pompe di Calore 27 ottobre Cogenerazione Termotecnica Industriale Pompe di Calore Alimentare Alimentare Petrolchimico Alimentare 28 ottobre Alimentare Petrolchimico Alimentare Alimentare Petrolchimico Visione e Tracciabilit 28 ottobre Luce Energia Domotica LED Luce Energia Domotica LED La Cyber Security nella trasformazione Digitale delle Industrie: Esigenze e Soluzioni Stefano Anfossi
Senior Systems & Architectures Engineer L'ePAC come Device Hardening
nell'approccio DiD
Obiettivo: La sicurezza dei Processi Optional caption goes here. Mantenere l'Integrit Operativa durante la gestione dei processi e delle informazioni per ottenere un Controllo del Business Real Time Enterprise Software Controllo Real-time del Business Industrial Software Controllo Operations Real-time Assets di automazione Controllo Produzione Real-time Sicurezza Affidabilit Disponibilit Servizi Digitali Separazione
Offerta prodotti sicuri Industry Cybersecurity Strategy Architetture raccomandate-Simulazione Standard di Sicurezza Sicurezza come processo in continua evoluzione Analisi tolleranza al Fault Servizi di sicurezza e di protezione avanzata - Defense-in-Depth Sicurezza del sito Infrastruttura di rete sicura Firewall/Router/Switch Managed ePAC CNM/Scada Architettura sicura Ap p roc ci o D ef e n se -in -D e p th Cosa fa il buon Security Manager Presidiare i sistemi e le infrastrutture fisiche locali e in cloud Garantire la continuit di business Garantire la sicurezza dei dispositivi fissi e mobili Attivit continue di monitoraggio, adeguamento e manutenzione Gestione degli accessi fisici e digitali Garantire la qualit dei servizi e l'adeguamento della politica di sicurezza alle normative nazionali e internazionali Esempio 1 : Cybersecurity Hardening nei sistemi di controllo L' ePAC come strumento di sicurezza PAC certificato per essere CyberSicuro Certificazione di robustezza delle
comunicazioni ed integrit di sistema Altre certificazioni in validazione: CSPN ' Nuclear France EDSA ' US CITSEC - China Comparazione con I PLC legacy Page 9 Modicon M580 Modicon Quantum Firmware encryption (SHA256 ' RSA4096 ' AES256) ' x Firmware integrity checks at start-up ' x Processor realtime integrity check ' x Memory realtime integrity check ' x System task realtime integrity check ' x Unity Pro DLL integrity checks ' ' IP black / white list (Unity Pro access control list) ' ' Application password protection ' ' Run / Stop controlled by physical input ' x Memory protect ' using front switch Services activation control (FTP/TFTP/HTTP/EIP/DHCP/BOOTP) ' Only FTP / HTTP PLC syslog event treaceability ' x Syslog event logging to external server ' x Secured protocol to Scada (IP Sec support ) ' x Achilles Level 2 certification ' x CSPN certification pending x EDSA (ISA Secure) certification pending x Citsec certification pending x Linee attuali Linee precedenti L' ePAC cybersecurity ready Sicura modalit di funzionamento del PLC Modifiche di programma o di configurazione del PLC protette da password a livello PLC RUN/STOP remoto pu essere controllato da un input fisico cablato Meccanismo di protezione della Memoria controllata tramite input fisico per prevenire qualsiasi modifica Controllo FTP / HTTP Disattivazione servizi quando non utilizzati anche dinamicamente da applicazione. Integrit del firmware e dei files eseguibili Firmware con firma digitale criptata
Integrit firmware verificata prima che venga scaricato su PLC e allo startup del controllore Algoritmi crittografici affidabili (SHA256 ' RSA4096 ' AES256)
Firma elettronica (X509 =S= certificati) dei file eseguibili, delle ddl di OFS e dello strumento di
sviluppo
Controllo integrit su richiesta o allo startup Tracciabilit degli eventi PLC implementa un SYSLOG client
Ogni evento di sicurezza su ogni PLC vengono rilevati e inviati ad un server SYSLOG

Esempi di eventi sicuri : Tutte le connessioni riuscite o non riuscite
Tutte le pricipali modifiche al sistema
Applicazione PLC, Configurazione , reboot , run, stop . . . . . . . . . Compatibilit con i tipici SYSLOG server - Formato dell'evento sicuro: date/time/type of event / @IP
Abilitare/Disabilitare i servizi non necessari

I Servizi interessati sono:

File Transfer Protocol (FTP)

Trivial File Transfer Protocol (TFTP)

HyperText Transfer Protocol (HTTP)

Richieste DHCP/BOOTP

Simple Network Management Protocol (SNMP)





Controlli di accesso irrobustiti Controllo dei servizi via software
associati al singolo IP IPSec MbTCP
EIP
FTP
HTTP
. . . .
X Bus Control Network Device Network Comunicazione sicura Comunicazione sicura tra Control Network e rete PLC /
dispositivo garantita da protocollo IPSec

Implementato sui moduli di comunicazione

Il protocollo IPSEC fornisce protezione contro la
riproduzione - autenticazione dell'origine e controllo
dell'integrit dei dati (AH) - La riservatezza non
gestita

Nessun software da installare lato client: possibilit di
appoggio al servizio IPSec di Windows (da definire
come strategia di politica di sicurezza)

Impatto misurato sulle performances di
comunicazione dello SCADA :
+ 10ms per leggere 10000 variabilli Esempio 2 : Cybersecurity Hardening nell'hardware di supervisione e
comunicazione M2M Componenti e Tool in una connessione M2M Helpdesk User Portal Customer SW LINK IN
MOBILITA' SW PRINCIPALE GESTIONE LINK PORTALE UTENTE SW LINK A BORDO HMI SW LINK A BORDO HMI Si tratta del componente software integrato
nell'HMI che abilita l'accesso remoto all'HMI
stesso e ai dispositivi connessi. Insieme agli
altri due elementi SW, garantisce un accesso
sicuro e ininterrotto ai dispositivi attraverso
internet. I diritti di accesso vengono definiti nel SW di
gestione. Include una lista di di dispositivi predefiniti
(Agents): numerosi modelli di PLC, pannelli operatori,
drives e altri dispositivi generici disponibili sul
mercato. Si tratta del cloud Server di sistema e
opera come un punto di convergenza
di tutti i dispositivi remoti (HMI)
installati. Tutte le connessioni e il
relativo traffico dei dati cifrato tra i SW
di gestione e i dispositivi connessi
mediante questo elemento, vengono
gestiti dal server M2M, dove, tra
l'altro, tutti gli eventi vengono
registrati istante per istante (ad
esempio connessione dei diversi
utenti). SW PRINCIPALE GESTIONE LINK Gestore della configurazione della connessione Si tratta del tool software che abilita la
connessione remota del PC (desktop o
laptop) verso gli HMI su cui disponibile e
configurato il SiteManager.
Oltre a validare le credenziali di accesso, in
una modalit simile a quella di una comune
VPN, fornisce una 'rubrica virtuale' di tutti
gli HMI e i dispositivi (Agents) che sono
connessi.
Ogni dispositivo viene mostrato con il nome
assegnato in fase di configurazione e con lo
stato di connesione (On/Off line). E'
sufficiente scegliere il dispositivo al quale di
desidera connettersi, cliccarlo, e si subito
on line.
Disponibile anche in App per dispositivi
mobili Cyber Security' Quali sono i KPI per proteggere i beni e le attivit
economiche attraverso la protezione delle informazioni' Riservatezza Impedire la divulgazione di informazioni private. Integrit I dati non possono essere modificati senza opportune autorizzazioni Disponibilit L'informazione sempre disponibile quando necessaria. Conclusioni Nessun singolo componente fornisce una adeguata difesa. Solo una combinazione di prodotti sicuri e giuste pratiche sono in grado di mitigare il rischio. Grazie per l'attenzione


In evidenza

ExxonMobil
Grassi Mobil™ - Formulati per fornire elevate prestazioni anche in condizioni operative estreme
SD Project
SPAC : Il Software per la progettazione Elettrica
2G Italia
Cogenerazione e trigenerazione dal leader tecnologico mondiale
select * from VERT_CONTENUTI as con left join VERT_UTENTI_AZIENDE as azi on con.iduteazienda = azi.iduteazienda where testataurl like '%%' or eventourl like '%'%' or testataurl like '%'eiomfiere.it%' or eventourl like '%'eiomfiere.it'%'
Array ( ) Array ( [0] => Array ( [0] => 42000 [SQLSTATE] => 42000 [1] => 102 [code] => 102 [2] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Incorrect syntax near 'eiomfiere'. [message] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Incorrect syntax near 'eiomfiere'. ) [1] => Array ( [0] => 01000 [SQLSTATE] => 01000 [1] => 16954 [code] => 16954 [2] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Executing SQL directly; no cursor. [message] => [Microsoft][ODBC Driver 13 for SQL Server][SQL Server]Executing SQL directly; no cursor. ) )
© Eiom - All rights Reserved     P.IVA 00850640186