Paessler: quattro modi per proteggere gli ambienti OPC UA

OPC UA è uno standard ampiamente adottato negli ambienti industriali; tuttavia, ci sono ancora problemi relativamente alla sua sicurezza. Ciò è stato dimostrato chiaramente nell’aprile 2022, quando al Pwn2Own (una conferenza di hacker che offre premi in denaro ai partecipanti che riescono a violare un sistema di controllo industriale) due hacker sono riusciti a guadagnare l’accesso al software che governa molte delle power grid mondiali. E, ovviamente, se due ethical hacker possono conquistare l’accesso a servizi critici in due giorni, sicuramente possono riuscirci anche i servizi segreti stranieri.

Nello stesso mese, inoltre, la Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato un allarme congiunto con il Dipartimento dell’Energia USA, la National Security Agency e l’FBI dopo avere identificato strumenti che presentavano una minaccia avanzata persistente per i server OPC UA. 

Gli esperti di Paessler, azienda specializzata nel monitoraggio di rete, hanno esaminato i rischi per i server OPC UA evidenziati dall’hack Pwn2Own e dalla segnalazione del CISA e hanno suggerito quattro azioni che possono essere adottate subito per proteggere gli ambienti OPC UA.

Mitigare il rischio

1. Isolare le reti e i sistemi ICS/SCADA dalla rete aziendale e da Internet

Per quanto non direttamente collegato a OPC UA, ciò minimizza la possibilità che attori esterni abbiano accesso alle reti e ai sistemi ICS. L’ideale sarebbe avere una rete ICS completamente isolata, ma nella realtà questo non è quasi mai possibile. Piuttosto, quanto il CISA raccomanda è mantenere uno stretto controllo sulle comunicazioni che entrano o escono dai perimetri ICS/SCADA.

Una buona pratica sarebbe monitorare accuratamente i firewall sui confini tra le diverse reti così da sapere esattamente quale traffico entra ed esce e potere identificare ogni attività anomala (ad esempio, picchi inspiegabili nell’uso della banda).

2. Configurare la sicurezza di OPC UA

Il CISA raccomanda che la sicurezza di OPC UA sia configurata correttamente. Ciò significa, ad esempio, assicurarsi che sia prevista l’autenticazione delle applicazioni e che siano usate liste fidate esplicite. Paessler consiglia per questo la lettura delle linee guida pratiche per la costruzione di applicazioni OPC UA di OPC Foundation.

3. Monitorare la diagnostica del server OPC UA

Gli attacchi forza bruta tendono a esibire certe caratteristiche, come ad esempio un picco nel numero di tentativi o nel numero di richieste al server OPC UA. É facile intuire che si dovrebbe sempre tenere sotto controllo questi due aspetti dell’ambiente OPC UA.

I server OPC UA possono essere configurati per registrare le informazioni diagnostiche. Se questa funzione è attivata, si possono monitorare certi numeri che potrebbero indicare un attacco a forza bruta teso a guadagnare l’accesso. Tra questi numeri, ad esempio, vanno monitorati i conteggi delle sessioni rifiutate e delle richieste rifiutate.

É possibile usare un tool di monitoraggio che sia dotato di funzionalità OPC UA, come Paessler PRTG, per controllare queste metriche e attivare un allarme quando il numero di sessioni o richieste rifiutate cresce in modo anomalo.

4. Tenere d’occhio i certificati OPC UA

I certificati OPC UA sono una parte critica del concetto di sicurezza e devono, quindi, essere monitorati attentamente per essere certi che siano validi e non scadano improvvisamente. Anche in questo caso un tool di monitoraggio con funzionalità OPC UA può giocare un ruolo importante.

Il monitoraggio è una componente importante della sicurezza della rete

Il monitoraggio è fondamentale per mantenere sicura una rete. Non solo permette di identificare i segnali che potrebbero indicare una attività sospetta, ma può anche lanciare allarmi in modo da esserne subito al corrente. Anche il report CISA raccomanda di usare una soluzione di monitoraggio per tracciare e lanciare allarmi in presenza di opportuni indicatori e comportamenti pericolosi.

Il software di monitoraggio Paessler PRTG permette di monitorare l’ambiente OT usando standard e protocolli come OPC UA, Modbus, SNMP e altri ancora. Soprattutto, permette di combinare i dati di monitoraggio degli ambienti OT, IT e IoT in una sola panoramica.

Paessler ritiene che il monitoraggio abbia un ruolo fondamentale nel ridurre il consumo di risorse. Il monitoraggio dei dati aiuta i clienti a risparmiare risorse ottimizzando le infrastrutture IT, OT e IoT per ridurre il consumo di energia e le emissioni per il bene del nostro futuro e del nostro ambiente. Ecco perché Paessler offre soluzioni di monitoraggio per aziende di ogni settore e di tutte le dimensioni, dalle PMI alle grandi imprese. Paessler lavora con partner rinomati con i quali affronta le sfide di monitoraggio presentate da un mondo in costante mutamento.

Fin dal 1997, quando ha introdotto il PRTG Network Monitor, Paessler ha unito la sua conoscenza approfondita del monitoraggio a uno spirito innovativo. Oggi, più di 500.000 utenti in oltre 170 paesi si affidano a PRTG e ad altre soluzioni Paessler per monitorare le loro complesse infrastrutture IT, OT e IoT. I prodotti Paessler consentono ai suoi clienti di monitorare tutto, aiutandoli così a ottimizzare le loro risorse.