Tipologia di progetto, obiettivi e descrizione della problematica

Sulla base della normativa IEC 62443 abbiamo realizzato le Security Zone, segregando i dispositivi industriali, e i Conduit, percorsi di propagazione dei dati sicuri e perimetrati, senza modificare la rete esistente.

Il cliente aveva necessità di mettere in sicurezza gli asset informatici di stabilimento tenendo conto dei seguenti requisiti:

• Nessuna modifica alla corrente configurazione di rete (numerazione IP e VLAN di appartenenza) e ai dispositivi;
• Riuso della infrastruttura esistente, evitando introduzione di nuove appliance;
• Rendere il reparto OT autonomo dal team IT nella gestione della protezione;
• Gestione del sistema da parte di operatori non professionali
• Conformità alle normative

 

Soluzione tecnologica 

Come da specifiche, non sono stati aggiunti appliance per la sicurezza, ma è stata utilizzata la tecnologia Software Defined Network IETF standard (protocollo Openflow 1.3) presente negli switch del cliente (Aruba).

Utilizzando il piano di controllo Edge SDN, installato nella rete di management, abbiamo ridefinito la segregazione degli asset e i percorsi di istradamento della VLAN di stabilimento realizzando:

• Host isolation di tutti gli asset da proteggere: i dispositivi isolati non sono visibili (in layer 2) sulla rete, sono completamente isolati;
• Micro-Segmentazione tramite la propagazione tra le Security Zone del solo traffico necessario alle attività produttive;
• Discovery delle vulnerabilità analizzando il traffico che passa per gli switch tramite un IDS integrato in Edge SDN. La verifica delle vulnerabilità avviene senza l’utilizzo della porta di SPAN, ma direttamente usando la tecnologia SDN.

Dettaglio del progetto  

Il progetto ha visto impegnati i team OT e IT del cliente nelle diverse fasi progettuali per circa 6 mesi. Tutti gli switch del cliente erano SDN, ma è stato necessario utilizzarne solo una parte.

Il budget complessivo del progetto è stato quindi suddiviso tra costi interni, supporto specialistico ai team IT ed OT del cliente e licenze per l’uso del piano di controllo Edge SDN.

Il reparto OT è stato coinvolto durante l’assessment iniziale e nella creazione delle Security Zone e dei Conduit. Quello IT per la riconfigurazione degli switch SDN e per la gestione della infrastruttura virtualizzata della Console di Edge SDN.

Inizialmente sono stati effettuati l’assessment delle due reti (VLAN) di stabilimento e l’analisi dei rischi sulla base di un inventario di oltre 250 asset industriali connessi.

Sono state definite le Security Zone per la protezione degli asset e si è quindi preceduto alla analisi della matrice di comunicazione tra le Security Zone coinvolte, al fine di selezionare il traffico applicativo necessario all’attività produttive.

 

Sono stati presi in carico 13 switch Aruba 2930F degli oltre 30 complessivi.

 

Si è poi proceduto alla installazione della Central Management Console per la gestione della rete e alla riconfigurazione degli swicth in modalità SDN.

 

Nella CMC sono state creati le Security Zone e i Conduit, infine è stato configurato l’ambiente di gestione per il reparto OT che in piena autonomia può attivare o disattivare segregazione e conduit.

Le maggiori complessità sono state relative alla definizione di Security Zone in conformità ai requisiti dalla IEC 62443.

 

Principali benefici

Certezza del livello di sicurezza: la segregazione e l’instradamento del traffico realizzano una protezione non by-passabile. Gli switch nella rete non sono specifici appliance di sicurezza che possono essere aggirati o staccati. Con Edge SDN è la stessa rete che realizza la protezione basata sulla IEC62443 in modo indipendente dal comportamento degli operatori OT.

 

Segregazione automatica di un attaccante e mantenimento della continuità operativa anche in presenza di una compromissione: se una security zone fosse attaccata, la compromissione non verrebbe propagata tramite i Conduit ad altre Security Zone. La produzione resterebbe attiva nelle aree non compromesse.

 

Modernizzazione della rete con soluzione IETF standard senza vendor lock-in: la tecnologia SDN (OpenFlow 1.3) è standard di mercato, si può usare qualsiasi switch compatibile, il cliente ha modernizzato le funzionalità di rete con Edge SDN via software.

 

Indipendenza del reparto OT da quello IT: gli operatori OT tramite un Tablet gestiscono autonomamente la segregazione senza coinvolgere il team IT

 

Conformità agli standard internazionali: IEC 62443, NIST 800-82 e nuovo Regolamento Macchina UE.

 

Integrazione con altri sistemi di protezione: Edge SDN si integra con le tecnologie di sicurezza e i servizi di cybersecurity erogati da MSSP.

 

Elementi distintivi e replicabilità della soluzione

 

Edge SDN presenta una caratteristica unica nel panorama dei prodotti per la sicurezza industriale: il riuso della rete esistente per realizzare la segregazione e la protezione delle informazioni.

Edge SDN utilizza switch SDN standard di mercato e modernizza la rete via software aggiungendo funzionalità di sicurezza senza modificarla (numerazione IP e VLAN). La protezione non è by-passabile in quanto la sicurezza è nell’instradamento della rete, ovvero negli switch (a livello 2 ISO/OSI).

Il sistema può esser facilmente replicato in qualsiasi rete industriale. E’ necessaria solo una quota di switch compatibili SDN.