I rischi alla sicurezza per i server OPC UA si proteggono in 4 modi

Standard adottato negli ambienti industriali, OPC UA ha ancora qualche problema legato alla sua sicurezza.

server OPC

Paessler suggerisce che i rischi alla sicurezza per i server OPC UA si proteggono in quattro modi che facilmente gli utenti possono adottare subito. OPC UA è uno standard ampiamente adottato negli ambienti industriali. Tuttavia, ci sono ancora problemi. Ciò è stato dimostrato durante il Pwn2Own, una conferenza di hacker che offre premi in denaro ai partecipanti che riescono a violare un sistema di controllo industriale. Nell’aprile 2022, due hacker sono riusciti a guadagnare l’accesso al software che governa molte delle power grid mondiali. Se due ethical hacker conquistano l’accesso a servizi critici in due giorni, sicuramente possono riuscirci anche i servizi segreti stranieri.

I rischi alla sicurezza per i server OPC UA

Nello stesso mese, la Cybersecurity and Infrastructure Security Agency (CISA) ha rilasciato un allarme congiunto con il Dipartimento dell’Energia USA, NSA e l’FBI. Questo dopo avere identificato strumenti che presentavano una minaccia avanzata persistente per i server OPC UA. Gli esperti di Paessler, hanno esaminato i rischi per i server OPC UA evidenziati dall’hack Pwn2Own e dalla segnalazione del CISA. Poi hanno suggerito quattro azioni che possono essere adottate subito per proteggere gli ambienti OPC UA.

Mitigare il rischio

  1. Isolare le reti e i sistemi ICS/SCADA dalla rete aziendale e da Internet

Per quanto non direttamente collegato a OPC UA, ciò minimizza la possibilità che attori esterni abbiano accesso alle reti e ai sistemi ICS. L’ideale sarebbe avere una rete ICS completamente isolata, ma nella realtà questo non è quasi mai possibile. Piuttosto, quanto il CISA raccomanda è mantenere uno stretto controllo sulle comunicazioni che entrano o escono dai perimetri ICS/SCADA.

Una buona pratica sarebbe monitorare accuratamente i firewall sui confini tra le diverse reti. Così da sapere esattamente quale traffico entra ed esce. Inoltre potere identificare ogni attività anomala (ad esempio, picchi inspiegabili nell’uso della banda).

  1. Configurare la sicurezza dei server OPC UA

Il CISA raccomanda che la sicurezza di OPC UA sia configurata correttamente. Ciò significa, ad esempio, assicurarsi che sia prevista l’autenticazione delle applicazioni e che siano usate liste fidate esplicite. Paessler consiglia per questo la lettura delle linee guida pratiche per la costruzione di applicazioni OPC UA di OPC Foundation.

  1. Monitorare la diagnostica del server OPC UA

Gli attacchi forza bruta tendono a esibire certe caratteristiche. Come ad esempio un picco nel numero di tentativi o nel numero di richieste al server OPC UA. Facile intuire che si dovrebbe sempre tenere sotto controllo questi due aspetti dell’ambiente OPC UA. I server OPC UA possono essere configurati per registrare le informazioni diagnostiche.

I 4 modi per proteggere i server OPC UA

Se questa funzione è attivata, si possono monitorare certi numeri che potrebbero indicare un attacco a forza bruta teso a guadagnare l’accesso. Tra questi numeri, ad esempio, vanno monitorati i conteggi delle sessioni rifiutate e delle richieste rifiutate. Inoltre è possibile usare un tool di monitoraggio che sia dotato di funzionalità OPC UA, come Paessler PRTG. Così da controllare queste metriche e attivare un allarme quando il numero di sessioni o richieste rifiutate cresce in modo anomalo.

  1. Tenere d’occhio i certificati OPC UA

I certificati OPC UA sono una parte critica del concetto di sicurezza. Devono, quindi, essere monitorati per essere certi che siano validi e non scadano improvvisamente. Anche in questo caso un tool di monitoraggio con funzionalità OPC UA può giocare un ruolo importante.

Il monitoraggio è una componente importante della sicurezza della rete

Il monitoraggio è fondamentale per mantenere sicura una rete. Permette di identificare i segnali che potrebbero indicare una attività sospetta. Inoltre può anche lanciare allarmi in modo da esserne subito al corrente. Anche il report CISA raccomanda di usare una soluzione di monitoraggio per tracciare e lanciare allarmi in presenza di opportuni indicatori e comportamenti pericolosi.

Il software di monitoraggio Paessler PRTG permette di monitorare l’ambiente OT usando standard e protocolli come OPC UA, Modbus, SNMP e altri ancora. Soprattutto, permette di combinare i dati di monitoraggio degli ambienti OT, IT e IoT in una sola panoramica.