Download Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis
Nell'era dell'Industria 4.0, cresce l’impiego delle tecnologie di produzione (o manifattura) intelligenti da parte delle aziende che desiderano migliorare la propria efficienza produttiva. Sebbene questo abbia fornito numerosi vantaggi, come una maggiore produttività a costi inferiori, ha anche introdotto nuovi vettori di attacco, che possono essere sfruttati dagli aggressori per compromettere sistemi di produzione intelligente o facilitarne il cosiddetto “lateral movement.”
I sistemi di produzione intelligenti sono progettati per essere isolati dalla rete aziendale e dal mondo esterno. Tuttavia, gli aggressori potrebbero utilizzare altri metodi, non convenzionali, per compromettere tali sistemi. La fattibilità degli attacchi che utilizzano questi metodi e le loro ripercussioni per le organizzazioni prese di mira sono stati i punti che abbiamo analizzato nella nostra ricerca.
Considerato che la configurazione di un sistema di produzione intelligente può essere incredibilmente complessa, e può coinvolgere una vasta gamma di tecnologie e discipline, abbiamo deciso di concentrarci sullo sviluppo di modelli di attacco, dove gli aggressori che hanno ottenuto l'accesso a una o più parti del sistema, utilizzano tali punti di accesso per espandere la loro portata.
Per fare ciò avevamo bisogno di un vero ambiente di produzione intelligente. Questo ci ha permesso non solo di studiare il funzionamento interno del processo di produzione, ma anche di simulare la produzione di prodotti, in modo da verificare dove si trovino i punti deboli. Per la nostra analisi, abbiamo collaborato con il Politecnico di Milano, il più grande polo ingegneristico in Italia, per ottenere l'accesso all'Industry 4.0 Lab, un laboratorio di ricerca che produce telefoni cellulari giocattolo utilizzando gli stessi principi fondamentali degli impianti di produzione completi.
Fotografia dell’Industry 4.0 Lab, il sistema che è stato analizzato durante la ricerca
Ciò che abbiamo scoperto ha confermato molte delle nostre teorie su come gli aggressori potrebbero compromettere da remoto, anche indirettamente, i sistemi di produzione intelligenti.
IL SISTEMA DI PRODUZIONE INTELLIGENTE
L'architettura generale dell'impianto di produzione intelligente che abbiamo utilizzato in questa ricerca
Il sistema di produzione intelligente modulare che abbiamo analizzato è composto da stazioni, ciascuna comprendente almeno tre componenti chiave:
- Un macchinario, che esegue una specifica lavorazione: un caricatore, un trapano o un robot industriale.
- Un'interfaccia uomo-macchina (Human-Machine Interface, HMI), utilizzata dall'operatore per monitorare e controllare l'avanzamento del lavoro. Oltre ad HMI tradizionali esistono HMI su dispositivi mobili, che sono essenzialmente app che svolgono ruoli HMI.
- Un controllore a logica programmabile (Programmable Logic Controller, PLC), che funge da interfaccia per l'interazione tra la macchina fisica, l'HMI e il resto della rete.
Al centro del sistema di produzione intelligente si trova il sistema di esecuzione della produzione (Manufacturing Execution System, MES), un livello logico complesso basato solitamente su un database, che funge da interfaccia tra il sistema di pianificazione delle risorse aziendali (Enterprise Resource Planning, ERP) e l'impianto. Gli aggressori possono prendere di mira una combinazione di queste parti (o dei loro componenti) sfruttando le relazioni di “trust” tra di esse.
PUNTI DI INGRESSO DEGLI AGGRESSORI
Ci sono svariati punti chiave di ingresso che un aggressore esperto può considerare per perpetrare un attacco contro un sistema di produzione intelligente.
Engineering workstation
L’engineering workstation è un computer condiviso collegato—talvolta permanentemente—all’impianto di produzione. È utilizzato principalmente per lo sviluppo e l'implementazione della logica di automazione o per la gestione di dispositivi, come PLC e HMI. Può anche essere utilizzato per distribuire programmi sviluppati esternamente. Solitamente esiste una relazione di “trust” potenzialmente pericolosa tra qualsiasi engineering workstation e il resto del sistema, che può essere sfruttata da un aggressore, andando a compromettere, ad esempio, la “supply chain” del software (e.g., software sviluppato esternamente, librerie, estensioni e simili).
Ambiente di sviluppo del dispositivo IIoT personalizzato
I sistemi di produzione intelligenti, a volte, utilizzano dispositivi Industrial Internet-of-Things (IIoT) personalizzati, che offrono una certa flessibilità di programmazione rispetto ai classici hardware di automazione come i PLC. Questi dispositivi possono essere programmati anche da personale interno all’azienda o dagli integratori. Il potenziale punto di accesso, in questo caso, è rappresentato dall'ambiente di sviluppo IIoT: un aggressore può trarre vantaggio dalle numerose relazioni di fiducia tra il sistema di produzione intelligente e le molteplici librerie software utilizzate per programmare tali dispositivi.
Database MES
Il database del MES contiene dati sensibili provenienti dal MES, come gli ordini di lavoro e i modelli di lavorazione. Il database del MES è implicitamente considerato attendibile dal resto del sistema, il che significa che un aggressore con accesso alla rete o a un database MES non autenticato può alterare la produzione, falsificando o modificando i record all'interno del database.
Dipendenze tra dati e software nel contesto di un sistema di produzione intelligente
POSSIBILI ATTACCHI
Abbiamo verificato la fattibilità di numerosi attacchi ipotizzando diverse tipologie di aggressore, concentrandoci sui tre punti di ingresso sopra menzionati. Abbiamo analizzato cinque attacchi, qui di seguito rappresentati in base alla profondità nel sistema, dal punto di ingresso al bersaglio finale.
Compromissione attraverso estensioni di software industriale
Abbiamo dimostrato che un aggressore può accedere ad un engineering workstation utilizzando estensioni software specifiche per automazione industriale. Possono quindi utilizzare l’engineering workstation per rubare dati o modificare programmi di automazione per effettuare “lateral movement” verso altre parti del sistema, ad esempio con l'obiettivo di alterare la produzione oppure, quantomeno, rimanere persistenti. Un aggressore può inoltre sfruttare il fatto che queste estensioni software hanno spesso accesso incondizionato a tutte le risorse di sistema. Ciò significa che un’estensione software può essere utilizzato per scopi dannosi, ad esempio per aggiungere codice dannoso o raccogliere dati riservati.
Dispositivi IIoT “con backdoor”
Lo sviluppo di software per dispositivi IIoT personalizzati comporta spesso l'utilizzo di risorse, tutorial e librerie che vengono caricate in repository accessibili al pubblico e che non dispongono di un meccanismo o di un processo di certificazione. Abbiamo mostrato che alcuni di questi strumenti di sviluppo possono avere funzionalità dannose integrate nel loro codice, o possono anche avere inconsapevolmente delle vulnerabilità introdotte dai loro creatori o dagli sviluppatori che usano librerie preesistenti, le modificano e poi le ricaricano.
Vulnerabilità nelle HMI per dispositivi mobili
Il principale problema delle HMI per dispositivi mobili è lo stesso che in quelle tradizionali: si trovano in una chiusa con relazione di trust tra HMI e resto del sistema. Un aggressore può sfruttare questa relazione trovando una vulnerabilità in un HMI per dispositivi mobili e sfruttandola per influenzare le macchine fisiche con cui interagisce. Ad esempio, come mostrato nella nostra dimostrazione, un HMI per dispositivi mobili può “nascondere” informazioni sensibili che un aggressore può scoprire e utilizzare per interagire con gli endpoint del sistema.
Compromissione dati sul MES
Abbiamo mostrato che un aggressore con accesso (indiretto) al MES può causare malfunzionamenti nella produzione di merci, sia introducendo un errore nella produzione, ad esempio modificando il valore dei parametri di lavoro al fine di creare difetti nel prodotto finale, o introducendo un valore fuori limite nei parametri dell'operazione, che causerà un “denial of service” che bloccherà la produzione.
Logiche di automazione vulnerabili o dannose
I macchinari complessi eseguono una logica di automazione per eseguire le loro attività di produzione. Abbiamo mostrato che un aggressore, che sia riuscito ad ottenere accesso alla rete, può deliberatamente scrivere logiche di automazione dannose, sfruttando funzionalità specifiche o vulnerabilità inconsapevolmente introdotte dai programmatori—esattamente come avviene per i programmi scritti con linguaggi di programmazione tradizionali. Questa tecnica può essere sfruttata per furto di informazioni o per danneggiare un macchinario.
Un riepilogo dei casi più comuni di logica di automazione non sicura
UN APPROCCIO ALL’AVANGUARDIA PER METTERE IN SICUREZZA I SISTEMI DI PRODUZIONE INTELLIGENTI
Nel settore manifatturiero si nota una transizione da impianti chiusi e statici a soluzioni connesse e dinamiche basate su macchinari modulari riconfigurabili. In parallelo a questo trend è necessario adeguare le proprie politiche di sicurezza, abbandonando il presupposto che gli endpoint o le macchine all'interno di un impianto di produzione siano implicitamente “trusted” e optare invece per un approccio più granulare.
Con questa idea in mente, invitiamo a prendere provvedimenti concreti per proteggere i loro sistemi:
A livello di rete, impiego di deep packet inspection (DPI) su protocolli OT, in grado di individuare payload anomali.
Per gli endpoint, si dovrebbero effettuare controlli periodici di integrità per individuare eventuali componenti software non conformi.
I dispositivi IIoT dovrebbero eseguire solo codice firmato, non solo del firmware finale, ma anche delle sue dipendenze, in particolare le librerie di terze parti, che potrebbero nascondere funzioni dannose.
È necessaria un’analisi di rischio del software di automazione. Nei sistemi in cui i robot collaborativi lavorano fianco a fianco con gli umani, ad esempio, la sicurezza dovrebbe essere implementata a livello di firmware.
Riteniamo inoltre che le aziende debbano proteggersi non solo dalle minacce attuali ma anche da eventuali minacce future, seguendo gli stessi principi di programmazione sicura ben noti al mondo IT (e.g. applicazioni Web, mobili o ambienti cloud). Le organizzazioni dovrebbero focalizzarsi sul miglioramento dei propri prodotti e integrarli con funzionalità sicure. Presupposto essenziale è quindi poter gestire la “supply chain” di dati e software all'interno dell'ambiente di produzione intelligente. Servono quindi sistemi per rilevare logiche di automazione vulnerabili o dannose, meccanismi di sandboxing, sia per i macchinari OT, sia per gli ambienti di sviluppo.
Il nostro articolo “Attacks on Smart Manufacturing Systems: A Forward-looking Security Analysis” fornisce una trattazione approfondita sui diversi punti di ingresso, sulle vittime e sugli attacchi che gli aggressori potrebbero utilizzare contro sistemi di produzione intelligenti e sulle conseguenze di tali attacchi, qualora avessero successo. In definitiva, miriamo a fornire indicazioni alle organizzazioni che utilizzano — o pianificano di utilizzare — tecnologie di produzione intelligenti, su come possano proteggere gli attuali sistemi e prepararsi per le minacce future.
Smart manufacturing systems are typically isolated from both the outside world and the corporate network. This means that attackers have to take unconventional approaches to be able to compromise these systems. In collaboration with Politecnico di Milano, Trend Micro Research explores the feasibility of a number of attacks and the impact they could have on affected systems.
Like it? Add this infographic to your site:
1. Click on the box below. 2. Press Ctrl+A to select all. 3. Press Ctrl+C to copy. 4. Paste the code into your page (Ctrl+V).
Image will appear the same size as you see above.
MQTT and M2M: Do You Know Who Owns Your Machine’s Data?
Building Resilience: 2024 Security Predictions for the Cloud
Rise in Active RaaS Groups Parallel Growing Victim Counts: Ransomware in 2H 2023
Mitigating the Threat of Sidecar Container Injection