Danfoss mantiene il focus sulla sicurezza IT

CVE:
Abbreviazione di Common Vulnerabilities and Exposures (vulnerabilità ed esposizioni comuni), è un elenco di falle di sicurezza informatica divulgate pubblicamente.

DDOS:
Distributed Denial of Service: questo termine viene utilizzato quando 100.000 dispositivi remoti attaccano un singolo dispositivo in rete. Si tratta di un attacco molto efficace a un sistema. Nemmeno le grandi aziende e le organizzazioni di sicurezza possono mantenere le operazioni durante tali attacchi. Questi attacchi sono stati misurati con velocità di attacco di oltre 400 terabit/secondo, che semplicemente interrompono la connessione al dispositivo. Questo non può essere mitigato a nessun livello che non sia la "spina dorsale" di Internet.  

Non esiste una difesa economica contro questo tipo di attacchi e l'unico modo efficace per mitigarli è evitarli, nascondendosi.  

Exploit remoti:
Si può presumere che tutto il software che si affaccia su Internet contenga degli exploit. Pertanto, i ricercatori sono alla continua ricerca di questi ultimi e, una volta individuati, i fornitori di software creano patch che attenuano l'exploit. È quindi estremamente importante aggiornare il software e mantenerlo aggiornato con le ultime versioni per prevenire le vulnerabilità del sistema. 

Ad esempio, i gestori di sistemi più vecchi utilizzavano la versione 1.12.1 di Nginx, in cui erano state scoperte diverse vulnerabilità, che sono state poi corrette; la versione più recente di System Manager 3.1.9 utilizza ora la versione 1.21.0 di Nginx, che attualmente non presenta vulnerabilità note. Pertanto, è importante aggiornare alla versione più recente di Danfoss - i numeri delle versioni potrebbero essere aumentati dopo la stesura di questo documento, poiché vengono scoperti continuamente nuovi exploit.

1. I dispositivi devono sempre essere aggiornati agli ultimi rilasci di software disponibili, pubblicati da Danfoss. In ogni nuova versione potrebbero essere presenti alcuni aggiornamenti di sicurezza, illustrati nell'appendice.
2. Assicurati che il dispositivo sia sempre protetto dall'esposizione diretta a Internet.  (Installa i sistemi di rete protetti da un firewall)

Inizia con la suddivisione della rete in zone/segmenti. La collocazione dei dispositivi Danfoss in una rete separata ridurrà la superficie di attacco.

In generale, questa è una pratica da prendere in considerazione nella tua rete, indipendentemente dai dispositivi che utilizzi.

La segmentazione potrebbe anche essere estesa alla micro-segmentazione, in modo che, nel caso in cui un dispositivo venga compromesso, non si diffonda al resto della rete.

Di seguito è riportato un tipico esempio di rete segmentata:

Posiziona sempre i sistemi e i dispositivi Danfoss al riparo con firewall e altri dispositivi di protezione che limitano l'accesso alle sole connessioni remote autorizzate. La costruzione di una rete altamente protetta che impedisca l'accesso dall'esterno è la linea di difesa più critica contro i cyberattacchi.

Consigliamo di seguire le seguenti linee guida:

• Limita l'accesso alle reti su cui sono installati i dispositivi Danfoss.
• Assicurati che i sistemi e i dispositivi Danfoss non siano accessibili da Internet, a meno che non siano posizionati dietro firewall e altri dispositivi di protezione.
• Limita la connettività di rete esterna ai propri sistemi e dispositivi.
• Monitora costantemente gli eventi che potrebbero indicare un tentativo di accesso non autorizzato.
• Limita l'accesso alle reti interne in cui risiedono i dispositivi.
• Isola le reti dei sistemi di controllo e sicurezza e i dispositivi remoti dalla rete aziendale.

Per una connessione/accesso sicuro è possibile utilizzare anche una connessione VPN.

Implementa metodi sicuri per l'accesso alla rete da parte degli utenti remoti. Prima di effettuare aggiornamenti software, manutenzione e altre attività di supporto al sistema, tutti gli utenti remoti devono connettersi e autenticarsi attraverso un'unica pagina controllata.

Quando è necessario accedere ai dispositivi da postazioni remote, è importante limitare il più possibile l'esposizione del dispositivo. Le seguenti soluzioni presentano modi per proteggere il dispositivo e la rete, garantendo al contempo la flessibilità di accesso al dispositivo da remoto.

IP fisso sui dispositivi mobili:

L'utilizzo di indirizzi IP fissi sui dispositivi mobili remoti è la soluzione più semplice per mantenere l'accesso remoto al sistema e al tempo stesso la piena sicurezza del dispositivo contro gli attacchi ostili, proteggendolo anche dagli attacchi DDOS.

Le soluzioni proxy sono più complesse da configurare, ma offrono una maggiore sicurezza e la possibilità di fornire un certificato SSL (Secure Sockets Layer) valido per l'accesso al sistema. Il sistema proxy espone a Internet un accesso autenticato al sistema, che si occuperà della parte peggiore di eventuali attacchi al sistema, proteggendo il System Manager da eventuali compromissioni. 

Il proxy può utilizzare metodi quali autenticatori, autenticazione a due fattori e altri meccanismi di sicurezza per assicurarsi che sia consentito solo l'accesso autorizzato.

Il proxy è agganciato al firewall che protegge il System Manager e tutti i clienti si servono di indirizzi IP casuali e si autenticano al proxy (di solito utilizzando certificati, autenticazione a due fattori o simili), creando così una solida identificazione del cliente.

A tutti i clienti estranei viene negato l'accesso diretto dal firewall e dal proxy, in quanto non possono fornire le credenziali necessarie per collegarsi al proxy. 

Ciò significa che il proxy resisterà alla maggior parte degli attacchi di sicurezza e, nel peggiore dei casi, il proxy sarà sottoposto a DDOS e l'accesso locale al gestore del sistema sarà ancora possibile.

Alsense può fornire questa soluzione tramite una connessione basata su VPN (Virtual Private Network) o tramite una soluzione proxy IP-bound, in cui la connessione può essere limitata al sistema cloud Alsense - anche in questo caso riducendo al minimo l'esposizione del sistema a Internet, consentendo ad Alsense di fornire la protezione del sistema.

Alsense è una soluzione cloud di Danfoss per l'accesso ai System Manager e molto altro ancora. Questa soluzione offre gli stessi vantaggi della soluzione proxy, ma è gestita da Danfoss e non richiede al cliente di implementare, mantenere e gestire il proxy.

L'accesso alle reti industriali deve avvenire tramite log di autenticazione/audit, ad esempio VPN o firewall, in modo da poter verificare gli accessi e quindi indagare sugli eventi di sicurezza che si verificano. Per ridurre al minimo le possibilità di violazione dei dati, è necessario monitorare e verificare gli eventi di sistema 24 ore su 24, 7 giorni su 7. Utilizza sistemi di rilevamento delle intrusioni, sistemi di prevenzione delle intrusioni, software antivirus e registri di utilizzo per rilevare le violazioni dei dati o gli incidenti nelle fasi iniziali.

Come buona prassi, suggeriamo l'uso di un software di monitoraggio delle reti per rilevare eventuali avvisi di traffico insolito, tentativi di accesso non riusciti, ecc. Le linee guida sono molto vaste, dai requisiti IT generali previsti dalla ISO 27001 a quelli specifici della IEC 62443, e possono essere consultate in questi standard internazionali.

Un impianto o un macchinario è di solito gestito da più di una persona, pertanto si raccomanda un'amministrazione centralizzata degli utenti.

Modificare le password predefinite al momento della messa in funzione e utilizzare il prodotto per creare livelli di accesso per gli utenti.

Questo è particolarmente importante per gli account di amministratore e per i dispositivi del sistema di controllo. Utilizzate l'accesso basato sui ruoli con l'autenticazione a più fattori per prevenire le violazioni della sicurezza e fornire un registro delle attività di accesso.

Gli utenti dovrebbero evitare di condividere le password, per evitare che vengano divulgate e per contribuire alla verifica degli accessi. Una password condivisa finisce per essere conosciuta da tutti e impedisce la verifica dei problemi di sicurezza.

È opportuno considerare l'aggiunta di funzioni di sicurezza per le password, come il blocco dell'account che si attiva quando vengono inserite troppe password errate.

Principi di base:

• I meccanismi di whitelisting forniscono una protezione aggiuntiva contro le applicazioni indesiderate o il malware, nonché contro le modifiche non autorizzate alle applicazioni installate.
• Il software di whitelisting crea o contiene un elenco di programmi e applicazioni che possono essere eseguiti sul PC.

Utilizzare la whitelist per definire quali applicazioni, IP e così via sono consentiti, in quanto la whitelist è la forma più forte di controllo della sicurezza in quanto blocca i tentativi di bypassarla. Tuttavia, se per qualche motivo la whitelist non è un'opzione praticabile, se possibile, è necessario implementare una blacklist per bloccare i problemi di sicurezza noti, sapendo però che le blacklist possono essere facilmente aggirate.

La blacklist è un meccanismo di controllo dell'accesso di base che consente di bloccare gli elementi indesiderati (indirizzi e-mail, utenti, password, URL, indirizzi IP, nomi di dominio, hash dei file e così via), tranne quelli esplicitamente indicati. Agli elementi presenti nell'elenco viene negato l'accesso.

La blacklist può aiutare a prevenire l'accesso al sistema da parte di virus, spyware, trojan, worm e altri tipi di malware.

Spesso l'utilizzo congiunto di blacklist e whitelist è l'opzione ideale. È possibile utilizzare approcci diversi a diversi livelli dell'infrastruttura e persino utilizzare entrambi all'interno dello stesso livello.

Molte organizzazioni utilizzano sia la blacklist che la whitelist per diverse parti delle loro strategie di sicurezza. Ad esempio, il controllo dell'accesso a un computer o a un account tramite una password costituisce una whitelist. L'accesso è consentito solo a chi possiede la password, mentre tutti gli altri non possono entrare. Molte di queste stesse organizzazioni gestiscono anche programmi anti-malware che utilizzano una lista nera di malware noti per bloccare i programmi dannosi.

La formazione sulla cybersecurity per i tuoi dipendenti ti aiuterà a mantenere l'organizzazione al sicuro. Illustra le e-mail di phishing, gli allegati infetti, i siti web dannosi e altri metodi che li attaccano direttamente.

Anche se non si tratta solo di un problema di sicurezza informatica, è importante mettere in atto controlli fisici per evitare che persone non autorizzate possano accedere alle apparecchiature. Conserva tutti i controller in armadietti chiusi a chiave e limita l'accesso a tutti i dispositivi collegati.