Come PAM consente l’implementazione di IEC 62443

La norma IEC 62443 è una raccolta di norme di cybersecurity molto complessa e articolata che risponde alle esigenze specifiche dei sistemi di automazione industriale e controllo (IACS). Copre l’intero spettro della sicurezza, dall’analisi del rischio alla definizione e all’implementazione delle politiche di sicurezza per i sistemi IACS. Come per la maggior parte degli standard di sicurezza, le questioni relative al controllo degli accessi degli utenti e alla gestione delle identità sono fondamentali per il successo. In particolare, un’organizzazione che vuole ottenere la certificazione di conformità allo standard IEC 62443 deve affrontare la questione della gestione degli accessi privilegiati (PAM). Il PAM riguarda gli utenti amministrativi o privilegiati che possono impostare o modificare gli elementi IACS protetti dallo standard.

Che cos’è la IEC 62443?

È un po’ fuorviante chiamare IEC 62443 uno standard. In realtà si tratta di una libreria di regole e standard collegati provenienti da enti come l’American National Standards Institute (ANSI) e l’International Standards and Auditing (ISA). L’IEC 62443 è pubblicato dalla venerabile Commissione Elettrotecnica Internazionale (IEC), che dal 1906 promulga standard per l’utilizzo di prodotti elettrici ed elettronici. (Numerosi organismi di certificazione a livello mondiale hanno istituito programmi di certificazione IEC 62443. Ogni organismo definisce il proprio schema in base agli standard e alle procedure di riferimento.

IEC 62443 è una libreria di regole e standard collegati per la sicurezza dei sistemi di automazione e controllo industriale (IACS).

Gli elementi della norma IEC 62443 sono di natura multisettoriale ed elencano i metodi e le tecniche di protezione della cybersicurezza. Ci sono decine di sottoregole e componenti. Ad alto livello, i seguenti elementi sono rilevanti per comprendere la IEC e il controllo degli accessi:

Gruppo Standard	Elementi
Politiche e procedure: associate alla sicurezza IACS.	62443-2-1 – cosa è necessario per definire e implementare un sistema di gestione della sicurezza informatica IACS efficace. 62443-2-2-guida su ciò che è necessario per gestire un efficace sistema di gestione della sicurezza informatica IACS. 62443-2-3-guida sul tema specifico della gestione delle patch per IACS. 62443-2-4-Requisiti per i fornitori di IACS.
Requisiti di sistema: affrontare i requisiti a livello di sistema.	62443-3-1-l’applicazione di varie tecnologie di sicurezza in un ambiente IACS. 62443-3-2 – Valutazione del rischio di sicurezza e progettazione del sistema per IACS. 62443-3-3-Requisiti fondamentali di sicurezza del sistema e livelli di garanzia della sicurezza.

Fonte: La serie di norme 62443, pubblicata da ISA, dicembre 2016.

Conoscere la gestione degli accessi privilegiati (PAM)

Uno dei modi migliori per implementare gli standard IEC è quello di utilizzare una soluzione PAM per mantenere un controllo completo sull’accesso ai dati e ai sistemi più critici.

Gli utenti privilegiati hanno il permesso (o il privilegio, si potrebbe dire) di accedere ai controlli amministrativi di un determinato sistema. Sono anche chiamati utenti amministrativi o “root”. Possono creare, modificare o eliminare altri account utente. Spesso possono accedere o modificare i dati. In alcuni casi, possono alterare le configurazioni del sistema o disinstallarlo completamente.

I rischi per la sicurezza sono numerosi in presenza di utenti privilegiati mal gestiti. Se un hacker impersona un utente privilegiato, ad esempio, potrebbe creare scompiglio nei sistemi IACS. Per mitigare questi rischi, le soluzioni PAM stabiliscono un modo sicuro e semplificato per autorizzare e monitorare tutti gli utenti privilegiati.

Le soluzioni PAM come WALLIX concedono e revocano i diritti di accesso privilegiato. Possono fungere da intermediari tra gli utenti privilegiati e i sistemi che gestiscono. In questo modo, l’utente privilegiato non ha accesso diretto al backend. Con alcune soluzioni, come WALLIX, l’utente privilegiato non conosce nemmeno la password del sistema IACS che sta amministrando. In questo modo si riduce il rischio di un annullamento manuale. In ambito industriale, l’annullamento manuale rappresenta una grave minaccia.

PAM fornisce le funzionalità di cui le aziende hanno bisogno per limitare e monitorare l’accesso ai sistemi critici.

Mappatura di IEC 62443 in PAM

Il PAM offre un approccio ottimale all’implementazione di diversi elementi della norma IEC 62443. Gli standard possono essere un po’ troppo complessi, quindi la tabella li elenca e li abbina a parti già note del NIST Cybersecurity Framework.

L’allineamento di PAM con IEC 62443 avviene in riferimento ai controlli di accesso, che sono oggetto degli standard NIST PR.AC: L’accesso agli asset e alle strutture associate è limitato agli utenti, ai processi o ai dispositivi autorizzati e alle attività e transazioni autorizzate.

Parte pertinente del NIST Cybersecurity Framework	Elemento IEC/ISA 62433 corrispondente	Ruolo del PAM nell’implementazione
PR.AC-1: Le identità e le credenziali sono gestite per i dispositivi e gli utenti autorizzati	ISA 62443-2-1:2009 4.3.3.5.1 – Gli account di accesso [and] implementano la politica di autorizzazione – “I privilegi di accesso implementati per gli account di accesso devono essere stabiliti in conformità con la politica di sicurezza di autorizzazione dell’organizzazione (4.3.3.7.1)”.	La soluzione PAM è in grado di definire e applicare i criteri di sicurezza delle autorizzazioni su più backend amministrativi IACS.
	ISA 62443-2-1:2009 4.3.3.7.1 – Definire una politica di sicurezza delle autorizzazioni	La soluzione PAM può fungere da repository della politica di sicurezza delle autorizzazioni in relazione a tutti gli IACS di un impianto industriale.
	ISA 62443-3-3:2013 (Sicurezza per l’automazione industriale e i sistemi di controllo Parte 3-3: Requisiti di sicurezza del sistema e livelli di sicurezza) SR 1.1 – Identificazione e autenticazione dell’utente umano – “Il sistema di controllo deve fornire la capacità di identificare e autenticare tutti gli utenti umani. Questa capacità deve imporre l’identificazione e l’autenticazione su tutte le interfacce che consentono l’accesso di utenti umani al sistema di controllo per supportare la segregazione dei compiti e il minimo privilegio in conformità con le politiche e le procedure di sicurezza dell’applicazione.”	Il “privilegio minimo” è un concetto PAM. La soluzione PAM può concedere o revocare i privilegi a utenti specifici, assicurando che ogni utente abbia il “minimo privilegio” in base ai criteri.
	ISA 62443-3-3:2013 SR 1.3 – Gestione degli account – “Il sistema di controllo deve essere in grado di supportare la gestione di tutti gli account da parte degli utenti autorizzati, compresa l’aggiunta, l’attivazione, la modifica, la disabilitazione e la rimozione degli account”.	In base a questo elemento, ogni sistema di controllo dovrebbe supportare la gestione di tutti gli account degli utenti autorizzati e degli utenti privilegiati. Questo non è pratico in un ambiente con più IACS. PAM può fornire un unico punto di gestione per tutti gli utenti privilegiati di tutti gli IACS.
	ISA 62443-3-3:2013 SR 1.4 – Gestione degli identificatori – Il sistema di controllo deve fornire la capacità di supportare la gestione degli identificatori per utente, gruppo, ruolo o interfaccia del sistema di controllo”.	Il PAM può gestire l’accesso privilegiato in base all’utente, al gruppo o al ruolo.
	ISA 62443-3-3:2013 SR 1.5 – Gestione degli autenticatori – “Il sistema di controllo deve fornire la capacità di… cambiare/aggiornare tutti gli autenticatori; e proteggere tutti gli autenticatori dalla divulgazione e dalla modifica non autorizzata quando vengono memorizzati e trasmessi”.	PAM offre agli amministratori IACS un unico punto di controllo su tutti gli autenticatori utilizzati dagli utenti privilegiati. Può proteggere gli autenticatori dalla divulgazione e dalla modifica non autorizzata.
	ISA 62443-2-1:2009 4.3.3.3.8 – Stabilire procedure di monitoraggio e allarme	Il monitoraggio e gli avvisi sono caratteristiche fondamentali della maggior parte delle soluzioni PAM, che consentono agli amministratori di essere consapevoli di eventuali violazioni delle politiche sugli account privilegiati.
PR.AC-3: L’accesso remoto è gestito	ISA 62443-2-1:2009 4.3.3.6.6 – Sviluppare una politica per il login e le connessioni remote	L’accesso remoto è un rischio per gli account privilegiati. Gli imitatori di utenti privilegiati spesso tentano di accedere da remoto per compiere azioni dannose. PAM può mitigare questo rischio.
	ISA 62443-3-3:2013 SR 1.13 – Accesso tramite reti non attendibili – “Il sistema di controllo deve fornire la capacità di monitorare e controllare tutti i metodi di accesso al sistema di controllo tramite reti non attendibili”.	Il PAM può monitorare le sessioni di account privilegiati, tracciare e registrare i dettagli dell’accesso alla rete.
	ISA 62443-3-3:2013 SR 2.6 – Terminazione della sessione remota – “Il sistema di controllo deve fornire la possibilità di terminare una sessione remota automaticamente dopo un periodo di inattività configurabile o manualmente da parte dell’utente che ha avviato la sessione”.	Molte soluzioni PAM possono eseguire dei flussi di lavoro preimpostati in base agli avvisi. Ad esempio, se la soluzione PAM rileva un’attività non autorizzata, può essere impostata per terminare la sessione dell’account privilegiato.
PR.AC-4: I permessi di accesso sono gestiti incorporando i principi del minimo privilegio e della separazione dei compiti.	ISA 62443-2-1:2009 4.3.3.7.3 – Stabilire metodi di autorizzazione logici e fisici appropriati per accedere ai dispositivi IACS	L’accesso fisico al dispositivo è una superficie di attacco per gli aggressori che si fingono utenti privilegiati. Se l’aggressore riesce ad accedere a un dispositivo in locale, spesso può aggirare i criteri di utilizzo degli account privilegiati. Il PAM riduce questo rischio impedendo all’utente privilegiato di conoscere l’effettiva password del dispositivo fisico.
	ISA 62443-3-3:2013 SR 2.1 – Applicazione delle autorizzazioni – “Su tutte le interfacce, il sistema di controllo deve fornire la capacità di applicare le autorizzazioni assegnate a tutti gli utenti umani per controllare l’uso del sistema di controllo al fine di supportare la segregazione dei doveri e i minimi privilegi”.	Il PAM fornisce una soluzione globale per la segregazione dei compiti e la riduzione dei privilegi, un approccio più efficiente e sicuro rispetto al tentativo di far svolgere questo compito all’interfaccia di ogni sistema IACS.

Implementare PAM per la sicurezza ICS

Le soluzioni PAM hanno il potenziale per semplificare il processo di certificazione secondo lo standard IEC 62443. Questo vale sia in termini diretti che indiretti. Come mostra la tabella, alcuni elementi chiave dello standard IEC 62443 riguardano direttamente il controllo degli accessi e la protezione degli account privilegiati. Indirettamente, una solida soluzione PAM sottolinea la capacità di un’organizzazione di rispettare i controlli più ampi della norma IEC 62443. Ad esempio, con il PAM in vigore, diventa più facile tenere il passo con la gestione delle patch e la valutazione dei rischi: entrambe le aree dipendono dalla conoscenza di chi fa cosa. Questo è l’obiettivo di WALLIX.

Per saperne di più su come la soluzione WALLIX PAM

Chiedici informazioni su IEC 62443

Contattateci

Contenuti correlati

Febbraio 12, 2025

Risorse correlate