SwRI ha progettato una rete industriale per rilevare gli attacchi informatici da un computer dannoso. La rete utilizzava il protocollo Modbus/TCP per trasferire pacchetti di dati tra dispositivi di ingresso/uscita (I/O) e controllori a logica programmabile (PLC) collegati tramite uno switch Ethernet. Credito: Southwest Research Institute

Il Southwest Research Institute ha sviluppato una tecnologia per aiutare il governo e l’industria a rilevare le minacce informatiche alle reti industriali utilizzate nelle infrastrutture critiche e nei sistemi di produzione. SwRI ha finanziato la ricerca per affrontare le minacce informatiche emergenti nell’ecosistema in rapida evoluzione per l’automazione industriale.

Il team ha utilizzato algoritmi per scansionare le minacce informatiche attraverso protocolli di rete che trasmettono dati di controllo industriale per qualsiasi cosa, dai gasdotti ai robot di produzione. La ricerca ha portato allo sviluppo di un sistema di rilevamento delle intrusioni (IDS) per i sistemi di controllo industriale (ICS).

“Storicamente, i sistemi di controllo industriale non sono stati progettati pensando alla sicurezza”, ha affermato Ian R. Meinzen, un ingegnere di macchine intelligenti SwRI che ha lavorato al progetto. “Hanno avuto il vantaggio di un ‘spazio d’aria’ in cui potevano operare in sicurezza senza una connessione alle reti IT”.

Scollegare le reti industriali dalle reti informatiche (IT), tuttavia, non è più un’opzione per i moderni sistemi di automazione che si basano sull’Internet delle cose (IoT) per trasmettere grandi quantità di dati. IoT descrive la rete di oggetti fisici incorporati con sensori e software per connettersi e scambiare dati con altri dispositivi e sistemi tramite reti di comunicazione su Internet.

“Il collegamento di dispositivi IoT e altro hardware espone le reti industriali a vulnerabilità di sicurezza”, ha affermato Peter Moldenhauer, uno scienziato informatico SwRI specializzato in sicurezza informatica. “Gli attacchi possono verificarsi tramite un dispositivo IoT o anche protocolli di rete e software obsoleti”.

SwRI utilizzava controllori a logica programmabile (PLC) collegati a moduli di ingresso/uscita (I/O) a una rete di test. Gli algoritmi hanno scansionato la rete alla ricerca di attacchi informatici tramite pacchetti di dati trasferiti tramite il protocollo Modbus/TCP. Credito: Southwest Research Institute

Il team SwRI ha concentrato questa ricerca sulla scansione degli attacchi informatici tramite il protocollo Modbus/TCP. Le utility e l’industria hanno utilizzato questo protocollo di rete basato su Ethernet per decenni nelle apparecchiature dei sistemi di controllo di supervisione e acquisizione dati (SCADA).

I ricercatori SwRI hanno originariamente sviluppato gli algoritmi per scansionare le reti di bus Controller Area Network (CAN) utilizzate nell’hardware automobilistico. Hanno personalizzato gli algoritmi di sicurezza informatica per scansionare una rete simulata dotata di dispositivi industriali prima di valutare i nuovi algoritmi su una rete industriale reale. Il sistema di test utilizzava il protocollo Modbus/TCP per inviare pacchetti di dati su una rete. La rete prevedeva uno switch Ethernet che collegava personal computer, controllori logici programmabili (PLC) e moduli di ingresso/uscita (I/O). Tali dispositivi informatici industriali inviano comandi e registrano dati per robot automatizzati e apparecchiature meccanizzate.

“Abbiamo dovuto personalizzare gli algoritmi precedenti per riconoscere i diversi modi in cui il protocollo Modbus/TCP raggruppava i pacchetti di dati in sequenze e indicazioni di tempo”, ha affermato Jonathan Esquivel, uno scienziato informatico SwRI.

Gli algoritmi di nuova concezione applicati alla rete di test hanno riconosciuto il normale traffico Modbus/TCP e hanno identificato i vettori di attacchi informatici come la temporizzazione fuori banda, il rilevamento degli indirizzi e il fuzzing/manipolazione dei dati. Gli algoritmi classificano i pacchetti di dati come “normali” se provengono da un dispositivo di controllo industriale non compromesso o “attacco” se la fonte è un dispositivo inaspettato o compromesso.

Il team di ricerca comprendeva esperti del dipartimento dei sistemi critici di SwRI, specializzato in sistemi embedded e sicurezza informatica, e del dipartimento delle tecnologie di produzione dell’Istituto, specializzato nell’integrazione di software e hardware per la robotica e l’automazione industriale.

“Le tendenze aziendali e le nuove tecnologie, guidate in parte da una spinta pandemica verso l’automazione, stanno rivelando più vulnerabilità informatiche nei sistemi industriali”, ha affermato il dott. Steven Dellenback, vicepresidente della divisione Sistemi intelligenti di SwRI. “Siamo orgogliosi di supportare il governo e l’industria con competenze multidisciplinari nella sicurezza informatica e nelle tecnologie di automazione”.