Guide

ICS Penetration test: quando i test di intrusione in ICS sono sicuri

Come eseguire test di intrusione controllati in ambienti ICS senza fermare la produzione. Tecniche, strumenti e approcci sicuri.

Penetration test IT

4 Agosto 2025

Indice dei contenuti

  • Cosa sono i penetration test controllati negli ambienti ICS
  • Differenza tra penetration test IT e ICS
  • Le fasi di un penetration test sicuro su ambienti ICS
  • Approccio difensivo: non solo test ma miglioramento continuo
  • Il ruolo della formazione e della consapevolezza OT
  • Quando eseguire penetration test negli ambienti ICS
  • Rischi da evitare: cosa non fare mai in un test ICS

I sistemi di controllo industriale (ICS) sono alla base del funzionamento delle infrastrutture critiche e dei processi produttivi in settori come energia, manifattura, trasporti, trattamento acque e sanità. In un contesto di crescente esposizione alle minacce informatiche, i penetration test controllati rappresentano uno strumento fondamentale per valutare la sicurezza senza compromettere la disponibilità del servizio.

Questo articolo illustra come condurre un test di intrusione in ambienti ICS in modo sicuro ed efficace, bilanciando le esigenze di cyber security con la necessità di garantire la continuità operativa.

Cosa sono i penetration test controllati negli ambienti ICS

Un penetration test (o pentest) è un’attività tecnica avanzata volta a individuare vulnerabilità sfruttabili in un sistema informatico, simulando un attacco reale. Quando si parla di ambienti ICS, questo tipo di test deve tenere conto di vincoli particolari:

  • Alta disponibilità
    Gli ICS non possono permettersi downtime;
  • Tecnologie legacy
    Molti dispositivi usano protocolli datati e sistemi obsoleti;
  • Architetture chiuse o proprietarie
    Difficili da testare con strumenti convenzionali.

Per questo motivo, un test di intrusione ICS deve essere controllato, ovvero pianificato, approvato, segmentato e monitorato in ogni fase.

Differenza tra penetration test IT e ICS

A differenza degli ambienti IT tradizionali, dove si possono isolare ambienti di test o simulare downtime, negli ambienti ICS spesso non esistono simili margini di manovra. I principali punti di divergenza sono:

  • Sensibilità ai pacchetti di rete
    Molti PLC e RTU possono andare in crash con pacchetti anomali;
  • Protocolli non standardizzati
    Modbus, DNP3, PROFINET, BACnet, che non supportano funzioni di sicurezza native;
  • Impatto sulla produzione
    Un errore può interrompere un’intera catena industriale.

Per questo motivo, i penetration test su sistemi ICS devono essere progettati con tecniche non intrusive o in ambienti simulati.

Le fasi di un penetration test sicuro su ambienti ICS

1. Pianificazione e scope

Tutto parte da una attenta pianificazione. Occorre definire:

  • quali componenti testare (es. HMI, PLC, switch industriali);
  • quali esclusioni fare (es. dispositivi legacy critici);
  • orari in cui il test può avvenire (es. durante manutenzioni programmate);
  • chi autorizza l’intervento (firmware, integratori, dirigenti OT).

Il documento di autorizzazione (Rules of Engagement) è fondamentale per evitare responsabilità legali.

2. Raccolta passiva di informazioni

In ambienti ICS è fortemente raccomandata una fase di reconnaissance passiva, basata su:

  • Network traffic monitoring (es. Wireshark, Zeek);
  • Analisi di configurazioni;
  • Esame di asset inventory, eventualmente con strumenti come Nozomi Guardian o Tenable OT Security.

Si evita l’utilizzo di tool attivi come Nmap o Nessus in questa fase, salvo in segmenti separati.

3. Creazione di ambienti di test simulati

Quando possibile, si consiglia l’uso di:

  • Digital twin;
  • Sandbox ICS (es. VM con emulazioni di PLC);
  • Laboratori OT dedicati.

Esempio
Si può usare un’istanza di OpenPLC abbinata a ScadaBR o Ignition per testare exploit in modo sicuro.

# Esempio: deploy di OpenPLC in ambiente virtuale

docker run -d --name openplc -p 8080:8080 thiagoralves/openplc

4. Esecuzione controllata dei test

I test attivi devono:

  • Essere svolti solo nei momenti autorizzati;
  • Iniziare con test a basso impatto, come scansioni di porta TCP specifiche (no SYN flood);
  • Monitorare in tempo reale la reazione dei dispositivi, con possibilità di interruzione immediata.

Alcuni strumenti sicuri per test ICS:

  • GRASSMARLIN
    Per il network mapping passivo;
  • Wireshark con dissector Modbus;
  • Metasploit con exploit ICS (da usare solo in ambienti di test);
  • Shodan local scan (per identificare dispositivi noti vulnerabili).

5. Reporting dettagliato e remediation

Il report deve essere strutturato in:

  • Riepilogo delle vulnerabilità rilevate;
  • Impatti potenziali sulla sicurezza e sulla disponibilità;
  • Soluzioni di remediation compatibili con le policy ICS;
  • Raccomandazioni per la separazione IT/OT e hardening del sistema.
I penetration test controllati

Approccio difensivo: non solo test ma miglioramento continuo

Il test di intrusione è uno strumento e non un obiettivo. Serve a innescare un ciclo virtuoso di miglioramento continuo:

  • Isolamento delle reti ICS tramite firewall industriali;
  • Segmentazione tra IT e OT (es. con VLAN e DMZ);
  • Impiego di intrusion detection system ICS-aware (es. Dragos, Claroty);
  • Aggiornamento e patching dei firmware critici;
  • Monitoraggio comportamentale tramite SIEM e log analytics.

Il ruolo della formazione e della consapevolezza OT

Un aspetto spesso trascurato è la formazione dei tecnici OT e la loro collaborazione nei test. Laddove l’IT gestisce la sicurezza, è essenziale che:

  • Gli operatori OT siano consapevoli delle minacce ICS;
  • Le procedure di risposta agli incidenti siano condivise;
  • Venga effettuata formazione sui protocolli sicuri (es. OPC-UA con TLS, non solo Modbus in chiaro).

Solo una collaborazione stretta tra IT e OT garantisce test efficaci e sicurezza operativa.

Quando eseguire penetration test negli ambienti ICS

È consigliabile effettuare penetration test ICS:

  • Prima dell’avvio di un nuovo impianto;
  • Dopo modifiche importanti alla rete o ai dispositivi;
  • Con cadenza annuale, almeno in ambienti ad alta criticità;
  • In seguito a un incidente di sicurezza, come misura forense e di miglioramento.

Rischi da evitare: cosa non fare mai in un test ICS

Evitare assolutamente:

  • Scansioni ad alta intensità senza autorizzazione (es. nmap -sS -p- -T5);
  • Attacchi DoS, anche se simulati;
  • Uso di exploit su PLC reali in produzione;
  • Aggiornamenti firmware o reboot in ambienti live.

Un singolo comando errato può mandare in tilt una linea di produzione, generando danni economici enormi.

In sintesi

Eseguire penetration test controllati in ambienti ICS non è solo una buona pratica, ma una necessità strategica per la resilienza industriale.

Tuttavia, l’approccio deve essere prudente, coordinato e competente, con una forte componente di pianificazione, simulazione e collaborazione tra reparti. Solo così si può conciliare la sicurezza informatica con la continuità operativa, proteggendo l’azienda da rischi crescenti senza fermarne la produttività.

Domande e risposte

  1. Cosa sono gli ambienti ICS?
    Sono i sistemi che controllano processi industriali automatizzati, come impianti di produzione o centrali elettriche.
  2. Perché i penetration test ICS sono diversi da quelli IT?
    Perché gli ambienti ICS sono fragili, sempre attivi e spesso usano dispositivi non progettati per tollerare test di sicurezza attivi.
  3. È sicuro fare un penetration test su un impianto produttivo in funzione?
    No, a meno che non sia segmentato, autorizzato e controllato in ogni dettaglio. Altrimenti è fortemente sconsigliato.
  4. Quali strumenti usare per test ICS in modo sicuro?
    Strumenti passivi come Wireshark, GRASSMARLIN, o ambienti simulati come OpenPLC, ScadaBR o VM.
  5. Quanto spesso vanno fatti i test ICS?
    Idealmente ogni anno o dopo ogni aggiornamento importante o incidente.
  6. Posso usare exploit noti su PLC in produzione?
    No. Gli exploit vanno testati solo in ambienti simulati o controllati per evitare danni.
  7. Che differenza c’è tra vulnerability assessment e penetration test in ICS?
    Il primo è una scansione delle vulnerabilità, il secondo simula un attacco reale. Entrambi sono utili, ma richiedono approcci diversi in ICS.
  8. Serve il consenso della direzione per fare un test?
    Assolutamente sì, va firmato un documento di autorizzazione con tutti i dettagli del test.
  9. I test ICS rientrano nelle normative come la IEC 62443?
    Sì, fanno parte del processo di valutazione dei rischi e sicurezza nella serie di standard IEC 62443.
  10. È possibile integrare i test ICS con un SIEM?
    Sì, ma bisogna configurare i log degli apparati OT e le fonti ICS per renderli compatibili con il SIEM.
4
To top