Serie 2022 del mese di sensibilizzazione sulla sicurezza informatica
Gli attacchi informatici contro le infrastrutture critiche possono causare enormi sconvolgimenti della società e avere un enorme tributo finanziario. Queste alte poste in gioco rendono l’IT industriale e le OT (tecnologie operative) obiettivi interessanti per il ransomware in particolare. L’applicazione di forti difese informatiche a sei domini OT critici può aiutare a prevenire ransomware e altre minacce a reti elettriche, gasdotti e operazioni essenziali simili.
Gli attacchi ransomware contro obiettivi industriali continuano ad aumentare, rappresentando più della metà di tutto il malware sugli endpoint industriali. Sono anche diventati altamente sofisticati, in grado di sfruttare vulnerabilità da tempo senza patch e, meno comunemente, vulnerabilità zero-day. Spesso il lavoro è diviso: un criminale informatico (o gruppo) scopre vulnerabilità, un altro vende elenchi di vulnerabilità, altri vendono strumenti per sfruttare diversi tipi di vulnerabilità, mentre qualche altro attore gestisce l’elaborazione dei pagamenti. Alcuni attacchi ransomware ora si intensificano fino a raddoppiare e triplicare le estorsioni.
Questi sviluppi coincidono con l’evoluzione delle reti industriali da “giardini recintati” in gran parte autonomi costruiti su protocolli di comunicazione proprietari e specifici del fornitore a sistemi basati su IP che utilizzano sempre più la rete IP aziendale, condivisa da altre applicazioni. Il monitoraggio remoto, la configurazione e l’analisi sono all’ordine del giorno, con i sistemi di automazione e le operazioni sul campo che iniziano a sfruttare il cloud e l’edge computing. Queste nuove connessioni, combinate con sistemi IT e OT generalmente più interconnessi, continuano ad espandere la superficie di attacco industriale.
Come prevenire gli attacchi ransomware nei sei domini
Esistono sei domini operativi chiave in cui la sicurezza ICS può aiutare a prevenire il ransomware e altre minacce informatiche: il perimetro OT e IT, le risorse OT, la rete OT, IIoT, operazioni offline e centri operativi di sicurezza/team di risposta agli incidenti di sicurezza informatica (SOC/CSIRT ). In ogni caso, ci sono vulnerabilità specifiche da notare e misure concrete che possono essere adottate per affrontarle.
1. Perimetro OT e IT — Poiché OT e IT sono più connessi che mai, le vulnerabilità in uno mettono a rischio l’altro. Ciò è esacerbato in molti contesti industriali dal fatto che diverse parti dell’organizzazione sono responsabili di diversi aspetti dei sistemi OT e IT: IT aziendale, divisioni IT specifiche del sito, team di ingegneria di produzione e altro ancora. Questa responsabilità distribuita significa che nessuna singola unità vede l’intera rete. Per rimediare a ciò, gli operatori delle infrastrutture critiche devono stabilire dei confini di difesa tra la rete aziendale e i siti industriali e/o tra gli uffici e le aree sul campo.
2. Attività OT — L’ambiente IT e OT combinato è un “sistema di sistemi” con componenti che hanno cicli di vita molto diversi, dai PC che durano in media cinque anni alle apparecchiature industriali in servizio per 20 anni o più. Questo mix di tecnologie nuove e legacy significa che alcune risorse possono essere protette con metodi aggiornati e altre potrebbero non supportare software di sicurezza o essere patchabili. Di conseguenza, ciò che serve è un approccio alla sicurezza unificato con criteri caso per caso basati sui vari rischi affrontati da attività, sistemi e operazioni specifici.
3. Rete OT — I nuovi tipi di connettività e le nuove tecnologie che entrano nell’ambiente industriale (cellulare e RF, cloud ed edge computing) richiedono approcci di sicurezza moderni come Secure Access Service Edge (SASE). In particolare, ciò significa concentrarsi non solo sulla repulsione degli attacchi, ma anche sull’identificazione e sul contenimento di coloro che si infiltrano nella rete, con visibilità end-to-end della rete e conoscenza dei processi industriali a cui sono collegati. Una particolare area di vulnerabilità individuata dalla ricerca Trend Micro ha a che fare con i gateway di protocollo, che facilitano lo scambio di informazioni tra dispositivi e sistemi. Questi sono comunemente usati per interconnettere i sistemi OT e IT e, se compromessi, possono fermare i processi industriali. Pertanto, anche gli approcci alla sicurezza della rete devono essere adattati per considerare questi e altri protocolli industriali utilizzati nelle reti sul campo.
4. Internet delle cose industriale — Le implementazioni IIoT dipendono sempre più dalle reti private 5G, che hanno quattro possibili percorsi di penetrazione e tre punti in cui i segnali possono essere intercettati nella rete centrale. La rete centrale, a sua volta, può essere utilizzata come trampolino di lancio per attaccare un sito produttivo nel suo complesso. Tutte le tecnologie associate all’IIoT, inclusa la connettività 5G, i cloud industriali e i sensori IoT, devono essere integrate nell’approccio alla sicurezza.
5. Operazioni offline — Sebbene non tutti gli aspetti delle operazioni industriali siano collegati in rete, anche le tecnologie offline che si interfacciano con la rete, come i supporti rimovibili e i terminali di manutenzione, possono essere punti di vulnerabilità. Anche questi devono essere considerati in qualsiasi schema completo per prevenire il ransomware e proteggere l’ambiente industriale.
6. SOC/CSIRT — SOC e CSIRT fanno parte del team IT aziendale che monitora la rete, compreso il confine tra azienda e sito. Ciò di cui hanno bisogno è una piattaforma unificata efficace per fornire visibilità end-to-end nell’intero ambiente OT/IT per l’identificazione, la risposta e il contenimento delle minacce.
Mettere in atto le giuste misure
La US Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato una guida su come prevenire gli attacchi ransomware nelle impostazioni ICS, delineando un processo in quattro fasi: preparazione, rilevamento e analisi, contenimento ed eradicazione e recupero. Questi possono essere ulteriormente ridotti a un paio di principi generali: ridurre i rischi di infezione e ridurre al minimo gli impatti dopo gli incidenti. La copertura di tale ambito richiede una piattaforma di sicurezza unificata con piena visibilità nell’ambiente industriale.
L’approccio CISA agli ICS anti-ransomware
.