Sistemi industriali sotto attacco

Secondo il report ICS Threat Landscape dell’ICS CERT di Kaspersky, lo scorso anno oltre il 40% dei sistemi industriali OT è stato colpito da malware e nei primi mesi del 2023 la situazione non sembra migliorare.

Per chi non lo conoscesse, il termine OT (Operational Technology) indica l’insieme di hardware e software per il monitoraggio o il controllo diretto dei dispositivi fisici di aziende ed enti. Questo termine comprende un vasto insieme di strumenti, inclusi quelli ICS (Industrial Control Systems) e SCADA. Benché le procedure per la gestione della sicurezza per i sistemi OT è oggettivamente diversa da quella IT, c’è un elemento importante da tenere in considerazione: nella maggior parte dei casi gli attacchi ai sistemi IT di un’azienda può impattare sui sistemi OT creando problemi all’operatività.

L’ultimo semestre del 2022 è stato il periodo con il più alto tasso di attacchi contro i vari settori industriali, con il 34,3% dei computer interessati colpiti da script dannosi e da pagine di phishing. Si consideri che sono state individuate oltre 7.500 famiglie di malware diverse all’interno dei sistemi per l’automazione industriale. Le cosi dette minacce ICS progettate per colpire i sistemi di controllo industriale sono diventate ancora più pericolose con l’incremento dei servizi Ransomware as a Service (RaaS) in cui sono resi disponibili strumenti appositamente creati per colpire gli obiettivi industriali. Questi servizi creati da collettivi di hacker organizzati vengono “noleggiati” e distribuiti ai cybercriminali meno esperti in “pacchetti” pronti da configurare in base all’obiettivo.

Una fonte di preoccupazione per questa tipologia di attacchi sono le e-mail di phishing mirate, inviate con lo scopo di sottrarre i dati di autenticazione degli account aziendali in modo da ottenere l’accesso ad aree altrimenti impossibili da raggiungere. Il problema è particolarmente sentito nelle aziende che sfruttano i sistemi di produzione intelligente. La maggior parte di questi sistemi, progettati per migliorare la produttività, sono parzialmente “slegati” dalla rete aziendale ma ovviamente i punti di accesso a una o più parti del sistema non mancano e questi possono essere sfruttati dai cybercriminali per portare attacchi all’infrastruttura da remoto. Ricordiamo infatti che questi sistemi “smart” sempre più spesso sostituiscono i classici hardware di automazione come i PLC con dispositivi detti Industrial Internet-of-Things o IIoT che possono essere controllati e programmati da altri sistemi. Consideriamo poi che i sistemi industriali smart nella maggior parte dei casi sfruttano per la produzione le “engineering workstation”, computer condivisi collegati all’impianto di produzione. Proprio per questo motivo è fondamentale l’analisi accurata del controllo di supervisione e acquisizione dati o SCADA (Supervisory Control And Data Acquisition) ovvero la complessa infrastruttura software e hardware che permette la gestione e il funzionamento dei sistemi automatici.

La verifica di questo codice è essenziale per controllare che tutto funzioni correttamente e che non ci siano problematiche legate alle istanze di sicurezza. Una valutazione di questo tipo è consigliabile farla eseguire da team esterni di esperti. HyperGrid è in grado di fornire assistenza sui software industriali SCADA valutando il lavoro fatto dai programmatori e, nel caso della scoperta di falle del sistema, suggerire le soluzioni per eliminarle. Altrettanto importante sono le procedure di Vulnerability Assessment per la verifica dell’infrastruttura. Si tratta di una procedura necessaria a evidenziare e rimuovere le vulnerabilità presenti sul perimetro della rete pubblica o all’interno della rete privata. La VA è una soluzione fondamentale per prevenire gli attacchi e per verificare che i sistemi non siano già stati penetrati e infettati.

Per le aziende che vogliono eseguire la procedura in autonomia HyperGrid mette a disposizione il servizio HyperNVA che usa strumenti sempre aggiornati per eseguire le procedure in modo semplice. Grazie a questo servizio vengono messe a disposizione dei clienti gli strumenti e le procedure che il team di HyperGrid usa per eseguire le analisi di vulnerabilità in remoto. L’accesso a HyperNVA avviene tramite una pratica interfaccia web, ed è configurabile in base alle esigenze dell’azienda, in modo da poter eseguire autonomamente i test di vulnerabilità quando lo si ritiene necessario. Per l’analisi vengono applicate anche tecniche di Intelligenza Artificiale per l’interpretazione corretta di falsi positivi e delle evidenze ottenute.

Per la protezione dal phishing invece, Mail Outpost è un servizio che può essere integrato senza problemi con i server di posta elettronica presenti in azienda e dispone di opzioni di sicurezza come il protocollo SPF che verifica l’integrità degli indirizzi dei mittenti, bloccandoli in caso di problemi. Mail Outpost è in grado di controllare in tempo reale email e allegati prima che arrivino nella casella di posta elettronica dei dipendenti. Il servizio è gestito dal SOC HyperGrid, che analizza in tempo reale i messaggi email ed i loro allegati permettendo un controllo preciso delle informazioni in transito.

Shares