Mentre cresce l’interconnessione tra IT (tecnologia dell’informazione) e OT (tecnologia operativa), nel mondo industriale si fa sempre più cruciale il problema della sicurezza degli endpoint ICS. L’uso di sistemi di controllo, che di principio ha il merito di rendere le operazioni più efficienti per vari settori, è infatti costantemente esposto a minacce note e nuove proprio per la sua dipendenza dai legami fra IT e OT, cui si deve l’aumento di efficienza e velocità.
Nel 2020 anche l’Italia è stata presa di mira, con una percentuale di attacchi ransomware ai sistemi ICS sullo 0,9% delle organizzazioni, contro l’1,6% degli Stati Uniti, Paese più colpito al mondo. Fra i primi 20 Paesi che hanno subito attacchi, il nostro si posiziona in particolare in diciottesima posizione.
Ne consegue che in tutto il mondo, e anche nel nostro Paese, le industrie sono a rischio di subire blocchi della produzione e furti di dati sensibili. La protezione di questi sistemi è dunque fondamentale, e uno dei componenti che devono essere protetti dalle minacce è proprio l’ICS.
A fare luce sulla problematica a livello globale, proponendo anche possibili soluzioni, è il “2020 Report on Threats Affecting ICS”, l’ultima ricerca Trend Micro, leader globale di cybersecurity.
Indice degli argomenti
Ransomware paragonati ad attacchi terroristici negli Usa
La ricerca raccoglie i diversi tipi di minacce che hanno colpito maggiormente gli endpoint ICS nel 2020 per aiutare il settore industriale a proteggere i propri sistemi da problemi di sicurezza esistenti o imminenti. “I sistemi di controllo industriali sono molto difficili da proteggere e il rischio è di avere numerose lacune di security pronte a essere sfruttate dai cybercriminali”, spiega Gastone Nencini, Country Manager di Trend Micro Italia. “Alcuni governi, come quello degli Stati Uniti, equiparano oggi la gravità di un attacco ransomware e di uno terroristico, anche questo dovrebbe convincere i proprietari di aziende nei mercati industriali a mettere la security in cima alla lista delle priorità e a rifocalizzare gli sforzi di sicurezza”.
I rischi? Operazioni bloccate per giorni e fughe di dati critici
I sistemi di controllo industriali (ICS) sono elementi cruciali all’interno di industrie, fabbriche e impianti e sono utilizzati per il monitoraggio dei processi industriali nelle reti IT-OT. Un ransomware che riesce a penetrare questi sistemi è in grado di bloccare le operazioni per giorni e di entrare in possesso di dati critici, come progetti, programmi, invenzioni e brevetti.
La ricerca Trend Micro svela in particolare che i ransomware più pericolosi per le industrie, e che insieme hanno raggiunto più della metà delle infezioni nel 2020, sono Ryuk (20% di attacchi), Nefilim (14,6%), Sodinokibi (13,5%) e LockBit (10,4%).
Dal report emergono inoltre alcuni elementi particolarmente importanti:
- I cybercriminali utilizzano gli endpoint ICS per il mining di criptovalute, sfruttando sistemi operativi senza patch che sono ancora vulnerabili a EternalBlue
- Alcune varianti di Conficker si stanno diffondendo all’interno di endpoint ICS che utilizzano nuovi sistemi operativi, attraverso attacchi di “forza bruta” ai privilegi degli amministratori
- Alcuni vecchi malware come Autorun, Gamarue e Palevo, sono ancora presenti nelle reti IT-OT e si diffondono attraverso i dispositivi rimovibili
Il malware rilevato sugli endpoint ICS varia da Paese a Paese. In percentuale, il Giappone ha avuto il minor numero di endpoint ICS interessati da malware o software potenzialmente rischioso, mentre la Cina ha il maggior numero di tali rilevamenti (dei primi 10 Paesi). L’Italia in questo quadro si posiziona al settimo posto, segno di una certa esposizione al rischio.
Come accennato in precedenza, inoltre, gli Stati Uniti hanno avuto il maggior numero di infezioni da ransomware, mentre l’India ha avuto il maggior numero di infezioni da coinminer.
Le possibili soluzioni
Quali le possibili misure da attuare per tutelare il sistema industriale?
Lo studio di Trend Micro pone l’accento sull’urgenza di una cooperazione più stretta tra i team IT e OT, per identificare i sistemi chiave e le dipendenze, come ad esempio la compatibilità con i sistemi operativi e i requisiti di up-time, con l’obiettivo di sviluppare strategie di security più efficaci.
Queste, in particolare, le linee guida che vengono suggerite:
- Implementare un patching veloce è vitale. Nel caso non sia possibile, si può considerare la segmentazione della rete o il virtual patching, come quello offerto da Trend Micro
- Affrontare i ransomware in seguito a un’intrusione mitigando le cause dell’infezione alla radice, attraverso software di application control e strumenti di rilevamento e risposta, per pulire le reti in base agli indicatori di compromissione
- Limitare le condivisioni di rete e rinforzare l’utilizzo di combinazioni username/password forti, per prevenire gli accessi non autorizzati attraverso la forzatura di credenziali
- Utilizzare un IDS o un IPS per sondare i comportamenti normali di rete e identificare attività sospette
- Scansionare gli endpoint ICS in ambienti air gap, utilizzando strumenti indipendenti
- Stabilire punti di scansione malware all’interno dei dispositivi USB, e verificare gli strumenti utilizzati per trasferire dati tra endpoint in ambienti air gap
- Applicare il principio del privilegio minimo agli amministratori e agli operatori delle reti OT
Sulla base dei dati di rilevamento, Trend Micro conclude che il malware moderno come ransomware e coinminer e malware legacy come virus e worm che infettano i file influiscono entrambi sui sistemi di controllo industriale. Ciò implica che sia le tecniche moderne (come malware senza file o gli strumenti di hacking), sia quelle con metodi legacy collaudati (vecchi exploit di rete, esecuzione automatica di unità rimovibili, forzatura bruta della condivisione di rete, e infezione da file), può infettare con successo gli endpoint ICS.
“Raccomandiamo che il personale addetto alla sicurezza IT si avvicini alla sicurezza ICS comprendendo i requisiti unici di questi sistemi e il motivo per cui sono stati impostati in uno specifico modo – conclude Trend Micro -. Con questo in mente, il personale addetto alla sicurezza IT dovrebbe lavorare con gli ingegneri OT per tenere conto dei sistemi chiave, identificare varie dipendenze, come la compatibilità del sistema operativo, e i requisiti di uptime e apprendere il processo e le pratiche operative per elaborare una strategia di sicurezza informatica adeguata per proteggere questi importanti sistemi”.
