Le pressioni normative in tutto il mondo impongono ai CISO e ai consigli di amministrazione delle aziende di assumersi una maggiore responsabilità in termini di sicurezza informatica, anche per quanto riguarda i dispositivi OT e i sistemi ICS (Industrial Control Systems) e IoT (Internet of Things).

Le differenti direttive, unite all’aumento dei costi delle cyber assicurazioni e alle relative restrizioni, potrebbero spingere le imprese a dotarsi di strategie di protezione olistiche.

Tuttavia, si tratta di sfide ben note. I CISO si assumono la responsabilità di gestire domini di sicurezza che conoscono molto poco e che richiedono strumenti e metodi diversi.

Riuscire a integrare la sicurezza OT e IoT in azienda significa superare i silos culturali tra i team InfoSec e OT che spesso hanno priorità diverse.

Nel frattempo, le vulnerabilità del software e dell’hardware OT continuano ad aumentare, i cyber criminali sfruttano l’intelligenza artificiale nel tentativo di anticipare le mosse delle loro vittime e le tensioni geopolitiche si intensificano.

Nell’ultimo report di Nozomi Networks, “OT/IoT Cybersecurity Trends and Insights”, sono stati analizzati i trend che interessano la cyber sicurezza OT e IoT nei primi cinque mesi del 2024 e il loro impatto sui responsabili InfoSec e delle infrastrutture critiche.

Vulnerabilità in aumento: un’analisi settoriale

Dall’inizio del 2024, CISA (Cybersecurity and Infrastructure Security Agency) ha pubblicato 134 avvisi ICS (Industrial control system), segnalando un totale di 1212 vulnerabilità che hanno colpito i prodotti e le soluzioni di 49 fornitori.

Il settore manifatturiero critico si conferma il più colpito, con un numero di vulnerabilità (637) significativamente maggiore rispetto agli altri. Seguono energia (158), sistemi idrici e di trattamento delle acque reflue (71), strutture commerciali (46) e, in crescita rispetto al periodo precedente, il settore dei trasporti (92).

Analizzando le vulnerabilità, si nota come le più comuni riguardino l’input validation, la lettura e la scrittura oltre i limiti di memoria e il suo utilizzo dopo la “pulizia”.

Particolarmente preoccupante è l’aumento di falle legato alla mancanza di crittografia dei dati sensibili, che evidenzia la necessità di adottare misure di sicurezza più rigorose.

Attacchi informatici in ambienti OT: le allerte più frequenti

I dati raccolti nel report evidenziano come le richieste di parametri illegali rappresentino quasi il 20% degli avvisi di sicurezza in ambienti OT.

Seguono, in ordine di frequenza, traffico malevolo (15,60%), attacchi flood TCP (7,15%) e scansioni di rete (6,41%). Da segnalare la comparsa di nuovi gruppi di collegamento (5,73%) e nuovi collegamenti sospetti (3,83%) come possibili indicatori di compromissioni in corso.

Questi dati sottolineano l’importanza del monitoraggio continuo e dell’analisi delle anomalie di rete per identificare e bloccare tempestivamente le minacce.

Settori industriali: minacce specifiche e ranking di rischio

Il settore dei macchinari e delle attrezzature industriali si conferma quello con il maggior numero di avvisi di sicurezza, seguito da quello dei materiali da costruzione, prodotti chimici, software personalizzato e servizi IT, e infine elettricità, petrolio e gas.

L’analisi degli alert di sicurezza suddivisi per industria evidenzia come diversi settori affrontino minacce e criticità specifiche:

1. Macchinari e attrezzature industriali: Questo settore è particolarmente vulnerabile a “Illegal parameter request” (47,13%), suggerendo la presenza di falle di sicurezza nei protocolli di comunicazione industriale. Il traffico malevolo (32,56%) e gli attacchi flood TCP (8,50%) rappresentano ulteriori minacce significative.
2. Materiali da costruzione: La criticità principale risiede nella gestione delle credenziali, con un’alta percentuale di alert per “Cleartext password” (31,56%) che indica l’utilizzo di password deboli o non crittografate. Anche le scansioni di rete (24,18%) e gli accessi multipli negati (19,15%) evidenziano la necessità di rafforzare la sicurezza degli accessi.
3. Prodotti chimici: Questo settore è caratterizzato da un’alta percentuale di “Missing variable request” (31,63%) che potrebbe indicare tentativi di interruzione o manipolazione dei processi industriali. La presenza di alert di “New target node” e “New function code” suggerisce inoltre possibili tentativi di riconfigurazione non autorizzata dei sistemi.
4. Software personalizzato e servizi IT: Questo settore registra un’alta percentuale di alert legati ad anomalie nei protocolli di comunicazione industriale (“Link RST request by producer” e “Producer sync request by consumer”), evidenziando la necessità di proteggere le connessioni e garantire l’integrità dei dati scambiati. La presenza di “Weak password” (13,02%) sottolinea ancora una volta l’importanza di una corretta gestione delle credenziali.
5. Elettricità, petrolio e gas: Similmente a quello dei prodotti chimici, anche questo settore è fortemente colpito da “Missing variable request” (54,46%), evidenziando la vulnerabilità dei sistemi di controllo industriale a questa tipologia di attacco. Da notare anche la presenza di “Variable flow anomaly” (10,10%), che potrebbe indicare tentativi di manipolazione dei dati di processo.

Varianti regionali: un’analisi comparativa

L’analisi regionale evidenzia come Italia e Spagna siano i paesi con il maggior numero di avvisi di sicurezza per cliente.

Ogni regione presenta un proprio profilo di minacce, a conferma della necessità di adattare le strategie di sicurezza al contesto geografico e alle specificità locali.

Entrambi i paesi mostrano una forte predominanza di alert legati a “Missing variable request” (95,15% in Italia, 84,66% in Spagna), segnalando potenziali tentativi di attacco o malfunzionamenti a livello di protocolli industriali. Mentre la Spagna registra un maggior numero di alert per traffico malevolo e scansioni di rete, l’Italia sembra meno affetta da queste problematiche.

Minacce IoT e botnet: attività dannosa in crescita

Cina e Hong Kong si confermano la principale fonte di attacchi botnet, rappresentando il 46% del totale, seguite dagli Stati Uniti con il 16%. Nonostante il numero medio giornaliero di indirizzi IP univoci che hanno lanciato attacchi sia diminuito rispetto al periodo precedente, l’attività rimane significativa.

Le credenziali deboli o predefinite continuano a essere un veicolo sfruttato dai criminali per ottenere l’accesso ai dispositivi IoT.

I comandi shell si confermano uno strumento ampiamente utilizzato dagli aggressori per esplorare l’ambiente e ottenere la persistenza all’interno dei sistemi compromessi.

La maggior parte dei payload dannosi analizzati non è legata a una specifica architettura, riflettendo la natura eterogenea dell’ecosistema IoT.

Infine, l’utilizzo di packer per offuscare il malware è ancora limitato, ma è importante rimanere aggiornati sulle tecniche di analisi e decompilazione per contrastare questa minaccia in evoluzione.

Conclusioni

I risultati emersi nel report di Nozomi Networks confermano che le organizzazioni possono migliorare significativamente la loro strategia di cyber security adottando un approccio olistico.

Quest’ultimo deve tenere conto delle differenze chiave e delle considerazioni specifiche delle reti e dei dispositivi OT e IoT, includendo elementi cruciali come l’aggiornamento automatico degli asset, il monitoraggio continuo, la condivisione delle informazioni sulle minacce, lo sviluppo di un piano di risposta agli incidenti e il miglioramento costante basato sulla telemetria del mondo reale.

Dal momento che la sicurezza informatica non è un punto di arrivo, ma un processo in costante divenire per fronteggiare le minacce in continua evoluzione, è necessaria una responsabilità condivisa.

Solo collaborando e restando vigili, condividendo informazioni e adottando un approccio non solo olistico, ma anche proattivo e flessibile, potremo creare un ambiente digitale più sicuro e resiliente per tutti.