Il settore industriale è costantemente alle prese con minacce informatiche di grave entità. Molte di queste minacce si trasformano in veri e propri attacchi dal successo assicurato. Lo dimostra l’analisi di Kaspersky sugli attacchi delle Advanced Persistent Threat (APT). Il loro successo è dovuto ad una serie di fattori: fattori umani, misure di sicurezza insufficienti, difficoltà ad effettuare gli aggiornamenti e la configurazione delle soluzioni di sicurezza informatica. Sebbene alcuni di questi elementi possano apparire banali, sono quelli incontrati più frequentemente dagli esperti di Kaspersky nella loro attività di incident response. Per supportare le aziende nel mitigare le minacce e assicurare l’implementazione delle best practices più efficaci, gli esperti dell’ICS CERT di Kaspersky hanno compilato una lista dei problemi più diffusi.
Mancanza di isolamento delle reti OT
Nelle indagini in caso di attacchi APT, gli esperti di Kaspersky hanno spesso riscontrato carenze nel mantenere separate e sicure le reti Operational Technology (OT). Ad esempio, hanno trovato macchine, come engineering workstation, connesse sia alla rete normale sia a quella OT.
“In situazioni in cui l’isolamento della rete OT è garantito solo dalla configurazione delle apparecchiature di rete, è stato sperimentato che aggressori esperti possono semplicemente riconfigurare tali apparecchiature a proprio vantaggio”, ha dichiarato Evgeny Goncharov, Head of Industrial Control Systems Cyber Emergency Response Team di Kaspersky. “Per esempio, possono trasformarle in server proxy per controllare il traffico di malware o addirittura utilizzarle per archiviare e distribuire malware a reti che si ritenevano essere isolate. Abbiamo assistito in molte occasioni ad azioni malevole come queste”.
Attacchi APT: il fattore umano resta un fattore determinante nelle attività cybercriminali
Quando si concede l’accesso alle reti OT ai dipendenti o ai collaboratori, spesso le misure di sicurezza informatica vengono trascurate. Le utility di amministrazione remota come TeamViewer o Anydesk, inizialmente impostate temporaneamente, possono rimanere attive senza essere notate. In ogni caso, è essenziale ricordare che questi canali sono facilmente sfruttabili dagli aggressori per attacchi APT. Nel 2023, Kaspersky ha indagato su un incidente in cui un collaboratore aveva tentato l’attacco, sfruttando l’accesso remoto alla rete ICS che gli era stato legittimamente concesso molti anni prima.
Questi episodi dimostrano l’importanza di considerare il fattore umano, poiché alcuni dipendenti, tendenzialmente insoddisfatti, potrebbero essere spinti da motivazioni lavorative, di retribuzione o per ragioni politiche, ad intraprendere azioni cybercriminali. Una soluzione possibile per essere protetti in situazioni simili può essere lo Zero Trust, ovvero il concetto che prevede di non fidarsi né dell’utente, né del dispositivo e né dell’applicazione interna al sistema. Diversamente da altre soluzioni Zero-Trust, Kaspersky estende l’approccio Zero Trust fino al livello del sistema operativo con le sue soluzioni basate su KasperskyOS.
Protezione insufficiente degli asset OT
Durante l’analisi degli attacchi APT al settore industriale, gli esperti di Kaspersky hanno rilevato database delle soluzioni di sicurezza non aggiornati, codici di licenza mancanti, chiavi rimosse da parte dell’utente, componenti di sicurezza disabilitate, ed eccessive esclusioni dalla scansione e dalla protezione: tutti fattori che contribuiscono alla diffusione dei malware.
Ad esempio, se i database non sono aggiornati e una soluzione di sicurezza non può essere aggiornata automaticamente, questo può permettere alle minacce avanzate di propagarsi rapidamente e facilmente come negli attacchi APT, in cui chi crea le minacce sofisticate cerca di evitare di essere rintracciato.
Configurazioni non sicure di soluzioni di sicurezza aprono la strada agli attacchi APT
Configurazioni appropriate delle soluzioni di sicurezza sono indispensabili per prevenire la disabilitazione o addirittura l’abuso, una tattica spesso impiegata da gruppi/attori di attacchi APT. In caso contrario si rischia che vengano rubate informazioni sulla rete delle vittime, memorizzate nella soluzione di sicurezza, così da accedere ad altre parti del sistema, o “muoversi lateralmente” come si dice nel linguaggio professionale di infosec.
Nel 2022, Kaspersky ICS CERT ha notato una nuova tendenza nelle tattiche APT, che fa sì che siano ancora più indispensabili configurare correttamente le soluzioni. Ad esempio, quando cercano modi per spostarsi lateralmente, gli aggressori non si fermano più all’hijacking dei sistemi IT critici, come i controller dei domini. Procedono verso l’obiettivo successivo: i server di amministrazione delle soluzioni di sicurezza. Gli scopi sono vari: dall’inserimento dei malware in un elenco di programmi che non verranno sottoposti a controllo dagli strumenti del sistema di sicurezza, così da poterlo diffondere ad altri sistemi, anche a quelli che dovrebbero essere completamente separati dalla rete infetta.
L’assenza di soluzioni di cybersecurity a protezione delle reti OT
Può essere difficile da credere, ma in alcune reti OT, le soluzioni di sicurezza informatica non sono installate su molti endpoint. Anche se la rete OT è completamente separata da altre reti e non è connessa a Internet, gli aggressori hanno comunque modo di accedere. Ad esempio, possono creare versioni speciali di malware distribuite via driver rimovibili, come le USB.
Il problema degli aggiornamenti di sicurezza di workstation e server
I sistemi di controllo industriale hanno un funzionamento unico, per cui anche le operazioni più semplici come l’installazione di aggiornamenti di sicurezza su workstation e server hanno bisogno di essere verificate attentamente. Questi test spesso avvengono durante la manutenzione programmata e ciò fa sì che gli aggiornamenti siano poco frequenti. Questo dà agli attori degli attacchi APT tutto il tempo necessario per sfruttare le debolezze e portare a termine il proprio lavoro.
I consigli per proteggersi dagli attacchi APT
Per proteggere le aziende da minacce importanti come gli attacchi APT, gli esperti di Kaspersky consigliano:
- Se una società dispone di tecnologie operative (OT) o di infrastrutture critiche, assicurarsi che siano separate dalla rete aziendale o almeno che non vi siano connessioni non autorizzate.
- Condurre regolari controlli della sicurezza dei sistemi OT per identificare ed eliminare ogni possibile vulnerabilità che apri l’accesso agli attacchi APT.
- Stabilire un processo continuo di valutazione e di gestione delle vulnerabilità.
- Utilizzare soluzioni di monitoraggio, analisi e rilevamento del traffico della rete ICS per una migliore protezione dagli attacchi potenzialmente minacciosi per i processi tecnologici e i principali asset aziendali.
- Assicurarsi che gli endpoint industriali siano protetti così come quelli aziendali. comprendere meglio i rischi associati alle vulnerabilità nelle soluzioni OT e per prendere decisioni consapevoli sulla loro mitigazione, gli esperti raccomandato l’accesso a Kaspersky ICS Vulnerability Intelligence sotto forma di report consultabili o di feed di dati leggibili dalle macchine, a seconda delle competenze tecniche e delle necessità.
- La formazione dedicata alla sicurezza ICS per i team di sicurezza informatica o per gli ingegneri OT è indispensabile per migliorare la risposta alle tecniche malevole nuove e avanzate.
