Trace Id is missing

La convergenza di IT e OT

Scarica
Condividi
Nuovi segnali informatici da Microsoft

Problema 3 Cyber Signals: I rischi informatici per l'infrastruttura critica sono sempre di più

La diffusione, la vulnerabilità e la connettività cloud dei dispositivi IoT e OT rappresentano una superficie di rischio in rapida espansione e spesso non controllata che interessa una serie più ampia di settori e organizzazioni. Un IoT in rapida crescita crea un punto di ingresso e una superficie di attacco di grandi dimensioni per gli utenti malintenzionati. Con l'OT sempre più connessa al cloud e il gap IT-OT che si sta chiudendo, l'accesso a una OT meno sicura sta aprendo le porte ad attacchi all'infrastruttura distruttivi
Microsoft ha identificato vulnerabilità gravi senza patch nel 75% dei controller industriali più comuni nelle reti OT cliente.1
Guarda il briefing digitale di Cyber Signals in cui Vasu Jakkal, CVP of Microsoft Security, intervista i principali esperti di intelligence sulle vulnerabilità IoT e OT e su come proteggersi.

Briefing digitale: La convergenza di IT e OT

Gli avversari compromettono i dispositivi connessi a Internet per ottenere l'accesso a reti di infrastrutture critiche sensibili.

Nell'ultimo anno, Microsoft ha osservato minacce che sfruttano i dispositivi in quasi ogni parte monitorata e visibile di un'organizzazione. Abbiamo osservato queste minacce nelle apparecchiature IT tradizionali, nei controller OT e nei dispositivi IoT come router e fotocamere. Il picco nella presenza degli utenti malintenzionati in questi ambienti e reti è alimentato dalla convergenza e dall'interconnettività che molte organizzazioni hanno scelto negli ultimi anni.

L'International Data Corporation (IDC) stima che ci saranno 41,6 miliardi di dispositivi IoT connessi entro il 2025, con un tasso di crescita superiore a quello dei dispositivi IT tradizionali. Anche se la sicurezza delle apparecchiature IT si è rafforzata negli ultimi anni, la sicurezza dei dispositivi IoT e OT non ha tenuto il passo e gli attori di minaccia stanno sfruttando questi dispositivi.

È importante ricordare che gli utenti malintenzionati possono avere motivi diversi per compromettere dispositivi diversi dai tipici portatili e smartphone. Gli attacchi informatici della Russia contro l'Ucraina e qualsiasi altra attività di criminali informatici sponsorizzata da una nazione-stato, dimostrano che alcuni stati-nazione considerano gli attacchi informatici contro infrastrutture critiche un metodo valido per raggiungere obiettivi economici e militari.

Il 72% degli exploit software ha utilizzato "Incontroller" che la Cybersecurity and Infrastructure Security Agency (CISA) descrive come un nuovo set di strumenti di attacco informatico orientati ai sistemi ICS, ora disponibili online. Tale proliferazione favorisce una più ampia attività di attacco da parte di altri attori, poiché competenze e altre barriere all'ingresso diminuiscono.

Man mano che l'economia dei criminali informatici si espande e i software dannosi destinati ai sistemi OT diventano più comuni e facili da usare, gli attori di minacce dispongono di diversi modi di montare attacchi su larga scala. Gli attacchi ransomware, percepiti in precedenza come un vettore di attacco basato su IT, stanno oggi colpendo gli ambienti OT come visto nell'attacco Colonial Pipeline, dove i sistemi OT e le operazioni della pipeline sono stati arrestati temporaneamente mentre i team di risposta all'incidente lavoravano per identificare e contenere la diffusione del ransomware sulla rete IT aziendale. Gli antagonisti capiscono che l'impatto finanziario e lo sfruttamento dell'estorsione derivanti dall'arresto dell'energia e di altre infrastrutture critiche sono ben più elevati rispetto ad altri settori.

I sistemi OT includono praticamente ogni operazione di supporto fisico, tra decine di settori verticali. I sistemi OT non sono limitati solo ai processi industriali, possono trattarsi di attrezzature per scopi speciali o computerizzate, come controller HVAC, ascensori e semafori. Diversi sistemi di sicurezza rientrano nella categoria dei sistemi OT.

Microsoft ha osservato attori di minacce collegati alla Cina rivolti a router domestici o di piccoli uffici per compromettere questi dispositivi trasformandoli in punti di appoggio, dando loro un nuovo spazio indirizzi meno associato alle precedenti campagne, da cui lanciare nuovi attacchi.

Anche se la prevalenza di vulnerabilità IoT e OT presenta una sfida di tutte le organizzazioni, l'infrastruttura critica è soggetta a maggiore rischio. Disabilitare i servizi critici, non per forza distruggerli, è un potente strumento.

Consigli:

  • Lavora con gli stakeholder: mappa le risorse critiche per l'azienda, negli ambienti IT e OT.
  • Visibilità del dispositivo: Identifica quali dispositivi IoT e OT sono risorse critiche e che sono associati ad altre risorse critiche.
  • Esegui un analisi dei rischi su risorse critiche: Concentrati sull'impatto aziendale di diversi scenari di attacco come suggerito da MITRE.
  • Definisci una strategia: affronta i rischi identificati, stabilendo la priorità in base all'impatto aziendale.

IoT introduce nuove opportunità aziendali, ma anche un grande rischio

 

Man mano che IT e OT convergono per supportare esigenze aziendali in espansione, la valutazione del rischio e la definizione di una relazione più sicura tra IT e OT richiedono la considerazione di diverse misure di controllo. I dispositivi soggetti a air gap e la sicurezza del perimetro non sono più sufficienti ad affrontare e a difendersi da minacce moderne come software dannosi sofisticati, attacchi mirati e insider dannosi. La crescita delle minacce malware IoT, ad esempio, riflette l'espansione del panorama e il possibile superamento dei sistemi vulnerabili. Analizzando i dati relativi alle minacce del 2022 in diversi paesi, i ricercatori Microsoft hanno individuato che la più grande quota di software dannoso IoT, il 38% del totale, si è originata da una grande footprint di rete in Cina. I server infettati negli Stati Uniti hanno messo gli Stati Uniti al secondo posto, con il 18% di distribuzione di software dannoso osservata.

Gli utenti malintenzionati avanzati stanno sfruttando diverse tattiche e diversi approcci negli ambienti OT. Molti di questi approcci sono comuni negli ambienti IT ma sono più efficaci negli ambienti OT, come l'individuazione di sistemi Internet esposti, uso improprio delle credenziali di accesso degli utenti o lo sfruttamento di accesso alle reti concesso a fornitori e appaltatori di terze parti.

La convergenza tra i portatili del mondo IT, le applicazioni Web e le aree di lavoro ibride e i sistemi di controllo associato a stabilimenti ed edifici del mondo OT comporta conseguenze di rischio gravi concedendo agli utenti malintenzionati l'opportunità di "saltare" gli air gap tra sistemi fisicamente isolati in precedenza. In tal modo, i dispositivi IoT come fotocamere e sale conferenza smart diventano catalizzatori di rischi creando nuovi punti di accesso alle aree di lavoro e ad altri sistemi IT.

Nel 2022, Microsoft ha assistito un'importante azienda globale alimentare, che usava sistemi operativi molto obsoleti per gestire le operazioni della fabbrica, durante un incidente causato da un software dannoso. Eseguendo la manutenzione di routine su apparecchiature che sarebbero poi state connesse a Internet, è stato diffuso software dannoso nei sistemi dell'impianto attraverso il portatile compromesso di un appaltatore.

Sfortunatamente, questo sta diventando uno scenario abbastanza comune. Se un ambiente ICS può essere sottoposto a air gap e isolato da Internet, quando un portatile compromesso viene connesso a un dispositivo o una rete OT in precedenza sicuri, diventa vulnerabile. Tra le reti cliente che Microsoft monitora, nel 29% dei casi i sistemi operativi Windows hanno versioni non più supportate. Abbiamo osservato versioni come Windows X e Windows 2000 in funzione in ambienti vulnerabili.

Poiché i sistemi operativi meno recenti spesso non ricevono gli aggiornamenti necessari per mantenere le reti sicure e l'applicazione di patch è complessa nelle grandi aziende o negli impianti di produzione, dare priorità alla visibilità dei dispositivi IT, OT e IoT è un importante primo passaggio per la gestione delle vulnerabilità e la protezione degli ambienti.

Una difesa basata su Zero Trust, un'applicazione efficace dei criteri e il monitoraggio continuo può contribuire a limitare il potenziale raggio d'azione e impedire o contenere incidenti come questo negli ambienti connessi al cloud.

L'analisi delle apparecchiature OT richiede conoscenze specifiche e comprendere lo stato di sicurezza dei controller industriali è cruciale. Microsoft ha rilasciato uno strumento forense open source per la community di difensori, per aiutare coloro che rispondono agli incidenti e gli specialisti della sicurezza a comprendere meglio i propri ambienti e ad analizzare potenziali incidenti.

Anche se la maggioranza pensa all'infrastruttura critica come a strade e ponti, trasporto pubblico, aeroporti e sistemi idrici ed elettrici, CISA ha recentemente raccomandato che lo spazio e la bioeconomia diventino nuovi settori dell'infrastruttura critica, facendo riferimento alla possibilità di interruzione in diversi settori dell'economia statunitense che potrebbero avere un impatto negativo sulla società. Dato che il poter fare affidamento sui satelliti ha aperto a nuove capacità, le minacce informatiche in questi settori potrebbero avere implicazioni globali ben oltre quanto osservato finora.

Consigli

  • Implementare nuovi criteri migliorati: I criteri che derivano dalla metodologia e dalle best practice Zero Trust offrono un approccio olistico per garantire sicurezza e governance in tutti i dispositivi.
  • Adottare una soluzione di sicurezza completa e dedicata: Abilita visibilità, monitoraggio continuo, valutazione della superficie di attacco, rilevamento delle minacce e risposta.
  • Formare: I team addetti alla sicurezza richiedono formazione specifica sull'origine delle minacce da o verso sistemi IoT/OT.
  • Esaminare i mezzi di incremento delle operazioni per la sicurezza esistenti: Risolvi i problemi di sicurezza IoT e OT per raggiungere un SOC IT e OT unificato in tutti gli ambienti.

Scopri di più su come proteggere l'organizzazione con le informazioni dettagliate di David Atch, Microsoft Threat Intelligence, Head of IoT/OT Security Research.

Dal 2020 al 2022, c'è stato un aumento del 78%nella divulgazione di vulnerabilità di gravità elevata nelle apparecchiature di controllo industriali prodotte da noti fornitori.1

Microsoft ha identificato vulnerabilità gravi senza patch nel 75% dei controller industriali più comuni nelle reti OT cliente.1

Oltre 1 milione di dispositivi connessi pubblicamente visibili su Internet ancora eseguono Boa, un software obsoleto e non supportato ancora largamente usato nei dispositivi IoT e negli SDK.1
  1. [1]

    Metodologia: Per i dati dell'istantanea, le piattaforme Microsoft tra cui Microsoft Defender for IoT, Microsoft Threat Intelligence Center e Microsoft Digital Crimes Unit (DCU) hanno fornito dati anonimi relativi alle vulnerabilità dei dispositivi, quali stati e versioni di configurazione e dati sull'attività di minaccia su componenti e dispositivi. Inoltre, i ricercatori usano i dati di origini pubbliche, come il National Vulnerability Database (NVD) e la Cybersecurity & Infrastructure Security Agency (CISA). I dati su "vulnerabilità di gravità elevata senza patch nel 75% dei controller industriali più comuni nelle reti OT del cliente" si basano sugli impegni Microsoft nel 2022. I sistemi di controllo negli ambienti critici includono dispositivi elettronici o meccanici che utilizzano loop di controllo per aumentare produttività, efficienza e sicurezza.

Cyber Signals Resilienza informatica Dispositivi e infrastruttura Vulnerabilità

Articoli correlati

Profilo dell'esperto: David Atch

Nel nostro ultimo profilo dell'esperto, abbiamo parlato con David Atch, responsabile della ricerca sulla sicurezza IoT/OT presso Microsoft, per parlare dei crescenti rischi per la sicurezza della connettività IoT e OT.
Scopri di più

L'aumento di minacce informatiche in risposta alla crescente connettività IoT/OT

Nel nostro ultimo report illustriamo come la crescente connettività IoT/OT sta causando vulnerabilità maggiori e più gravi che possono essere sfruttate dagli attori di minacce organizzati.
Scopri di più

Problema 2 Cyber Signals: Economia basata sull'estorsione

Ascolta gli esperti sul campo sullo sviluppo di ransomware come servizio. Dai programmi e i payload ai broker di accesso e affiliati, scopri gli strumenti, le tattiche e i target preferiti dai criminali informatici e ottieni indicazioni su come proteggere la tua organizzazione.
Scopri di più

Segui Microsoft Security