23/01/2023 di Redazione

La sicurezza nei sistemi di controllo industriali nel 2023

Cresce la digitalizzazione, ma evolve anche la tipologia di attacchi, in relazione alla diffusione del cloud. Evgeny Goncharov, responsabile dell’Ics Cyber Emergency Response Team di Kaspersky, dettaglia le previsioni per il 2023, all’insegna della recrudescenza delle minacce Apt.

Gli incidenti di cybersecurity sono stati assai frequenti nel 2022 e hanno causato numerosi problemi a proprietari e operatori di infrastrutture industriali. Tuttavia, per fortuna, non abbiamo rilevato improvvisi o catastrofici cambiamenti nel panorama complessivo delle minacce, almeno nulla che fosse troppo difficile da gestire, nonostante i coloriti titoli apparsi su molti articoli.

Il nuovo anno appare più complicato, per come lo stiamo vedendo. Molti potrebbero restare sorpresi da inaspettati mutamenti, anche se stiamo già iniziando a esaminarli fin d’ora. Esponiamo qui i nostri pensieri sui possibili sviluppi per il 2023, anche se non pretendiamo di essere esaustivi o di avere un altissimo livello di precisione.

Vedendo com’è andato il 2022, possiamo affermare che siamo entrati in un’era dove i cambiamenti più significativi del panorama delle minacce per le industrie e le infrastrutture Ot sono perlopiù determinati dai trend geopolitici e dai correlati fattori macroeconomici.

I cybercriminali sono per loro natura cosmopoliti, sebbene tendano a prestare attenzione alle tendenze politiche ed economiche per trovare facili profitti e assicurarsi una certa sicurezza personale. Le attività Apt, che sono tradizionalmente ascrivibili alle agenzie di intelligence di vari governi, avvengono sempre in congiunzione con sviluppi nelle politiche estere e nei mutevoli obiettivi all'interno dei paesi e dei blocchi intergovernativi.

Gli sviluppi nel mondo Apt
I cambiamenti politici interni ed esterno faranno sorgere nuove direzioni per gli attacchi Apt. La loro geografia cambierà inevitabilmente per seguire le trasformazioni delle alleanze tattiche esistenti e l’emergere di nuove partnership strategiche. Questo darà aumentare le tensioni di cybersicurezza fra i paesi, anche dove prima non esistevano, al punto che gli alleati di un tempo potrebbero ora diventare bersagli.

Evgeny Goncharov, responsabile dell'Ics Cyber Emergency Response Team di Kaspersky

Osserveremo molto presto un cambiamento nelle attività Apt con focus su specifiche industrie, poiché l’evoluzione delle realtà geopolitica è interconnessa con i cambiamenti economici. Quindi, potremmo presto vedere attacchi indirizzati verso i seguenti settori, tutti rappresentativi dell’economia reale:

Agricoltura, produzione di fertilizzanti, macchinari agricoli e cibo, come risultato dell’incombente crisi alimentare;
Logistica e trasporti (inclusa la movimentazione di risorse energetiche) a causa dei cambiamenti in corso nelle catene logistiche globali;
Settore energetico, minerario e di lavorazione di risorse estrattive, metallurgia ferrosa e non, industria chimica, costruzioni navali, produzione di strumenti e componenti meccaniche;
Settore delle energie alternative, specie dove si trova nell’agenda geopolitica;
Produzione di strumenti high-tech, farmaceutici e medici, poiché sono essenziali per assicurare l’indipendenza tecnologica.

Naturalmente, continueremo a vedere attacchi Apt verso bersagli tradizionali, con focus che possono includere:

Imprese del complesso militare-industriale, con tensioni geopolitiche ed escalation del confronto verso l’allarme rosso. Un’alta possibilità di scontro militare diventa il principale driver per gli attaccanti;
Settore governativo, dove ci aspettiamo attacchi indirizzati verso le informazioni collegate a iniziative governative e progetti legati ai settori industriali;
Infrastrutture critiche, con attacchi che mirano a prendersi spazio per utilizzi futuri o, in situazioni di conflitto fra paesi in una fase calda, anche per infliggere danni immediati e diretti.

Altri cambiamenti nel panorama delle minacce
Ulteriori importanti cambiamenti nel panorama delle minacce, che stiamo già osservando e pensiamo possano accrescere il proprio contributo al quadro generale, includono:

Un crescente numero di hacktivist che lavorano internamente o esternamente alle agende politiche. Questi attacchi otterranno più risultati: la quantità inizierà a trasformarsi in qualità;
Un numero in ascesa di insider volontari motivati ideologicamente e politicamente, così come insider che lavorano con gruppi criminali (soprattutto in ambito ransomware) e Apt, sia all’interno delle imprese che fra vendor e sviluppatori di tecnologia;
Gli attacchi ransomware alle infrastrutture critiche diventeranno più probabili, sotto gli auspici di paesi ostili o in nazioni incapaci di rispondere efficacemente alle minacce, contrattaccando l'infrastruttura dell'avversario e conducendo un'indagine completa che porti all’istituzione di un processo.
Le mani dei criminali informatici saranno più libere, a causa del degrado delle comunicazioni tra le forze dell'ordine di diversi paesi e una cooperazione internazionale sulla sicurezza informatica destinata a rallentare, consentendo agli attori delle minacce di attaccare liberamente obiettivi in paesi "ostili". Questo vale per tutti i tipi di minacce informatiche ed è un pericolo per le imprese di tutti i settori e per tutti i tipi di infrastrutture Ot.
Le campagne di raccolta di credenziali criminali aumenteranno in risposta alla crescente domanda di accesso iniziale ai sistemi aziendali.

Fattori di rischio dovuti a flussi e riflussi geopolitici
La situazione attuale costringe le organizzazioni industriali a fare una scelta estremamente complicata: quali prodotti utilizzare e da quali fornitori servirsi e perché.

Da un lato, stiamo assistendo a relazioni di fiducia fallimentari nelle supply chain sia per i prodotti che per i servizi (incluso l'Oem), il che a sua volta aumenta i rischi nell'utilizzo di molti dei prodotti a cui le aziende sono abituate:

Diventa più difficile distribuire gli aggiornamenti di sicurezza quando i fornitori terminano il supporto per i prodotti o lasciano il mercato.
Ciò è ugualmente applicabile al degrado della qualità delle soluzioni di sicurezza quando gli aggiornamenti regolari cessano a causa dell'abbandono del mercato dei fornitori di sicurezza.
Non possiamo escludere del tutto la possibilità che vengano applicate pressioni politiche per armare prodotti, tecnologie e servizi di alcuni operatori minori del mercato. Quando si tratta di leader del mercato globale e fornitori rispettati, tuttavia, riteniamo che ciò sia estremamente improbabile.

Dall’altro lato, la ricerca di soluzioni alternative può essere estremamente complicata. I prodotti di fornitori locali, la cui cultura di sviluppo sicuro, come abbiamo spesso riscontrato, è significativamente inferiore a quella dei leader globali, possono presentare errori di sicurezza "sciocchi" e vulnerabilità zero-day, rendendoli facili prede sia per i cybercriminali che per gli hacktivist.

Le organizzazioni con sede in paesi in cui la situazione politica non richiede di affrontare le questioni di cui sopra, dovrebbero comunque considerare fattori di rischio che riguardano tutti:

La qualità della threat detection diminuisce man mano che gli sviluppatori perdono alcuni mercati, con la conseguente fuoruscita prevista di alcuni dei loro esperti qualificati sui sistemi informativi. Questo è un fattore di rischio reale per tutti i fornitori di sicurezza che subiscono pressioni politiche.
Le interruzioni di comunicazione tra sviluppatori e ricercatori situati su lati opposti della nuova "cortina di ferro" o addirittura sullo stesso lato (a causa della maggiore concorrenza sui mercati locali) ridurranno senza dubbio i tassi di rilevamento delle soluzioni di sicurezza attualmente in fase di sviluppo.
Diminuzione della qualità della Cti: attribuzione infondata di minacce cyber politicamente motivate, minacce esagerate, criteri più di validità degli statement a causa di pressioni politiche e nel tentativo di utilizzare la narrazione politica del governo per ottenere profitti aggiuntivi.
I tentativi dei governi di consolidare le informazioni su incidenti, minacce e vulnerabilità e di limitare l'accesso a queste informazioni sminuiscono la consapevolezza generale, poiché le informazioni possono talvolta essere tenute segrete senza buone ragioni.
Allo stesso tempo, ciò si traduce in un aumento del rischio di fughe di dati riservati (esempio: PoC di un Rce pubblicato per errore in un database di vulnerabilità nazionale). Questo problema potrebbe essere affrontato costruendo un'ampia capacità di cybersicurezza nel settore pubblico per assicurare che sia sempre garantito un trattamento responsabile delle informazioni sensibili sulla cybersicurezza e un'efficiente comunicazione coordinata delle vulnerabilità.
Ulteriori rischi It dovuti al ruolo crescente dei governi nelle attività operative delle imprese industriali, comprese le connessioni a cloud e servizi governativi, che a volte possono essere meno protetti di alcuni dei migliori servizi privati.

Tecniche e tattiche più degne di nota negli attacchi futuri
Proviamo a concentrarci sul centro dello spettro: le tecniche e le tattiche utilizzate dai gruppi APT più attivi, la cui attività è solitamente data come allineata gli interessi dei paesi del Medio Oriente e dell'Estremo Oriente, oltre a essere utilizzata dai cybercriminali più avanzati, come le bande di ransomware.

Sulla base della nostra esperienza nell'indagare su tali attacchi e sui relativi incidenti, riteniamo che gli specialisti della sicurezza informatica di Ics debbano concentrarsi sulle seguenti tattiche e tecniche:

Pagine e script di phishing incorporati in siti legittimi.
L'uso di pacchetti di distribuzione "crackati" trojanizzati, patch e generatori di chiavi per software di uso comune e specializzato (questo sarà stimolato dall'aumento dei costi di licenza e dall'uscita di fornitori da determinati mercati a causa della pressione politica).
E-mail di phishing su eventi attuali con argomenti particolarmente drammatici, inclusi eventi le cui cause profonde sono di natura politica.
Documenti rubati in precedenti attacchi a organizzazioni collegate o partner utilizzati come esca nelle e-mail di phishing.
La distribuzione di e-mail di phishing camuffate da corrispondenza di lavoro legittima tramite caselle di posta compromesse.
Vulnerabilità N-day: queste verranno chiuse ancora più lentamente man mano che gli aggiornamenti di sicurezza per alcune soluzioni diventeranno meno accessibili.
Sfruttamento di errori di configurazione insensati (come la mancata modifica delle password predefinite) e vulnerabilità zero-day nei prodotti di "nuovi" fornitori, compresi quelli locali. Le implementazioni di massa di tali prodotti sono inevitabili, nonostante i seri dubbi sulla maturità della sicurezza degli sviluppatori.
Sfruttare gli errori di configurazione nelle soluzioni di sicurezza. Ciò include la possibilità di disabilitare un prodotto antivirus senza inserire una password di amministratore (l'antivirus è quasi inutile se un utente malintenzionato può disabilitarlo facilmente). Un altro esempio potrebbe essere la scarsa sicurezza dei sistemi di gestione centralizzata della soluzione IT. In questo caso, le soluzioni IT non sono solo facili da aggirare, ma possono anche essere utilizzate per spostarsi lateralmente, ad esempio per distribuire malware o ottenere l'accesso per isolare segmenti di rete e aggirare le regole di controllo degli accessi.
Sfruttare le vulnerabilità nel software legittimo, ad esempio utilizzando Dll Hijacking e Byovd (Bring Your Own Vulnerable Driver) per aggirare le soluzioni di sicurezza degli endpoint.ù
Distribuzione di malware tramite supporti rimovibili per superare i vuoti d'aria, nei casi in cui esistono effettivamente dei vuoti d'aria.

Alcune considerazioni finali
Scrivendo di potenziali problemi futuri, non abbiamo cercato di descrivere un insieme completo di potenziali minacce. Invece, abbiamo tentato di trasmettere l'impressione di un carattere globale degli sviluppi imminenti e di incoraggiare i nostri lettori a valutare quei problemi (compresi quelli simili non menzionati specificamente in questo articolo) che sono più rilevanti per la loro organizzazione.

Abbiamo incluso solo gli sviluppi e descritto solo i rischi che riteniamo essere più diffusi e generalmente applicabili a molte organizzazioni in molti paesi. Pertanto, abbiamo formulato previsioni meno specifiche di proposito.

Le nostre previsioni sono la somma delle opinioni di tutto il nostro team basate sull’esperienza collettiva nella ricerca di vulnerabilità e attacchi e nelle indagini sugli incidenti, nonché sulla nostra visione personale dei principali vettori che guidano i cambiamenti nel panorama delle minacce. Saremo molto felici se una qualsiasi delle nostre previsioni negative non si avvererà nel 2023.

La sicurezza nei sistemi di controllo industriali nel 2023

ARTICOLI CORRELATI

Vanno estese al cloud le azioni di detection and response
23/02/2024 di Redazione

Idee per prevenire gli attacchi informatici alla supply chain
19/02/2024 di Redazione

Phishing e frodi, le grandi aziende italiane migliorano ma di poco
08/02/2024 di Redazione

La resilienza informatica: un'illusione di maturità?
09/01/2024 di Redazione

Alla digital leadership in azienda concorrono anche i Cfo
27/02/2024 di Redazione

Technopolis 62
03/05/2024

L'intelligenza artificiale rivoluziona la finanza, ma l'Italia è pronta?
22/02/2024 di Redazione

Il 2024, anno decisivo per la modernizzazione degli ambienti Sap
16/01/2024 di Sandro Castro

Phishing e i ransomware sono le principali minacce per il finance
12/01/2024 di Redazione

La resilienza informatica: un'illusione di maturità?
09/01/2024 di Redazione

La sicurezza nei sistemi di controllo industriali nel 2023

ARTICOLI CORRELATI

Vanno estese al cloud le azioni di detection and response 23/02/2024 di Redazione

Idee per prevenire gli attacchi informatici alla supply chain 19/02/2024 di Redazione

Phishing e frodi, le grandi aziende italiane migliorano ma di poco 08/02/2024 di Redazione

La resilienza informatica: un'illusione di maturità? 09/01/2024 di Redazione

Alla digital leadership in azienda concorrono anche i Cfo 27/02/2024 di Redazione

Technopolis 62 03/05/2024

L'intelligenza artificiale rivoluziona la finanza, ma l'Italia è pronta? 22/02/2024 di Redazione

Il 2024, anno decisivo per la modernizzazione degli ambienti Sap 16/01/2024 di Sandro Castro

Phishing e i ransomware sono le principali minacce per il finance 12/01/2024 di Redazione

La resilienza informatica: un'illusione di maturità? 09/01/2024 di Redazione

Vanno estese al cloud le azioni di detection and response
23/02/2024 di Redazione

Idee per prevenire gli attacchi informatici alla supply chain
19/02/2024 di Redazione

Phishing e frodi, le grandi aziende italiane migliorano ma di poco
08/02/2024 di Redazione

La resilienza informatica: un'illusione di maturità?
09/01/2024 di Redazione

Alla digital leadership in azienda concorrono anche i Cfo
27/02/2024 di Redazione

Technopolis 62
03/05/2024

L'intelligenza artificiale rivoluziona la finanza, ma l'Italia è pronta?
22/02/2024 di Redazione

Il 2024, anno decisivo per la modernizzazione degli ambienti Sap
16/01/2024 di Sandro Castro

Phishing e i ransomware sono le principali minacce per il finance
12/01/2024 di Redazione

La resilienza informatica: un'illusione di maturità?
09/01/2024 di Redazione