Gli attacchi ransomware all ’ IT rappresentano una seria minaccia per i processi industriali
Un NIDS ( sistema di rilevamento delle intrusioni di rete ) come Rhebo Industrial Protector consiste in un monitoraggio OT con un rilevamento delle anomalie che analizza tutte le comunicazioni OT
sempre una falla nella sicurezza , perché il loro scudo di sicurezza è al di fuori dell ’ azienda che lo utilizza . In effetti , le aziende non possono avere certezze sul livello di sicurezza di un componente software o hardware , o sul fatto che non sia per nulla sicuro . Ciò è particolarmente vero nelle infrastrutture critiche e negli ambienti industriali , dove i componenti e i sistemi delle reti di Operational Technology ( OT ) mancano di funzioni di sicurezza oppure sono costruiti su strutture “ insicure by design ”, con vulnerabilità zero-day ancora da scoprire . Allo stesso tempo , si deve affrontare un panorama di oltre 247 milioni di minacce di tipo malware all ’ anno .
MA IL RANSOMWARE NON È SOLO PER L ’ IT ? L ’ integrazione dei sistemi , le applicazioni ( I ) IoT e la connessione dell ’ OT alle reti IT espongono questi sistemi e componenti industriali insicuri all ’ intero panorama di minacce noto all ’ IT . Questa sovrapposizione rende l ’ OT altrettanto , se non più , vulnerabile dell ’ IT . Non c ’ è da stupirsi se , secondo i dati del 2022 , le aziende manifatturiere sono state le vittime più comuni degli attacchi ransomware . Il 24,8 % degli attacchi segnalati ha colpito aziende manifatturiere , il 10,7 % aziende energetiche . Alla luce di questa realtà , quando un attacco ransomware colpisce un ’ azienda industriale è molto probabile che i processi industriali ne risentano . In particolare , per le infrastrutture critiche questo può innescare ricadute disastrose ( per esempio a livello sociale e politico ). Inoltre , nel gennaio 2023 il subchapter di Anonymous GhostSec ha annunciato di essere riuscito a criptare un ’ unità terminale remota ( RTU ) che funziona nelle reti industriali . Questi nuovi sviluppi rendono gli attacchi ransomware mirati alle reti OT un rischio molto concreto .
ATTACCHI SOFISTICATI : TROPPO VELOCI DA RILEVARE ? Gli attacchi ransomware sono percepiti come un attacco quasi istantaneo . Improvvisamente , tutti i computer sono criptati e tutti i dati sono persi . Questa percezione poteva essere vera in passato , quando il malware veniva inserito nel computer attraverso un allegato di posta elettronica malevolo e iniziava subito a crittografare il computer . Oggi gli attacchi ransomware sono più sofisticati e vanno ben oltre . Può esistere un malware crittografico confezionato come worm ( cioè con capacità di replica ) e che comunica con un server di controllo ospitato su un indirizzo IP pubblico . Questa strategia consente agli aggressori di pianificare attentamente l ’ attacco e di ottimizzare il ritorno sull ’ investimento . E così caricano ulteriori strumenti di cracking ;
scaricano e analizzano i dati aziendali per valutarne il valore , usarli per ricattare o venderli sul mercato nero ( se le trattative falliscono ); esplorano la rete per propagare ulteriormente le minacce e infettare il maggior numero possibile di dispositivi prima di attivare la crittografia . Questo processo di preparazione può durare giorni o mesi . È durante questo periodo che un sistema di rilevamento delle intrusioni di rete ( NIDS ) ha la possibilità di rilevare le attività preparatorie dell ’ aggressore , in particolare nelle prime fasi della cyber kill chain , durante la ricognizione interna e il movimento laterale . Questo rilevamento precoce , basato sul paradigma della visibilità OT , consente agli operatori di bloccare l ’ attacco prima che interrompa i sistemi e i servizi .
COME RILEVARE GLI ATTACCHI RANSOMWARE IN AMBITO OT Naturalmente , un NIDS non è destinato a sostituire gli strumenti standard della cybersecurity come i firewall , l ’ autenticazione , la segmentazione delle VPN e della rete . Queste misure standard sono ancora in grado di rilevare e bloccare in modo affidabile la maggior parte degli attacchi ( il grosso dei cyberattacchi è ancora rilevabile attraverso strumenti di sicurezza basati sulla firma ). Un NIDS serve per gli attacchi che utilizzano nuove tecniche di infiltrazione come gli exploit zero-day
60 www . thenextfactory . it
| Industria 4.0 | Tecnologie Innovative | Automazione |