DIGITAL
o altre tecniche come lo spear phishing , che superano le misure di mitigazione classiche quali l ’ autenticazione e i filtri dei firewall . Considerando l ’ elevata vulnerabilità dei componenti e dei sistemi OT e la rapida evoluzione del panorama delle minacce , come descritto in precedenza l ’ aggiunta del NIDS è sempre più importante per la sicurezza OT . Un NIDS come Rhebo Industrial Protector consiste in un monitoraggio OT con un rilevamento delle anomalie che analizza tutte le comunicazioni OT e segnala qualsiasi attività che si discosta dalla comunicazione deterministica e autorizzata . Fornisce una seconda linea di difesa ai responsabili della sicurezza per rilevare gli attacchi che sono già penetrati nella rete e si stanno facendo strada in modo furtivo .
PREVENIRE LA CRITTOGRAFIA Due famosi esempi reali di incidenti cyber di questo tipo sono la campagna ransomware WannaCry del 2017 , che ha sfruttato l ’ allora vulnerabilità EternalBlue , e il caso di Colonial Pipeline del 2021 , in cui gli aggressori hanno utilizzato una password VPN rubata . In entrambi i casi , i firewall e le misure di autenticazione sono stati superati . Sebbene entrambi gli attacchi abbiano preso di mira l ’ IT , hanno avuto ripercussioni molto negative sui processi industriali di alcune aziende a causa della connessione tra IT e OT .
A sinistra : Rhebo Industrial Protector fornisce una seconda linea di difesa ai responsabili della sicurezza per rilevare gli attacchi che sono già penetrati nella rete e si stanno facendo strada in modo furtivo
Sotto : considerando l ’ elevata vulnerabilità dei componenti e dei sistemi OT e la rapida evoluzione del panorama delle minacce l ’ aggiunta del NIDS si rivela sempre più importante per la sicurezza OT
LA CAMPAGNA WANNACRY Prima che WannaCry paralizzasse le operazioni di migliaia di aziende in tutto il mondo , aveva già lasciato una scia di comunicazioni preparatorie nelle reti . Il motivo è che WannaCry è stato attivato nella rete solo dopo che tutti i possibili bersagli erano stati infettati . Tra questi i sistemi Windows , ormai comuni anche negli ambienti OT . Un monitoraggio di rete con rilevamento delle anomalie avrebbe rilevato la scansione dell ’ endpoint tramite la porta 445 con il protocollo SMB e TCP incompleto . Inoltre , prima di essere attivato , WannaCry comunicava tipicamente con il dominio kill switch al di fuori della rete aziendale . Questa connessione e la successiva comunicazione sarebbero state segnalate come anomalie rispetto alla struttura di comunicazione OT di base .
IL CASO COLONIAL PIPELINE Prima che gli aggressori criptassero i server di Colonial Pipeline e bloccassero la conduttura principale dell ’ azienda , avevano già lasciato diverse impronte digitali nella rete . Innanzitutto , c ’ è il trasferimento di dati da 100 GB a un indirizzo IP sconosciuto . In secondo luogo , c ’ è la connessione VPN da un indirizzo IP esterno sconosciuto . In una rete OT , tali attività sarebbero state immediatamente segnalate come anomalie da un monitoraggio OT con rilevamento delle anomalie , che avrebbe dato ai responsabili della sicurezza una finestra temporale per prevenire ulteriori attività dannose . Nel caso di Colonial Pipeline è stato solo l ’ IT a essere direttamente colpito . Tuttavia , ciò ha indotto l ’ azienda a spegnere i propri sistemi OT per evitare un ’ ulteriore diffusione del ransomware . Pur trattandosi di una misura di buon senso , la conseguenza è stata una grave carenza di petrolio e gas e una perdita di fatturato . Con un monitoraggio OT dotato di rilevamento delle anomalie l ’ azienda sarebbe stata in grado di effettuare rapidamente un controllo incrociato delle reti OT , individuando eventuali attività dannose . Questo avrebbe fornito agli operatori della sicurezza la certezza che l ’ OT fosse infetto o meno , dando loro la possibilità di decidere sulla base di fatti e non di presunzioni .
ASSICURARSI CHE IL PROPRIO OT SIA INVIOLATO Entrambe le capacità - rilevare in tempo reale qualsiasi attività dannosa nell ’ OT ed essere in grado di valutare rapidamente il rischio per l ’ OT di un attacco ransomware IT - possono essere decisive per superare un blackout nelle utility . Nel giugno 2022 , la società tedesca Entega è stata colpita da un attacco ransomware . La sua filiale , l ’ azienda di servizi pubblici e-netz Südhessen , rischiava una ricaduta che avrebbe compromesso la fornitura di energia a un milione di persone . L ’ azienda di servizi pubblici ha immediatamente chiesto a Rhebo di condurre una valutazione della sicurezza industriale che comprendesse l ’ analisi delle comunicazioni OT dell ’ ultimo mese . Nel giro di 24 ore il responsabile della sicurezza di e-netz ha potuto tranquillizzarsi . L ’ OT non mostrava alcuna traccia del ransomware né alcun segno di attività dannosa che potesse essere associata all ’ attacco . Tuttavia , la valutazione ha rilevato un paio di vulnerabilità e rischi che il responsabile della sicurezza è stato in grado di mitigare nel periodo successivo . In questo modo è riuscito a prevenire l ’ arresto , a garantire la fornitura di energia e ad aumentare la resilienza cyber dei processi industriali .
| Industria 4.0 | Tecnologie Innovative | Automazione | www . thenextfactory . it 61