“La pervasività, la vulnerabilità e la connettività cloud dell’Internet of Things (IoT) e dei dispositivi Operational Technology (OT) rappresentano una superficie di rischio in rapida, e spesso incontrollata, espansione che interessa un’ampia gamma di settori e organizzazioni”. È quanto si legge nell’introduzione alla terza edizione di Cyber Signals, il report di intelligence pubblicato da Microsoft a fine 2022 che si focalizza in particolare sulle minacce informatiche legate alla convergenza di IT e OT. Il documento cita le previsioni di IDC in merito, secondo cui entro il 2025 ci saranno 41,6 miliardi di dispositivi IoT connessi, un tasso di crescita superiore a quello delle apparecchiature IT tradizionali. Ma non bisogna attendere i prossimi anni per sapere quale sia la portata della pericolosità dovuta alle minacce in questo ambito. La si ricava facilmente dai numeri presenti nel rapporto: dal 2020 al 2022 le vulnerabilità ad alto rischio scoperte nei sistemi di controllo industriale (ISC) sono aumentate del 78%, una situazione a cui si aggiunge l’evidenza che il 75% dei controller industriali più comuni utilizzati dalle aziende nelle reti OT risulta senza patch. La cronaca degli ultimi anni, poi, è costellata di attacchi sempre più distruttivi ricordati sinteticamente nel report. Basti pensare a quello sferrato nel 2022 contro gli ICS responsabili della gestione dei sottosistemi delle centrali elettriche in Ucraina tramite una versione aggiornata del malware Industroyer che prende il nome di Industroyer 2.
Sicurezza IoT e OT, perché gli attacchi sono in aumento
A preoccupare, in realtà, non è soltanto l’aumento degli attacchi, quanto il fatto che, nonostante la sicurezza dell’IT nel corso del tempo si sia rafforzata, quella dei dispositivi IoT e OT non abbia tenuto il passo. Motivo per il quale gli aggressori li sfruttano come punto di partenza per cyber attack contro infrastrutture critiche per ottenere obiettivi di natura militare ed economica spesso mediante software exploit detti “Incontroller”. La statunitense Cybersecurity and Infrastructure Security Agency (CISA) li descrive come un nuovo set di strumenti di attacco informatico, sponsorizzati dagli Stati, in grado di bloccare impianti critici, sabotare processi industriali e disattivare i controlli di sicurezza che proteggono macchine e persone. Oggi il 72% di questi strumenti è disponibili online, con la conseguenza che la potenziale platea dei suoi utilizzatori si è ampliata enormemente, mentre si sono abbassate le competenze necessarie per chi intende avvalersene. In sostanza, perciò, a una maggiore vulnerabilità di IoT e OT corrisponde una facilità incrementale nel mettere a segno colpi mirati. L’esempio del ransomware che ha messo in ginocchio nel 2021 Colonial Pipeline, il più grande oleodotto degli Stati Uniti, è indicativo dei settori contro cui gli aggressori preferiscono infierire. Per quasi una settimana, infatti, la società è stata costretta a chiudere la sua intera rete di distribuzione, con perdite ingenti in termini di mancata fornitura e di reputation. Tuttavia, i possibili obiettivi sono molto più numerosi rispetto alle sole infrastrutture industriali.
Non solo infrastrutture critiche, ma tanti possibili bersagli
Dai controllori HVAC agli ascensori, dai semafori ai router domestici: l’elenco dei dispositivi che possono essere scelti dai malintenzionati è praticamente infinito. Soprattutto nell’era moderna, caratterizzata dalla remotizzazione di molti processi di lavoro, la convergenza tra laptop, applicazioni web, hybrid workspace e sistemi di controllo delle fabbriche (un tempo isolati fisicamente) è diventata un catalizzatore di minacce. Una semplice telecamera o una smart conference room adesso possono fungere da punto di ingresso per dare l’avvio a un’infezione su larga scala. Per questo Microsoft raccomanda di:
- mappare gli asset business-critical negli ambienti IT e OT;
- identificare quali dispositivi IoT e OT sono asset critici di per sé e quali, invece, sono quelli associati ad altri asset critici;
- eseguire un’accurata analisi dei rischi concentrandosi sull’impatto aziendale di diversi scenari di attacco;
- definire una strategia per affrontare adeguatamente i rischi identificati, dando priorità alle misure da mettere in atto.
Tra i clienti monitorati dalla multinazionale di Redmond, nel 29% dei casi il sistema operativo adoperato, come Windows XP e Windows 2000, appartiene a versioni non più supportate. Il che significa che non riceve più gli aggiornamenti necessari per mantenere le reti sicure né le patch per gestire le vulnerabilità. Inoltre, sussistono ancora sono moltissimi SCADA e sistemi industriali collegati ad applicazioni obsolete che presumibilmente non saranno aggiornati a causa dei costi troppo eccessivi che questo comporterebbe. Da qui il consiglio di Microsoft di adottare una difesa basata sul metodo zero-trust e su un monitoraggio continuo che aiuti a limitare il potenziale raggio di attacco e contenga incidenti in ambienti connessi al cloud.
Il toolkit open source di Microsoft per proteggere i PLC
Il report Cyber Signals si conclude con una sottolineatura sull’importanza delle conoscenze specifiche per comprendere lo stato di sicurezza dei controller industriali. A tal fine, gli strumenti open source possono essere un ausilio diagnostico essenziale per impedire agli aggressori di avere successo. È in questa direzione che si è mosso il team di ricerca sulla sicurezza di Microsoft Defender for IoT, Section 52, presentando a ottobre 2022, in occasione della conferenza sulla sicurezza informatica dei sistemi di controllo industriale della Security Week tenutasi ad Atlanta, la sua soluzione. Si tratta di un toolkit forense open source che consente anche ai non esperti di condurre delle apposite indagini sui propri PLC. Grazie all’analisi dei metadati dei PLC industriali e dei file di progetto, il toolkit permette di identificare artefatti sospetti nell’ambiente ICS così da individuare dispositivi compromessi durante la risposta agli incidenti o il controllo manuale. La sua caratteristica open source si presta a eventuali personalizzazioni in base alle specifiche esigenze dell’azienda, tale per cui il suo impiego è adattabile in svariati contesti industriali.