Nel 2019 sono state rilevate 103 nuove vulnerabilità, che potrebbero essere potenzialmente sfruttate dagli attacchi informatici per colpire i sistemi di controllo industriale. È uno dei dati contenuti nel nuovo report ICS Cert di Kaspersky che nel 2018 ne aveva riscontrate 61. Lo sfruttamento delle diverse vulnerabilità del software è uno dei tanti metodi attraverso cui è possibile attaccare i sistemi di automazione industriale. Le vulnerabilità rilevate dall’ICS Cert di Kaspersky nel 2019 sono state individuate nei software di automazione e nei sistemi di controllo industriale e dell’Internet of Things (IoT) più comunemente utilizzati.
Le criticità sono state riscontrate negli strumenti di amministrazione remota (34), SCADA (18), software di backup (10), nonché nei prodotti IoT, nelle soluzioni per smart building, PLC e in altri componenti industriali.
L’efficacia della risposta a queste e ad altre minacce può dipendere dal livello di preparazione dei team di sicurezza di operational technology (OT).
Che cos’è l’ICS Threat Intelligence Reporting?
Nel nuovo servizio all-in-one ICS Threat Intelligence Reporting di Kaspersky sono disponibili approfondimenti sulle minacce attuali e sui vettori di attacco, nonché sugli elementi più vulnerabili dei sistemi di controllo OT e industriali. Questo servizio offre un unico punto di accesso ai report nuovi e a quelli già disponibili in precedenza e offre edizioni approfondite con analisi delle nuove minacce avanzate, anteprime complete del quadro complessivo delle minacce industriali e approfondimenti esclusivi sulle minacce in aree e settori specifici. L’analisi prende in esame i metodi di attacco e i toolset malevoli, tra cui gli exploit e i malware utilizzati, oltre ad altri importanti fattori e attributi delle minacce. Questi dati possono aiutare i team di sicurezza a eseguire una valutazione della sicurezza del sistema industriale di un’azienda, a identificare con maggiore precisione le attività dannose e ad attribuirle agli ultimi autori delle minacce rivelati da Kaspersky.
Il servizio offre anche un’analisi dettagliata delle vulnerabilità individuate da Kaspersky, come i problemi di sicurezza che causano una vulnerabilità e ne consentono lo sfruttamento, i possibili vettori di attacco e altre informazioni tecniche che aiutano i clienti a comprendere il rischio di un loro potenziale sfruttamento da parte di attaccanti.
I team di sicurezza di OT possono inoltre accedere ad avvisi specifici sulle vulnerabilità rilevate in precedenza. A differenza degli avvisi disponibili tramite fonti pubbliche, che non sempre includono tutte le informazioni di base e le raccomandazioni pratiche, il servizio di Kaspersky aggrega tutte le
informazioni disponibili sulla vulnerabilità e fornisce indicazioni su come procedere. Ciò semplifica le valutazioni delle vulnerabilità dei clienti, aiutandoli a implementare le adeguate misure di mitigazione nel caso in cui le patch non siano ancora disponibili o non possano essere installate a causa, per esempio, di esigenze di continuità dei processi, esigenze di certificazione del sistema o problemi di compatibilità.
I report sono disponibili in formato human-readable ma includono anche artefatti tecnici, come gli indicatori di compromissione (IoC) in modelli di livello industriale (OpenIOC, STIX, YARA e regole SNORT), in modo che i clienti possano integrarli nelle loro soluzioni di sicurezza per migliorare il rilevamento degli incidenti e la risposta agli stessi.
“Tutte le risorse per questo nuovo servizio sono state sviluppate da esperti del Kaspersky Industrial Systems Emergency Response Team e si basano sulle conoscenze acquisite in anni di ricerca dedicata alle minacce e alle vulnerabilità nel settore industriale. Il nostro intento è quello di condividere le nostre scoperte con le organizzazioni industriali in modo semplice, fornendo anche indicazioni su come procedere. Inoltre, riteniamo che le informazioni siano estremamente interessanti anche per un pubblico più ampio, come, per esempio, i CERT statali, i vendor nel campo dell’automazione industriale, i provider di servizi di sicurezza informatica e gli sviluppatori di prodotti di sicurezza ICS. L’abbonamento al servizio, unitamente ai feed dei dati sulle minacce ICS, può aiutarli a modificare i loro prodotti e servizi in linea con le più recenti informazioni sulle minacce su scala mondiale negli ambienti ICS, individuate dalle fonti di telemetria di Kaspersky”, ha affermato Evgeny Goncharov, Head of ICS CERT di Kaspersky.
