Il 93% degli specialisti di sicurezza OT ammette di aver subito un’incidente negli ultimi 12 mesi, e il 78% ne dichiara più di tre. La sicurezza delle reti e degli ambienti operativi (OT) è diventata una priorità in molti settori, perché i sistemi OT sono più vulnerabili di quelli IT, e per questo gli investimenti crescono rapidamente, totalizzando un +21% di CAGR fino al 2027 rispetto al +16% verso la componente IT. Il fine ultimo, sintetizzato in modo chiaro dagli analisti di Fortinet, è far sì che le posture di sicurezza IT e OT siano entrambe pronte per attacchi informatici che diventano ogni giorno più sofisticati.
15 anni di minacce, da Stuxnet a Triton
Partiamo dicendo che negli ultimi 15 anni gli attacchi OT hanno avuto due caratteristiche ben definite: erano pochi (almeno, quelli pubblici) e di grande impatto. Nel 2010, fece scuola Stuxnet e diventò l’attacco alle infrastrutture critiche per antonomasia, portando alla compromissione di 900 centrifughe iraniane dedicate all’arricchimento dell’uranio.
Pur non raggiungendo il medesimo livello di esposizione mediatica, gli attacchi ai sistemi ICS (Industrial Control System) sono continuati con Duqu, noto per sfruttare vulnerabilità zero-day degli ambienti windows a fini di spionaggio e sabotaggio, ovvero per raccogliere informazioni dettagliate su infrastrutture critiche, compresi schemi di rete, componenti degli ambienti operativi e altri dati sensibili. Oggi, tra l’altro, si parla con insistenza (e timore) di Duqu 2.0.
Negli anni, non furono da meno Havex, un trojan indirizzato agli ambienti ICS, e soprattutto Black Energy, il malware dedicato ai sistemi SCADA dei network energetici. Venne sviluppato nei primi anni 2000, venduto nel 2007 a diversi threat actor che lo affinarono progressivamente rendendolo un’Advanced Persistent Threat, o ATP. Lo ritroviamo negli attacchi contro network energetici georgiani, in quelli indirizzati ai sistemi di distribuzione ucraini e in molti altri casi.
Non da ultimo, rientra nella rassegna Triton, un malware indirizzato specificamente ai sistemi di sicurezza industriale; mentre infatti la sicurezza IT protegge la cosiddetta triade CIA del dato, che si sostanzia in confidenzialità, integrità e disponibilità, gli attacchi OT sono indirizzati alle componenti SPR, ovvero Safety, Productivity e Reliability. Un attacco diretto alla safety di un processo operativo può avere conseguenze letteralmente disastrose per la sicurezza delle persone.
Gli attacchi statali sono solo il 13%. Tutto il resto è estorsione
Per quanto concerne le tecniche di attacco alle componenti OT, viene in soccorso l’ottimo Security Navigator 2024 di Orange Security, che dedica alla tecnologia operativa un approfondimento ad hoc.
Sono diversi i messaggi rilevanti, primo fra i quali il fatto che gli attacchi state-sponsored, tipicamente associati alla manomissione di infrastrutture critiche, non sono prevalenti. C’è quindi una percezione errata del fenomeno, e anche piuttosto pericolosa perché potrebbe far sentire le aziende al sicuro in quanto non strategiche. In realtà, il 61% degli attacchi ha una finalità criminale diretta, ovvero è indirizzata all’estorsione.
2020, la presa di coscienza della OT security
Gli analisti hanno registrato un’impennata straordinaria di attacchi (pubblici) verso componenti OT a partire dal 2020. Se si considera il numero di vittime, nel 2022 sono state quasi 20 volte superiori rispetto al 2018, e per una volta il covid non c’entra nulla. Piuttosto, c’entra il fatto che il 2020 è stato l’anno in cui la dinamica della doppia estorsione ha preso piede: qui, sono gli stessi criminali a rendere pubblica la sottrazione dei dati, determinando un’impennata di casi registrati, molti dei quali indirizzati (anche) alle componenti operative.
Non è quindi detto che nel 2020 ci sia stata effettivamente un’impennata di attacchi OT targeted, ma le aziende si sono rese conto di quanto siano frequenti e, di conseguenza, sia necessario correre ai ripari. Questa volta, non tanto per tutelare i propri dati ma la continuità della produzione e la sicurezza delle persone.
Come avviene un attacco OT? L’83% usa tecniche IT
Per potersi difendere in modo efficace, le aziende devono conoscere le principali dinamiche di attacco verso i componenti delle reti industriali, dalle workstation operative ai sistemi SCADA e PLC, fino ai componenti di campo come sensori e attuatori.
La prima cosa interessante è che, stando al Security Navigator 2024, l’83% degli attacchi è effettuato attraverso TTP (tattiche, tecniche e procedure) del mondo IT. Il motivo è presto detto: sono più conosciute, è più facile reperire le competenze, è in atto una certa industrializzazione delle tecniche e, cosa tutt’altro che secondaria, sono efficaci.
Volendo approfondire, la questione si complica non poco. In un contesto industriale, infatti, gli IT TTP possono essere indirizzati sia alle componenti IT (attacchi IT targeted), che a quelle OT (attacchi OT targeted). Se il primo caso è facilmente comprensibile, poiché si tratta di attaccare un ERP, un sistema di inventory management o un e-commerce, il secondo si spiega con il fatto che anche le componenti OT, come i sistemi HMI o le engineering workstation, sono basate su sistemi Linux o Windows, ma non necessariamente aggiornati.
Considerando come riferimento architetturale il modello Purdue, gli attacchi IT targeted sono quelli indirizzati verso i livelli Enterprise (layer 4 e 5) e coprono il 60% degli attacchi, mentre quelli indirizzati a livelli sottostanti la DMZ, che funge da Air Gap tra le componenti IT e OT, sono OT targeted e coprono il rimanente 23%.
Colpire l’OT passando dall’IT (e non solo)
Non è dunque detto che, per condizionare la continuità produttiva, i malintenzionati cerchino di colpire direttamente i PLC, gli SCADA o i sensori. Basta bloccare un sistema (IT) che raccoglie e gestisce gli ordini per ottenere un impatto indiretto sulla produzione; spesso, poi, sono le stesse aziende a interromperla temendo la propagazione della minaccia dalla parte IT a quella OT. Ancor più spesso, sono gli attaccanti a infiltrarsi attraverso un’IT TTP (es, un ransomware) e a proseguire con una scansione della rete industriale a causa di una segmentazione carente o di una DMZ (layer 3.5) non pervenuta.
Poi c’è tutto il mondo degli OT TTP, ovvero degli attacchi alle componenti industriali realizzati con tecniche OT. Non stupisce che questa metodologia di attacco (o meglio, famiglia di metodologie) copra solo il 17% dei casi, perché sono necessarie competenze iper-specialistiche sulle reti industriali, nonché la conoscenza di protocolli proprietari. È peraltro vero che si tratta della componente più insidiosa in assoluto, sulla quale si concentrano la ricerca e i progetti dotati di budget consistenti.
In particolare, quelli che gli analisti definiscono attacchi OT sofisticati richiedono una conoscenza approfondita del processo industriale, nonché l’impiego di tecniche avanzate di acquisizione di informazioni sugli ambienti fisici e sulle interazioni di tutti gli elementi che li compongono. Solo così essi possono realizzare attacchi verso specifici componenti, causandone comportamenti determinati; spesso, infatti, l’obiettivo è la manipolazione del processo, non il suo spegnimento (vedi Stuxnet).
Per quanto concerne l’approccio difensivo che le aziende dovrebbero adottare, è vero che le tecniche OT TTP stanno evolvendo molto, ma il rapporto costi-benefici fa sì che quelle indirizzate alle componenti IT siano e saranno (almeno, nel breve termine) sempre le più numerose. E quello è un ottimo punto di partenza per mitigare gli effetti avversi dell’ormai famosissima convergenza IT/OT.
