Technology In Depth

Sicurezza OT: come funzionano e come stanno evolvendo le tecniche di attacco



Indirizzo copiato

Gli investimenti in OT security crescono come conseguenza dell’aumento degli incidenti registrati. Non tutti attaccano direttamente le componenti OT: scopriamo allora come funzionano, i trend del momento e come difendersi

Pubblicato il 21 feb 2024



shutterstock_2016128957 (1)

Il 93% degli specialisti di sicurezza OT ammette di aver subito un’incidente negli ultimi 12 mesi, e il 78% ne dichiara più di tre. La sicurezza delle reti e degli ambienti operativi (OT) è diventata una priorità in molti settori, perché i sistemi OT sono più vulnerabili di quelli IT, e per questo gli investimenti crescono rapidamente, totalizzando un +21% di CAGR fino al 2027 rispetto al +16% verso la componente IT. Il fine ultimo, sintetizzato in modo chiaro dagli analisti di Fortinet, è far sì che le posture di sicurezza IT e OT siano entrambe pronte per attacchi informatici che diventano ogni giorno più sofisticati.

15 anni di minacce, da Stuxnet a Triton

Partiamo dicendo che negli ultimi 15 anni gli attacchi OT hanno avuto due caratteristiche ben definite: erano pochi (almeno, quelli pubblici) e di grande impatto. Nel 2010, fece scuola Stuxnet e diventò l’attacco alle infrastrutture critiche per antonomasia, portando alla compromissione di 900 centrifughe iraniane dedicate all’arricchimento dell’uranio.

Pur non raggiungendo il medesimo livello di esposizione mediatica, gli attacchi ai sistemi ICS (Industrial Control System) sono continuati con Duqu, noto per sfruttare vulnerabilità zero-day degli ambienti windows a fini di spionaggio e sabotaggio, ovvero per raccogliere informazioni dettagliate su infrastrutture critiche, compresi schemi di rete, componenti degli ambienti operativi e altri dati sensibili. Oggi, tra l’altro, si parla con insistenza (e timore) di Duqu 2.0.

Negli anni, non furono da meno Havex, un trojan indirizzato agli ambienti ICS, e soprattutto Black Energy, il malware dedicato ai sistemi SCADA dei network energetici. Venne sviluppato nei primi anni 2000, venduto nel 2007 a diversi threat actor che lo affinarono progressivamente rendendolo un’Advanced Persistent Threat, o ATP. Lo ritroviamo negli attacchi contro network energetici georgiani, in quelli indirizzati ai sistemi di distribuzione ucraini e in molti altri casi.

Non da ultimo, rientra nella rassegna Triton, un malware indirizzato specificamente ai sistemi di sicurezza industriale; mentre infatti la sicurezza IT protegge la cosiddetta triade CIA del dato, che si sostanzia in confidenzialità, integrità e disponibilità, gli attacchi OT sono indirizzati alle componenti SPR, ovvero Safety, Productivity e Reliability. Un attacco diretto alla safety di un processo operativo può avere conseguenze letteralmente disastrose per la sicurezza delle persone.

Gli attacchi statali sono solo il 13%. Tutto il resto è estorsione

Per quanto concerne le tecniche di attacco alle componenti OT, viene in soccorso l’ottimo Security Navigator 2024 di Orange Security, che dedica alla tecnologia operativa un approfondimento ad hoc.

Sono diversi i messaggi rilevanti, primo fra i quali il fatto che gli attacchi state-sponsored, tipicamente associati alla manomissione di infrastrutture critiche, non sono prevalenti. C’è quindi una percezione errata del fenomeno, e anche piuttosto pericolosa perché potrebbe far sentire le aziende al sicuro in quanto non strategiche. In realtà, il 61% degli attacchi ha una finalità criminale diretta, ovvero è indirizzata all’estorsione.

2020, la presa di coscienza della OT security

Gli analisti hanno registrato un’impennata straordinaria di attacchi (pubblici) verso componenti OT a partire dal 2020. Se si considera il numero di vittime, nel 2022 sono state quasi 20 volte superiori rispetto al 2018, e per una volta il covid non c’entra nulla. Piuttosto, c’entra il fatto che il 2020 è stato l’anno in cui la dinamica della doppia estorsione ha preso piede: qui, sono gli stessi criminali a rendere pubblica la sottrazione dei dati, determinando un’impennata di casi registrati, molti dei quali indirizzati (anche) alle componenti operative.

Non è quindi detto che nel 2020 ci sia stata effettivamente un’impennata di attacchi OT targeted, ma le aziende si sono rese conto di quanto siano frequenti e, di conseguenza, sia necessario correre ai ripari. Questa volta, non tanto per tutelare i propri dati ma la continuità della produzione e la sicurezza delle persone.

Come avviene un attacco OT? L’83% usa tecniche IT

Per potersi difendere in modo efficace, le aziende devono conoscere le principali dinamiche di attacco verso i componenti delle reti industriali, dalle workstation operative ai sistemi SCADA e PLC, fino ai componenti di campo come sensori e attuatori.

La prima cosa interessante è che, stando al Security Navigator 2024, l’83% degli attacchi è effettuato attraverso TTP (tattiche, tecniche e procedure) del mondo IT. Il motivo è presto detto: sono più conosciute, è più facile reperire le competenze, è in atto una certa industrializzazione delle tecniche e, cosa tutt’altro che secondaria, sono efficaci.

Volendo approfondire, la questione si complica non poco. In un contesto industriale, infatti, gli IT TTP possono essere indirizzati sia alle componenti IT (attacchi IT targeted), che a quelle OT (attacchi OT targeted). Se il primo caso è facilmente comprensibile, poiché si tratta di attaccare un ERP, un sistema di inventory management o un e-commerce, il secondo si spiega con il fatto che anche le componenti OT, come i sistemi HMI o le engineering workstation, sono basate su sistemi Linux o Windows, ma non necessariamente aggiornati.

Considerando come riferimento architetturale il modello Purdue, gli attacchi IT targeted sono quelli indirizzati verso i livelli Enterprise (layer 4 e 5) e coprono il 60% degli attacchi, mentre quelli indirizzati a livelli sottostanti la DMZ, che funge da Air Gap tra le componenti IT e OT, sono OT targeted e coprono il rimanente 23%.

Colpire l’OT passando dall’IT (e non solo)

Non è dunque detto che, per condizionare la continuità produttiva, i malintenzionati cerchino di colpire direttamente i PLC, gli SCADA o i sensori. Basta bloccare un sistema (IT) che raccoglie e gestisce gli ordini per ottenere un impatto indiretto sulla produzione; spesso, poi, sono le stesse aziende a interromperla temendo la propagazione della minaccia dalla parte IT a quella OT. Ancor più spesso, sono gli attaccanti a infiltrarsi attraverso un’IT TTP (es, un ransomware) e a proseguire con una scansione della rete industriale a causa di una segmentazione carente o di una DMZ (layer 3.5) non pervenuta.

Poi c’è tutto il mondo degli OT TTP, ovvero degli attacchi alle componenti industriali realizzati con tecniche OT. Non stupisce che questa metodologia di attacco (o meglio, famiglia di metodologie) copra solo il 17% dei casi, perché sono necessarie competenze iper-specialistiche sulle reti industriali, nonché la conoscenza di protocolli proprietari. È peraltro vero che si tratta della componente più insidiosa in assoluto, sulla quale si concentrano la ricerca e i progetti dotati di budget consistenti.

In particolare, quelli che gli analisti definiscono attacchi OT sofisticati richiedono una conoscenza approfondita del processo industriale, nonché l’impiego di tecniche avanzate di acquisizione di informazioni sugli ambienti fisici e sulle interazioni di tutti gli elementi che li compongono. Solo così essi possono realizzare attacchi verso specifici componenti, causandone comportamenti determinati; spesso, infatti, l’obiettivo è la manipolazione del processo, non il suo spegnimento (vedi Stuxnet).

Per quanto concerne l’approccio difensivo che le aziende dovrebbero adottare, è vero che le tecniche OT TTP stanno evolvendo molto, ma il rapporto costi-benefici fa sì che quelle indirizzate alle componenti IT siano e saranno (almeno, nel breve termine) sempre le più numerose. E quello è un ottimo punto di partenza per mitigare gli effetti avversi dell’ormai famosissima convergenza IT/OT.


Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3