Fino a qualche anno fa gli Industrial Control Systems (ICS) erano considerati quasi “automaticamente” protetti dalle minacce alla sicurezza avendo hardware e software proprietari e non essendo connessi con l’esterno.
Oggi non è più così. Questi sistemi sono diventati un punto chiave, fortemente interconnesso nei processi produttivi, oltre a supportare infrastrutture critiche come i sistemi di trasporto e le reti di distribuzione dell’energia. Non sono affatto isolati, è quindi fondamentale cambiare il modo di garantirne la sicurezza.
Attualmente gli ICS funzionano con architetture e tecnologie basate su standard e utilizzano Internet per connettersi con altri sistemi ICS, IT e IoT. Un’interconnettività che ha portato innovazione e riduzione dei costi, permettendo alle aziende di gestire, monitorare e controllare molti processi da remoto. Allo stesso tempo, però, questo nuovo contesto ha fatto aumentare drasticamente il livello di esposizione degli ICS agli attacchi informatici.
Perché l’intelligence è fondamentale per gestire minacce ICS
Una sicurezza ICS forte ed efficace è indispensabile. Qualsiasi compromissione potrebbe causare gravi danni sia alle persone che all’ambiente. I requisiti di alta disponibilità degli ICS obbligano a considerare una nuova strategia di protezione che vada oltre alla rilevazione di eventuali attacchi, impedendo anche problemi di business continuity.
Le informazioni sulle minacce, quindi, devono essere sfruttate al meglio, per permettere alle aziende di mitigare le minacce alla continuità operativa prima che possano provocare un’interruzione dell’attività. Non è un caso che una delle metriche chiave per valutare l’efficacia delle informazioni sulle minacce ICS sia il tempo medio di ripristino, ovvero il tempo che intercorre tra la prima interruzione operativa di un attacco e il momento in cui le operazioni tornano alla normalità.
Un altro aspetto importante da prendere in considerazione è la varietà del panorama di minacce che oggi i sistemi ICS presentano, rispetto alle reti IT tradizionali. Ciò comporta un aggiornamento continuo della sicurezza, per evitare conseguenze molto gravi. Le informazioni generiche, fornite da sempre di default, non sono più sufficienti per permettere al team di sicurezza di fare un buon lavoro con gli ICS. Servono quelle specifiche, relative alle minacce mirate alle apparecchiature e ai processi. Solo con questo livello di intelligence diventa possibile comprendere a fondo le motivazioni e le capacità di un aggressore, le attività passate e i potenziali impatti dal punto di vista operativo.
Informazioni sulle minacce: tipologie e priorità
Ogni tipo di dato e approfondimento sul modo in cui i criminali informatici compromettono e interrompono i sistemi, aiuta a prevedere gli attacchi futuri e fermare quelli in atto, oltre a migliorare la risposta agli incidenti.
Alcune informazioni, però, risultano più utili di altre al variare dei contesti e di chi ne fa richiesta: non sono da considerare tutte sullo stesso piano ma divise per lo meno in tre principali categorie.
- Informazioni strategiche: report che descrive in dettaglio il panorama delle minacce, i maggiori trend e gli effetti potenziali. Serve per valutare i rischi e le minacce attuali ed emergenti, ma anche per rendere il senior management consapevole dello scenario di rischi a cui si è sottoposti a livello globale. È il modo per supportarlo nel prendere decisioni più informate su gestione del rischio, strategie di sicurezza e modifiche infrastrutturali atte a rafforzare la continuità e la resilienza delle operations.
- Intelligence tattica: informazioni su schemi, tattiche, tecniche e procedure associate al ciclo di vita di un attacco, alla particolare tecnologia ICS presa di mira, a obiettivi e conseguenze tecnologiche riscontrate. È un tipo di intelligence utilizzato dai sistemi SIEM e da altri strumenti analitici per collegare e analizzare dati associati a un tipo di attacco e configurare meglio i controlli di sicurezza – firewall e IDS – già prima che si verifichi un attacco.
- Informazioni operative e tecniche: elenchi dettagliati di indicatori tecnici e di comportamento, e anche di firme di attività dannose emergenti o attive (indirizzi IP e domini utilizzati da endpoint sospetti, intestazioni di e-mail di phishing e hash checksum di malware). Questi indicatori di compromissione (IOC) aiutano a identificare e fermare gli attacchi in arrivo e possono essere utilizzati anche per bloccare automaticamente incidenti simili in futuro.
Come ottenere informazioni sulle minacce ICS
Le informazioni sulle minacce possono essere acquisite da fonti interne ed esterne, con alcune differenze da prendere in considerazione.
Fonti interne di intelligence sulle minacce ICS
Eventi e segnalazioni registrati dai sistemi di monitoraggio interni possono essere aggregati e analizzati in un sistema SIEM. Contribuiscono alle informazioni di intelligence aziendale se confrontati con l’andamento tipico delle attività, per evidenziare eventuali anomalie.
L’analisi delle attività sospette può fornire informazioni aggiuntive che possono essere utilizzate per bloccare attacchi futuri. Per esempio, connettendo dati su IOC e firme di attività di attacco (indirizzi IP e protocolli utilizzati, nomi di file e hash) con i dettagli delle impostazioni di controllo sicurezza che non sono riuscite a individuare e bloccare l’attacco, si ottengono preziosi input per migliorare le strategie di protezione. È il tentativo di evitare di restare vittime di attacchi simili, rischiando di dover nuovamente compromettere o interrompere le operazioni.
Fonti esterne di intelligence sulle minacce ICS
Le fonti esterne ampliano la gamma e la profondità delle informazioni su cui i team di sicurezza si basano per prendere decisioni. Comprendono servizi di abbonamento commerciali e open source, report dei fornitori di sicurezza e informazioni condivise nel settore e da agenzie governative, come la Cybersecurity and Infrastructure Security Agency (CISA) negli USA. È fondamentale assicurarsi che si tratti di informazioni di qualità, pertinenti, accurate e tempestive. Ciò significa che devono
descrivere la minaccia ma anche spiegarne gli effetti e le azioni necessarie per prevenire o ridurre il rischio che la vulnerabilità influisca sulle operations. È fondamentale, infatti, riuscire a stimare la rilevanza di ogni minaccia in uno specifico contesto o settore, dato che alcune colpiscono solo in modo mirato e verticale. . Un esempio per tutti: gli attacchi di phishing.
Come evitare troppe informazioni sulle minacce ICS
La sfida principale, quando si tratta di raccogliere e assemblare informazioni sulle minacce in un programma di sicurezza, è il sovraccarico. L’esagerazione.
Saper selezionare è importante, partendo dallo scegliere con cura le proprie fonti di intelligence. Meglio privilegiare report e white paper basati sull’evidenza e provenienti da riferimenti autorevoli nel campo della sicurezza, leader di settore o agenzie governative.
Ogni report di intelligence arriva nelle mani degli stakeholder dopo una revisione da parte del team di sicurezza. Quando viene scoperta una minaccia in evoluzione o se si notano cambiamenti significativi, se ne produce uno ad hoc da cui ricavare il piano di revisione dei rischi percepiti e delle strategie di mitigazione.
Intelligence su minacce ICS contro i criminali informatici
Le informazioni tattiche devono essere condivise con i team di sicurezza, operativi e di rete, perché possano unire le forze e dare priorità alle aree più a rischio.
Per estrarre informazioni importanti, fruibili in modo tempestivo, si impostano meccanismi di filtro basati sul machine learning. Questo vale anche per i dati sulle minacce operative e tecniche, che dovrebbero essere inseriti direttamente nei controlli di sicurezza attivi, come firewall, IDS e strumenti di monitoraggio.
Qualsiasi iniziativa di sicurezza, ha sempre come obiettivo quello di aumentare spesa e tempo necessari ai criminali informatici per sferrare un attacco con successo. L’intelligence sulle minacce ICS risponde a questo obiettivo, migliorando l’efficacia della prevenzione e del rilevamento in real time. Allo stesso tempo, rende i sistemi di sicurezza più proattivi nel contrastare un potenziale attacco e le operazioni di risposta e ripristino più efficienti. Per le aziende ciò significa resistere agli attacchi informatici minimizzandone l’impatto.
Non è affatto semplice integrare informazioni sulle minacce ICS nella sicurezza, serve personale in grado di comprendere appieno e reagire al flusso di dati. Si stanno verificando sempre più attacchi da parte di criminali e stati nazionali contro sistemi e servizi mission-critical. Sarebbe opportuno approfondirne la conoscenza, partendo dal comprendere come, perché e quando si potrebbero verificare, per diventare più resilienti.
Il passo successivo, facoltativo ma virtuoso, potrebbe essere quello di aiutare gli altri a difendersi dagli attacchi alle infrastrutture. Basterebbe condividere le informazioni sulle minacce raccolte internamente, quando possibile, attraverso iniziative open come la community di condivisione automatica degli indicatori della CISA e la Cyber Threat Alliance.