Anche se non siamo tra coloro che utilizzano dispositivi IoT come assistenti personali intelligenti, termostati connessi alla rete o smartwatch, tali tecnologie stanno giocando un ruolo importante nella vita quotidiana di tutti.
Dalle tecnologie per il trasporto di acqua ed elettricità, alla produzione, alle giostre nei parchi di divertimento, i dispositivi IoT sono coinvolti in molteplici settori.
Gartner ha stimato che a fine 2019 fossero presenti 4,8 miliardi di dispositivi IoT nel mondo, e prevede che tale numero crescerà del 21% nel 2020.
Il problema più grande in molti ambienti di operational technology (OT), che ospitano risorse IIoT, riguarda i sistemi di controllo industriale (ICS) obsoleti che sono operativi da oltre 30 anni.
Molte di queste risorse sono state connesse alla rete nel corso degli anni, rendendole veicoli di possibili attacchi informatici.
Questi dispositivi legacy venivano spesso implementati su reti flat, in un momento in cui la sicurezza passava in secondo piano rispetto ad altre priorità, come disponibilità elevata e prestazioni.
La scoperta di vulnerabilità in questi sistemi non significa sempre che le patch siano, o addirittura possano, essere implementate per risolverle. Eseguire la patch di asset IIoT significa portarli offline, cosa che non sempre è possibile soprattutto con infrastrutture critiche o linee di produzione che si affidano a disponibilità elevata.
Pertanto, le patch spesso non vengono applicate e le vulnerabilità si accumulano nel tempo, lasciando ai criminali informatici una vasta gamma di exploit per tentare di attaccare risorse IIoT compromettenti.
Il numero di vulnerabilità scoperte nei dispositivi IIoT sta crescendo, come è evidente nel report condotto dal team di ricerca sulla sicurezza di Cisco Talos, la cui missione è scoprire vulnerabilità prima dei criminali informatici.
Nel 2019, Talos ha sottolineato di aver pubblicato 87 avvisi sulle vulnerabilità dei dispositivi IoT e ICS.
Quindi, coloro che sfruttano dispostivi IIoT, quali tipi di minacce devono cercare? E in che modo possono proteggere i dispositivi?
La buona notizia è che la maggior parte delle risorse IIoT non sono direttamente esposte a Internet, il che significa che gli aggressori devono fare affidamento su altri metodi per accedervi. Pertanto, le stesse tecniche utilizzate in altri attacchi sono utilizzate per accedere alle risorse IIoT.
Un criminale informatico può tentare di raccogliere informazioni su ingegneri, responsabili di impianti e sviluppatori che hanno accesso ai sistemi IIoT e inviare e-mail di phishing ad-hoc.
I sistemi senza patch, password semplici e predefinite e policy di accesso da remoto semplificate offrono ai criminali informatici la possibilità di compromettere i dispositivi.
Un Esempio di Attacco
Supponiamo che un criminale informatico abbia come obiettivo quello di colpire una determinata organizzazione.
Inizialmente, invierà un’e-mail di phishing con un PDF dannoso, ad esempio alle risorse umane sotto forma di candidatura.
Il dipendente responsabile delle candidature apre il PDF, compromettendo il proprio dispositivo inconsapevolmente.
Il criminale informativo si sposta lateralmente attraverso la rete, monitorandone il traffico e scansionando i sistemi compromessi, cercando accessi e token di autenticazione.
Il criminale informatico riesce infine a compromettere un controller di dominio, dove distribuisce malware utilizzando un Group Policy Object (GPO), compromettendo con successo l'intera rete IT.
A causa della scarsa segmentazione, il criminale informatico riesce a raggiungere la rete OT. Una volta entrato nel sistema, il criminale informatico esegue una ricognizione, segnalando le risorse IIoT presenti; dopodiché, identifica i servizi vulnerabili, li sfrutta e li mette offline.
La produzione si interrompe e l'attività viene effettivamente chiusa.
La Difesa Come Priorità Assoluta
Come possiamo difendere le risorse IoT e la rete OT dagli attacchi? Il monitoraggio della rete è spesso l’attività più efficace.
Tuttavia, è importante monitorare passivamente il traffico quando si tratta di risorse IIoT. Il monitoraggio attivo, in cui il traffico viene generato e inviato attraverso la rete appositamente per osservarne il comportamento, può comportare un aumento del carico sulla rete, causando interruzioni delle prestazioni del dispositivo e persino causandone il fallimento.
Al contrario, la scansione passiva ascolta il traffico, imprimendo quello che vede, anziché introdurre nuovo traffico nell'ambiente OT.
Avere un inventario aggiornato delle risorse presenti sulla rete è molto importante per proteggere le reti IT e OT. Il monitoraggio passivo può aiutare ad identificare le risorse sulla rete, inclusi dispositivi non autorizzati.
È inoltre molto importante la segmentazione delle reti. Avere un inventario completo delle risorse e delle policy in atto aiuterà a capire come segmentare le risorse IIoT e la rete OT.
Sebbene ciò non possa impedire a un criminale informatico di attraversare i perimetri tra le diverse aree della rete, può rallentarli permettendo quindi di rispondere in caso di attacco.
Tuttavia, è importante notare che molte risorse IIoT sfruttano comunicazioni di rete broadcast e multicast, in cui uno o più dispositivi inviano traffico a tutti gli altri dispositivi sulla rete.
Una buona mappatura del flusso di dati è utile anche per comprendere quali risorse stanno comunicando tra loro e come interagiscono nel loro insieme.
È fondamentale applicare patch alle risorse IIoT il prima possibile dopo aver scoperto una vulnerabilità. Se non fosse possibile portare i dispositivi offline per effettuare patch, la visibilità diventa fondamentale.
Avere un inventario delle risorse e il layout di rete è fondamentale per identificare le risorse a cui è necessario eseguire patch.
È molto importante analizzare comportamenti anomali all'interno del traffico di rete, ad esempio due risorse IIoT che comunicano tra loro che in realtà non dovrebbero, aggiornamenti del firmware non pianificati, modifiche impreviste della configurazione etc.
Infine, cercare proattivamente eventuali minacce è un’ottima modalità prevenire eventuali attacchi all'interno dell'ambiente OT.
In Conclusione
Proteggere le risorse IIoT è senza dubbio uno dei compiti più complessi in termini di sicurezza. Cisco Systems ha cercato di rendere questo compito meno arduo sviluppando delle soluzioni ad-hoc.
Cisco Cyber Vision consente al team OT e ai responsabili di rete di avere visibilità completa su asset industriali e sui flussi delle applicazioni.
Identity Services Engine sfrutta l'inventario delle risorse sviluppato da Cisco Cyber Vision per creare gruppi di sicurezza dinamici e applicare automaticamente la segmentazione utilizzando TrustSec.
ISA3000 è un dispositivo firewall industriale che è possibile distribuire in ambienti complessi per segmentare l’ambiente, rilevare intrusioni e bloccare eventuali minacce.
Stealthwatch è una soluzione di analisi della sicurezza che sfrutta una combinazione di modellistica comportamentale, machine learning e global threat intelligence per rilevare minacce avanzate. Integrata con Cisco Cyber Vision, questa visibilità è estesa all'interno dell'infrastruttura IIoT.
In definitiva, un approccio stratificato garantirà una migliore sicurezza. Ad esempio, Cisco Cyber Vision consente di automatizzare la visibilità dei dispositivi industriali e i processi operativi sicuri.
Cisco offre soluzioni di nuova generazione per la creazione, il controllo e la sicurezza della rete aziendale: soluzioni di nuova generazione, basate su machine learning e advanced analytics, per networking, wireless & mobility, IT security, collaboration, data center, cloud ed Internet of Things - che trasformano il modo con cui le persone si connettono, comunicano e collaborano, attraverso reti intelligenti e architetture che integrano prodotti, servizi e piattaforme software.
Per avere maggiori informazioni sulle soluzioni Cisco Systems invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita il nostro sito dove potrai ricevere materiale informativo o richiedere una demo gratuita della soluzione.
In alternativa, puoi compilare il form sottostante con la tua domanda.