Data la crescente prevalenza e sofisticatezza degli attacchi informatici nel panorama delle minacce odierno, proteggere le reti è essenziale per mantenere la riservatezza, l'integrità e la disponibilità delle risorse informative critiche.
Sebbene il rilevamento e il monitoraggio basati sulla rete siano fondamentali per la sicurezza OT/IoT, da soli non possono fornire una protezione sufficiente contro attacchi informatici sofisticati a più livelli.
È essenziale implementare una strategia di difesa a più livelli che includa sistemi di rilevamento basati su host. Questi sistemi offrono una serie di vantaggi alle aziende e alle organizzazioni rilevando attività dannose che potrebbero non essere visibili nel traffico di rete.
Nozomi Networks ha recentemente rilasciato Arc, un sensore di sicurezza degli endpoint OT/IoT che supporta una diagnostica più accurata di minacce e anomalie in corso, inclusa l'identificazione di host compromessi con malware, applicazioni rogue, unità USB non autorizzate e attività utente sospetta.
Questo livello di visibilità consente anche il monitoraggio e l'analisi del comportamento degli utenti, che possono aiutare ad identificare potenziali minacce interne prima che diventino un problema importante.
In questo articolo, Nozomi Networks condivide approfondimenti sulle minacce basate su host, evidenzia l'importanza dei sensori di rilevamento degli endpoint nella protezione delle reti dalle minacce informatiche e spiega come funzionano questi sensori per rilevare e rispondere a potenziali violazioni della sicurezza.
Perché è Importante il Rilevamento degli Endpoint per IoT/OT?
La protezione degli endpoint è particolarmente critica in ambito OT e IoT perché questi sistemi sono responsabili del controllo e del monitoraggio di processi fisici come la generazione di energia, il trattamento delle acque e il trasporto.
Qualsiasi attacco informatico a questi sistemi potrebbe avere gravi conseguenze, tra cui interruzioni delle infrastrutture critiche, perdite finanziarie e persino la perdita di vite umane.
A differenza dei sistemi IT che si occupano principalmente di elaborazione e archiviazione dei dati, gli endpoint OT/IoT si basano su apparecchiature e macchinari fisici. Pertanto, la protezione di questi endpoint è fondamentale per impedire l'accesso non autorizzato o la manomissione dolosa delle operazioni del sistema.
Inoltre, gli endpoint OT/IoT hanno spesso risorse di elaborazione limitate e potrebbero non essere aggiornati regolarmente come i tipici endpoint IT. Ciò li rende più vulnerabili alle minacce informatiche, ponendo la protezione degli endpoint come una priorità assoluta negli ambienti OT/IoT.
Gabriele Webber, Product Manager dietro il sensore Nozomi Arc, sottolinea l'importanza di proteggere gli endpoint OT/IoT:
“Man mano che la tecnologia continua ad avanzare, anche i metodi che gli hacker utilizzano per ottenere l'accesso non autorizzato evolvono e diventano più sofisticati",
afferma.
“Una soluzione di sicurezza degli endpoint aiuta a prevenire questi attacchi fornendo un livello di protezione in grado di rilevare e bloccare potenziali minacce dall'interno, integrando il monitoraggio della rete”.
Quali Sono Alcune delle Minacce per Endpoint Fisici?
Uno dei primi step che un utente malintenzionato può intraprendere per ottenere l'accesso a un sistema è attraverso l'accesso fisico.
Gli aggressori possono ottenere l'accesso fisico agli endpoint di destinazione sfruttando i dispositivi HID (Human Interface Device) come la tastiera, il mouse e altri dispositivi USB.
Tali dispositivi HID contraffatti sembrano fisicamente identici a quelli legittimi, ma i loro componenti interni vengono modificati in modo che, quando sono collegati al computer di destinazione, venga eseguito codice dannoso.
Una volta ottenuto l'accesso fisico, possono ottenere l'accesso a parti più sensibili del sistema che potrebbero non essere state visibili prima.
Perché i criminali informatici sono interessati al vettore di attacco di accesso fisico e in che modo utilizzano USB compromesse per ottenere dati fisici? Le risposte risiedono nelle due minacce comuni poste dalle USB dannose - key logger e keystroke injection - che possono compromettere gli endpoint.
- Key Logger: un keylogger è un tipo di dispositivo che registra ogni battitura effettuata su un computer o dispositivo mobile. Una volta attivo, il keylogger opera in background all'insaputa dell'utente, registrando tutti i tasti premuti e memorizzandoli o trasmettendoli.
I criminali informatici utilizzano i keylogger per impossessarsi di informazioni sensibili come credenziali di accesso, dettagli bancari e dati personali.
Un keylogger può essere utilizzato su un endpoint OT/IoT per acquisire le credenziali di accesso per un endpoint di elaborazione, come un computer desktop utilizzato in un ambiente industriale.
Queste credenziali possono quindi essere utilizzate in un successivo attacco di keystroke injection, che consente al criminale informatico di ottenere privilegi elevati all'interno del sistema.
- Keystroke injection: una keystroke injection è un tipo di attacco informatico che comporta l'inserimento di sequenze di tasti in un sistema informatico per eseguire comandi o azioni non autorizzati.
Questo attacco può essere eseguito utilizzando dispositivi hardware specializzati che appaiono come normali unità flash USB ma sono progettati per emulare tastiere e avviare sequenze di tasti.
L'aggressore, in genere, pre-programma il dispositivo con uno script contenente una serie di sequenze di tasti che imitano gli input legittimi dell'utente. Quando il dispositivo è collegato al sistema di destinazione, in genere emula queste sequenze di tasti a un ritmo rapido, eseguendo comandi e azioni dannosi come l'installazione di malware, il furto di dati sensibili o l'assunzione del controllo del sistema. L'obiettivo di un'esecuzione rapida è nascondere lo script all'utente HID.
Gli attacchi di keystroke injection possono essere particolarmente efficaci perché aggirano le tradizionali misure di sicurezza come firewall e software antivirus. Inoltre, non richiedono alcuna connettività di rete, il che li rende difficili da rilevare utilizzando gli strumenti di monitoraggio della rete.
Sebbene entrambi possano essere simili, una keystroke injection è un attacco attivo che mira ad eseguire comandi o azioni non autorizzati su un sistema, mentre il keylogging è una tecnica passiva utilizzata per monitorare l'attività dell'utente e impossessarsi di informazioni sensibili.
La Ricerca di Nozomi Networks
I dispositivi USB possono essere un vettore di attacco per OT/IoT perché utilizzati per introdurre malware nel sistema. In molti casi, i dispositivi USB sono utilizzati per trasferire dati tra sistemi diversi o per aggiornare il firmware sui dispositivi ICS.
Tuttavia, se un dispositivo USB viene infettato da malware, può facilmente diffondersi in tutta la rete e compromettere i sistemi critici. La sfida attuale che gli operatori industriali stanno affrontando è la visibilità limitata all'interno di dispositivi critici potenzialmente esposti a questo tipo di compromissione della supply chain.
Per affrontare questa sfida, Nozomi Networks Labs ha lavorato a un progetto di ricerca sulla sicurezza informatica all'avanguardia per ottenere ulteriori informazioni sul problema.
Creando un dispositivo USB compromesso che esegue un payload dannoso una volta connesso alla macchina bersaglio, questo progetto di ricerca ha fornito informazioni su come sviluppare un sensore che protegga gli endpoint OT/IoT da attacchi informatici e altre attività dannose.
Ecco alcuni punti salienti dei risultati della ricerca:
- è stata condotta un'analisi approfondita del traffico USB, considerando fattori come la velocità di battitura, i tasti premuti e le parole e le frasi inserite nella black list o nella white list;
- i modelli osservati durante lo studio sono stati classificati come legittimi o dannosi;
- sono state sviluppate funzionalità all'interno del sensore Arc che consentono di rilevare keystroke injection sugli endpoint OT/IoT confrontando il traffico di digitazione artificiale con il traffico di digitazione umano legittimo;
- è stato utilizzato il sensore Arc per elaborare il traffico e applicare rilevamenti basati sul framework MITRE;
- infine, è stata creata una demo completamente funzionante di attacchi backdoor USB che mostrava come il sensore Arc può identificare attività dannose a livello di host (vedere la figura seguente).
Grazie all'approfondita ricerca di Nozomi Networks, il sensore Arc è in grado di rilevare dispositivi dannosi che potrebbero sembrare legittimi a un PC.
Ad esempio, può controllare la frequenza di battitura per determinare se è troppo alta per essere effettivamente una battitura umana, il che è indicativo di attività dannose.
I Vantaggi del Rilevamento Host-Based per OT
Uno dei maggiori problemi con endpoint OT/IoT è che molti dispositivi non sono in grado di rilevare tutte le potenziali minacce. Tuttavia, con questo tipo di sistema, è possibile integrare la visibilità della rete con la visibilità dell'endpoint, tracciando i dati dall'endpoint all'applicazione o al servizio che li ha generati.
Ciò consente di identificare accuratamente la fonte e la posizione di qualsiasi attività dannosa. Questo livello di visibilità consente alle organizzazioni di identificare e rispondere rapidamente alle minacce, offrendo loro un approccio più proattivo alla sicurezza informatica.
Arc consente inoltre alle organizzazioni di monitorare più macchine e dispositivi contemporaneamente, assicurando che qualsiasi attività sospetta venga identificata e gestita rapidamente.
Inoltre, questa scalabilità consente migliori capacità di raccolta di informazioni sulle minacce, aiutando le organizzazioni a stare al passo con potenziali attacchi.
In Conclusione
Le tattiche per prendere di mira gli endpoint OT e IoT stanno diventando sempre più sofisticate, questo rende fondamentale per le organizzazioni implementare solide misure di sicurezza per proteggersi da queste minacce.
I vettori di attacco possono provenire da una varietà di fonti, dalle e-mail di phishing ai dispositivi USB infetti. È importante che le organizzazioni siano vigili e proattive nell'identificare potenziali minacce prima che possano causare danni.
Se vuoi scoprire di più su Nozomi Networks e il sensore Arc, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul sito per ricevere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua domanda.