L'ultimo report sulla Sicurezza OT & IoT di Nozomi Networks Labs ha rilevato che gli attori delle minacce non solo stanno aumentando la frequenza degli attacchi, ma stanno anche affinando le tattiche e trovando nuovi punti di accesso.
Gli attacchi ransomware rimangono elevati, ma è anche comune vedere attacchi motivati dal controllo e dalla distruzione. Secondo Microsoft, lo scorso anno 120 paesi hanno subito attacchi informatici alimentati da attori “nation-state”, di cui oltre il 40% contro infrastrutture critiche.
Per aiutare i professionisti della sicurezza a rafforzare le loro difese, l'analisi dell’ultimo report di Nozomi Networks traccia una panoramica delle minacce che prendono di mira ambienti reali dei clienti e honeypot IoT distribuiti a livello globale.
Negli ultimi mesi, Nozomi Networks ha riscontrato che le anomalie di rete e gli attacchi sono state le minacce più prevalenti negli ambienti OT e IoT. Un'altra causa di preoccupazione è stata che le vulnerabilità all'interno della produzione critica sono aumentate del 230%: gli attori delle minacce stanno ottenendo molte più opportunità per accedere alle reti e causare queste anomalie.
Analisi degli Alert dagli Ambienti Reali dei Clienti
Parte del report esamina i dati sugli alert dei clienti di Nozomi Networks che hanno optato per la condivisione delle informazioni. Analizzando gli ultimi mesi di avvisi, è stato riscontrato che le anomalie di rete e gli attacchi hanno rappresentato la porzione più significativa (38%) delle minacce.
Al primo posto nella lista delle anomalie di rete e degli attacchi si trovano le "scansioni di rete", seguite da vicino dagli attacchi "TCP flood" che comportano l'invio di grandi quantità di traffico ai sistemi con l'obiettivo di causare danni rendendo questi sistemi inattivi o inaccessibili. Gli alert di tipo "TCP flood" e "pacchetti anomali" hanno mostrato aumenti significativi sia nel totale degli alert che nelle medie per cliente negli ultimi sei mesi, aumentando rispettivamente più di 2x e 6x.
Mentre gli attacchi "TCP flood" sono comuni nei sistemi ICS, le tendenze degli alert che sono state osservate negli ultimi sei mesi indicano minacce di rete in evoluzione, riflettendo possibilmente strategie adattive dei criminali informatici o capacità di rilevamento potenziate.
Gli alert sulle minacce di controllo degli accessi e autorizzazione sono aumentati del 123% rispetto al periodo di riferimento precedente. In questa categoria, gli alert di "più tentativi di accesso falliti" e di "attacchi di forza bruta" sono aumentati rispettivamente del 71% e del 14%.
Questa tendenza evidenzia le continue sfide nei tentativi di accesso non autorizzato, mostrando che la gestione delle identità e degli accessi negli ambienti OT e altre sfide associate alle password degli utenti persistono.
Gli Attacchi DDOS e il Malware
Gli attacchi DDOS erano di gran lunga la principale preoccupazione riguardo agli attacchi malware per l'IoT.
Per questo motivo, Phil Trainor, Product Owner di Nozomi Networks Threat Intelligence, consiglia agli operatori che hanno grandi deployment di dispositivi IoT, che fanno parte della loro rete OT o che lavorano in contiguità con essa, di assicurarsi di avere una strategia per prevenire che la loro organizzazione diventi parte di un attacco botnet contro altre organizzazioni.
Quando si tratta di attacchi malware comuni, consiglia inoltre agli operatori di prestare attenzione ai miners.
"Non vorrei mai che un report finisse sulla scrivania del mio capo o di chiunque altro in finanza e scoprisse quanto denaro abbiamo speso come organizzazione sprecato dai miners che operano a nostra insaputa,"
afferma Trainor.
Nuove CVE Scoperte e Principali CWE
Tra il 1° luglio e il 21 dicembre 2023, CISA ha rilasciato 196 nuovi avvisi ICS menzionando 885 vulnerabilità vecchie e nuove che interessano prodotti di 74 fornitori. Le Common Vulnerabilities and Exposures (CVE) sono aumentate del 38% rispetto alla prima metà del 2023, mentre i fornitori menzionati sono aumentati del 19%. La Produzione Critica è in cima alla lista con le CVE in quel settore che sono salite a 621, un allarmante aumento del 230% rispetto al periodo di riferimento precedente.
Sulla base di queste informazioni, i produttori critici dovrebbero rivedere la loro strategia di sicurezza.
"Se hai un aumento del 230% nelle CVE mirate in un periodo di tempo così breve (sei mesi) specificamente rivolto al tuo gruppo, devi speculare su quanti soldi provenienti da potenziali stati nazionali siano investiti in ricerche mirate che tentano di attaccarti specificamente,"
afferma Phil Trainor, Product Owner di Nozomi Networks Threat Intelligence.
La Produzione Critica, l'Energia e l'Acqua sono rimasti i settori più vulnerabili per il terzo periodo di riferimento consecutivo, anche se il numero totale di vulnerabilità riportate nel settore dell'Energia è diminuito del 46% e le vulnerabilità nell'Acqua sono diminuite del 16%.
Prevedere il Continuo Attacco delle Botnet IoT
Le botnet IoT malevole sono rimaste attive e continuano a utilizzare credenziali predefinite nei tentativi di accedere ai dispositivi IoT. Negli ultimi sei mesi del 2023, gli honeypot di Nozomi Networks hanno rilevato una media di 712 attacchi unici giornalieri, con una diminuzione del 12% rispetto alla media giornaliera osservata nel periodo di riferimento precedente. Gli indirizzi IP degli aggressori principali erano associati a Cina, Stati Uniti, Corea del Sud, India e Brasile.
In una discussione di panel sui risultati del report, Alexey Kleymenoy, Responsabile della Threat Intelligence di Nozomi Networks Labs, ha affermato che le aziende dovrebbero prepararsi a una maggiore attività delle botnet.
"La situazione ora è molto diversa rispetto a qualche anno fa, quando Mirai è stato rilasciato. L'intera base client ora è open source, quindi gli attori delle minacce possono entrare e creare la propria botnet in pochi minuti. Tutto è ben codificato. Questo rende molto facile integrare nuove exploit e, insieme al fatto che le exploit sono anche disponibili pubblicamente su internet, è solo una questione di collegarle come un puzzle per estendere una botnet in modo molto, molto veloce."
Prevede che questa tendenza all'uso dell'intelligenza open-source continuerà. Invece di spendere soldi cercando di acquistare exploit zero-day che potrebbero o meno dare risultati, afferma che i criminali informatici è più probabile che spendano la loro energia ottenendo gli stessi risultati trovando vulnerabilità che non tutti sono in grado di correggere in tempo.
Raccomandazioni
CISA e il National Vulnerability Database degli Stati Uniti catalogano migliaia di vulnerabilità note nelle macchine e nei dispositivi OT/ICS. Gli attori delle minacce continuano a sondare aggressivamente le reti Enterprise/IT, OT e IoT in tutto il mondo e stanno crescendo in capacità e sofisticazione delle loro capacità e tecniche, tattiche e procedure (TTP) migliorate.
Il report sulla sicurezza OT & IoT di Nozomi Networks fornisce ai professionisti della sicurezza e agli operatori delle infrastrutture critiche una chiara comprensione delle vulnerabilità e dei modelli di attacco che devono conoscere per regolare le loro posture di sicurezza per la migliore difesa possibile.
Le organizzazioni di infrastrutture critiche dovrebbero dare priorità a strategie di difesa proattive che includano segmentazione della rete, scoperta degli asset, gestione delle vulnerabilità, patching, logging, rilevamento degli endpoint e threat intelligence.
Esiste anche un crescente bisogno di intelligence sugli asset e sulle minacce che possa essere utilizzata da diversi stakeholder all'interno di un'organizzazione, come team IT, responsabili della conformità e gestori del rischio che possono avere prospettive diverse sulle questioni di sicurezza.
Nozomi Networks è Qui per Aiutare
Fin dal primo giorno, le soluzioni di Nozomi Networks sono state profondamente radicate nell'affrontare i complessi requisiti degli ambienti industriali e delle infrastrutture critiche. Man mano che l'OT converge con i mondi molto diversi dell'IT e dell'IoT, questa esperienza ha dato a Nozomi Networks una comprensione unica degli strumenti e dei processi associati alle reti più grandi del mondo.
Nozomi Networks ha guadagnato una reputazione globale per il servizio impareggiabile, la visibilità superiore dei sistemi cyber e fisici, il rilevamento avanzato delle minacce OT e IoT e la scalabilità attraverso ambienti distribuiti.
Fornisce visibilità in tempo reale degli asset, rilevamento delle minacce e intelligence azionabile che mantiene in controllo della tua infrastruttura critica.
Se vuoi avere maggiori informazioni su come Nozomi Networks può aiutare la tua azienda a far fronte alle minacce attuali e future, invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita il nostro sito per ricevere ulteriore materiale informativo, in alternativa puoi compilare il form sottostante con la tua domanda.