Un webinar per analizzare come gli hacker monetizzino gli attacchi alle reti e alle Operation Technologies
Marco Bubani (Innovation Director di VEM Sistemi), Bernardino Grignaffini (CEO di Certego) e Barbara Poli (CIO GNV) hanno dato vita lo scorso 12 maggio a un webinar nel quale ci si è focalizzati sul tema della criminalità informatica. Moderatore Giovanni Daconto (Consigliere AUSED e CIO Ariston Thermo). L’evento, seguito da oltre cento partecipanti, è rientrato nell’ambito delle attività associative Aused2021.
Il tema degli attacchi informatici è sempre tra i più “caldi”. La mente dell’hacker è sempre in azione e rappresenta una assidua minaccia del mondo virtuale. Tutto ciò che è presente in rete rischia di essere attaccato attraverso tecniche e strumenti sempre più insidiosi e che mutano di volta in volta.
Il webinar si è focalizzato inizialmente sull’analisi di un recente survey effettuato con la collaborazione di 50 CIO. È emerso che per rilevare la presenza di un intruso all’interno dei propri sistemi IT il 48% delle aziende utilizza soluzioni di Endpoint Detection & Response, mentre il 25% si appoggia ad antivirus. Poi il 9% si affida a SIEM (Security Information and Event Management) e il 5% a soluzioni di User & Entity Behaviuor Analytics. Di fatto, i valori ottenuti da questa prima domanda del survey sono risultati piuttosto confortanti, frutto anche dell’effetto pandemia che ha portato all’esterno del perimetro aziendale molte attività lavorative, spingendo le aziende a investire di più sul tema della sicurezza, poiché il telelavoro ha esteso la superficie d’attacco. La seconda domanda dell’indagine ha cercato di comprendere se le aziende stanno mettendo in sicurezza il back-bone digitale della fabbrica o il processo produttivo: qui il 64% degli intervistati ha risposto che ci sta lavorando, il 30% è interessato al tema ma non ha ancora implementato soluzioni specifiche, mentre solo per il 6% non si tratta di un tema di interesse. Guardando poi verso una finestra di 24 mesi, il survey ha messo in luce molti degli investimenti che verranno eseguiti in ambito sicurezza, includendo Network & Wireless Security (al primo posto), seguito a ruota da Incident & Detection Response, Data Security, Cloud Security, Endpoint Security, Application Security e IoT Security. L’indagine si è chiusa verificando quante aziende avessero subito un attacco informatico nel corso degli ultimi 12 mesi. Ebbene, per il 36% l’attacco è avvenuto, ma senza rilevare impatti significativi, mentre il 10% ha ammesso di aver subito attacchi e impatti significativi. Il 54% non ha invece subito attacchi.
Ormai non si tratta più di capire se un’azienda verrà attaccata a livello informatico, ma quando lo sarà. Per questo gli investimenti in sicurezza dovrebbero essere spostati da CAPEX a OPEX.
La maggior parte degli attacchi, è stato illustrato, avviene in modo opportunistico e indiscriminato, per trasformarsi successivamente in un attacco mirato. L’attacco informatico si sviluppa attraverso più stadi e le vulnerabilità aumentano di giorno in giorno. Si può partire dalla semplice compromissione di un pc, o di un server, o anche solo di un click di troppo da parte dell’utente (ad esempio attraverso la posta elettronica), fino a raggiungere una condizione da parte dell’hacker di persistenza e persino permettergli di ottenere credenziali importanti (amministratore di sistema) in grado di disattivare sistemi antivirus, portare all’esterno informazioni aziendali, rimuovere back-up, o distribuire un ransom. Tutte attività, queste, molto impattanti e che permettono all’hacker di chiedere un riscatto in moneta digitale all’azienda colpita. La compromissione di dispositivi digitali come intere reti, computer, smartphone, tablet è opera di persone e strutture che operano nell’illegalità, veri e propri criminali informatici che agiscono per ottenere un guadagno spesso di tipo finanziario. Non a caso in queste attività illecite rientra anche il cosiddetto Supply Chain Attack, un problema sistemico e una realtà impattante che riguarda attacchi mirati prima al fornitore e poi all’azienda che lo utilizza. Anche per questo si osserva da parte delle aziende una attenzione sempre più marcata nel richiedere ai propri fornitori certificazioni e Audit ad hoc legati all’affidabilità e per oggetto gli attacchi informatici.
Occorre sostanzialmente un cambio di prospettiva che porti le aziende a un concetto di resilienza, in modo tale che l’attacco informatico, se e quando avviene, deve risultare il meno impattante possibile. Ecco perché il tema della sicurezza deve essere inserito a budget nei costi ricorsivi. Una strategia legata all’irrobustimento della sicurezza in azienda deve passare anche attraverso l’HR e l’education, poiché la cyber-security non può essere vista come un solo tema tecnologico. L’aspetto della responsabilizzazione a tutti i livelli aziendale è un fattore fondamentale. Ad esempio, per rendere consapevoli gli utenti in azienda si è consigliato di organizzare della Phishing simulation (frequente e anche a sorpresa), rendendo poi noto ai dipendenti i risultati della simulazione nell’interesse di tutti e per responsabilizzarli il più possibile su questi rischi.
Altro aspetto importante è quello di cercare di conoscere il proprio avversario mediante attività di intelligence che includono strategia, tattica e attività di operational. Il tutto per essere il più possibile resilienti agli attacchi, integrando controlli preventivi, investigativi e correttivi.
Il webinar si è concluso con l’esplicazione di alcune azioni preventive da mettere in campo per arginare il problema della sicurezza delle reti e delle Operation Technologies (quest’ultime da non considerarsi solo in ambito manifatturiero ma legato a infrastrutture di vario genere, tipo quelle ospedaliere, o il trasporto di energia, ecc). Si è passati da un’era dell’automazione a una digitalizzazione degli oggetti sempre più connessi tra loro e sempre più integrati. Questo richiede nuove esigenze tecnologiche, una connettività più pervasiva, ma espone anche ad attacchi IT opportunistici che poi vanno a toccare le Operation. Per questo occorre implementare una sicurezza IT/OT a 360°. L’attacco verso le Operation è dovuto al fatto che la continuità del servizio è al primo posto per le aziende e di conseguenza risulta essere un punto molto critico se preso di mira. IT e OT utilizzano tecnologie simili ma con esigenze diverse in termini di requirements. In un modello di architettura di riferimento (ISA/IEC 62443), come chiave per realizzare una rete sicura, si è evidenziato come sia importante controllare le comunicazioni tra i due mondi IT e OT costruendo una precisa segmentazione.
Fondamentale è l’attuazione di un Network Assessment che si può consolidare in tre parti. La prima riguarda una Network Infrastructure GAP Analysis, che prende in analisi la situazione della rete e della sicurezza presente. La seconda parte considera l’implementazione di strumenti automatici per il discovery degli Asset di rete OT, il mapping delle comunicazioni tra IT e OT e la revisione delle politiche di segmentazione. Infine, come step finale, si attua una analisi delle minacce secondo il framework IEC62443 e la prioritizzazione degli interventi di mitigazione dei rischi in base al security level che si vuole raggiungere e ai rischi che si decide di accettare.
In conclusione, per gestire e mitigare i rischi informatici e i tentativi di frode associati all’IT e all’OT risulta rilevante attivarsi non sottovalutando il problema ed eventualmente prendendo spunto da quanto emerso e illustrato durante il presente webinar a cura di AUSED.