Sochi, Russia, si tiene qui la sesta Industrial Cybersecurity Conference di Kaspersky LAB. Kaspersky Lab Industrial Control Systems Cyber Emergency Response Team (Kaspersky Lab ICS CERT) è un progetto globale lanciato da Kaspersky Lab nel 2016 con l’obiettivo di coordinare gli sforzi dei fornitori di sistemi di automazione, i proprietari di infrastrutture industriali, gli operatori e i ricercatori nell’ambito della sicurezza IT nella protezione delle industrie dai cyberattacchi.
ICS CERT di Kaspersky Lab si impegna soprattutto nell’identificare minacce potenziali ed esistenti che mirano ai sistemi di automazione e all’Internet of Things in ambito industriale. Nel corso del primo anno di attività, il team ha rilevato oltre 110 vulnerabilità critiche nei prodotti dei più importanti fornitori ICS a livello globale. ICS CERT di Kaspersky Lab è membro attivo e partner delle maggiori istituzioni internazionali che si occupano di elaborare misure per la protezione di imprese industriali dagli attacchi informatici.
La minaccia dei RAT
I RAT (Remote Administration Tool) sono software legittimi che permettono a terzi di accedere ad un computer da remoto. Sono spesso utilizzati in maniera legittima dai dipendenti di imprese industriali per risparmiare risorse, ma possono essere sfruttati anche da attori malevoli per ottenere un accesso nascosto e privilegiato ai computer presi di mira.
La minaccia più significativa rappresentata dai RAT è la loro capacità di ottenere privilegi di rilievo nel sistema attaccato. In pratica, questo significa ottenere un controllo senza alcuna limitazione su una realtà industriale, che può, a sua volta, portare a significative perdite finanziarie, fino a condurre una vera e propria catastrofe dal punto di vista strutturale. Tali capacità sono spesso acquisite attraverso un attacco base di tipo “forza bruta”, che consiste nel tentare di indovinare una password provando tutte le possibili combinazioni di caratteri finché non viene trovata quella corretta. La “forza bruta” è uno dei metodi più diffusi per assumere il controllo di un RAT, ma gli attaccanti possono anche trovare e sfruttare vulnerabilità all’interno del software stesso.
L’evoluzione del mercato
Secondo il report “Targeted Threat Predictions for 2018” con le previsioni Cyber Security di Kaspersky Lab, nel corso di quest’anno il mondo vedrà un aumento dei software legittimi infettati da gruppi criminali che prenderanno di mira un maggior numero di profili e aree geografiche. Tali attacchi saranno estremamente difficili da individuare e contrastare.
Le previsioni di Kaspersky Lab annuali vengono redatte dagli esperti dell’azienda, attingendo dalla propria esperienza e dalle ricerche condotte nel corso dell’anno. Per il 2018, Kaspersky Lab ha integrato le previsioni sulle minacce mirate elaborate dal Global Research and Analysis Team con una serie di dati relativi a settori specifici.
I sistemi di sicurezza industriale saranno sempre più minacciati da attacchi ransomware mirati. I sistemi OT (Operational Technology) sono più vulnerabili delle reti IT aziendali e spesso sono esposti a Internet.
L’intervista
Abbiamo incontrato Vladimir Dashchenko, Head of Vulnerability Research Group, Kaspersky Lab ICS CERT, per parlare di security.
Può raccontarci alcuni esempi di sistemi di controllo industriale vulnerabile?
La ricerca delle vulnerabilità è uno degli obiettivi principali del Kaspersky Lab ICS CERT, creato alla fine del 2016. Il nostro team si dedica alla ricerca nell’ambito dei sistemi di controllo industriale e dell’IIoT, verificandone la sicurezza e scoprendo nuove vulnerabilità. Nel corso degli ultimi anni il team ha rilevato circa 100 vulnerabilità nei sistemi industriali e nel campo dell’IIoT. A causa di una progettazione poco attenta alla sicurezza, gli attaccanti potrebbero ottenere l'accesso remoto ai feed video e audio di alcune telecamere, disabilitare da remoto i dispositivi, eseguire codici malevoli su di essi e fare molte altre cose. Di recente il Kaspersky Lab ICS CERT ha scoperto alcune vulnerabilità anche nell’implementazione dello standard OPC UA, che è stato sviluppato per il trasferimento sicuro dei dati tra client e server nei sistemi industriali, comprese le infrastrutture critiche.
Come ci si può difendere da queste situazioni di criticità?
Sebbene negli ultimi anni le aziende abbiano potenziato la propria sicurezza, il loro progresso in questo senso non è andato di pari passo con il grado di sofisticatezza raggiunto da hacker sempre più preparati e aggressivi in un momento storico in cui le tecnologie stanno esprimendo al massimo le proprie potenzialità portandoci in una nuova era industriale.
La nostra raccomandazione è quella di adottare una serie di misure volte a mettere in sicurezza i perimetri esterni e interni delle reti industriali, ad esempio:
• Aggiornando in modo regolare il sistema operativo.
• Controllare gli accessi ai componenti ICS nella rete industriale dell'azienda e ai suoi confini.
• Implementare soluzioni di protezione degli endpoint dedicate su server ICS, workstation e HMI per proteggere le infrastrutture OT e industriali da cyberattacchi casuali.
• Implementare soluzioni per il monitoraggio del traffico di rete, per l'analisi e il rilevamento, per una migliore protezione anche in caso di attacchi mirati.
