Armis ha recentemente rilasciato una ricerca in merito ai dispositivi più esposti a potenziali attacchi informatici nel settore manufatturiero, utilities e trasporti. Questi settori sono caratterizzati dalla presenza di numerosi centri operativi, linee di produzione e di distribuzione, costituendo un complesso sistema con una grande quantità di dispositivi gestiti e non gestiti sulle loro reti, tra cui tecnologia operativa (OT), IT e IoT, risultando sempre più impegnativo da proteggere.
Se si pensa che ci siamo appena lasciati alle spalle il periodo estivo e di vacanze, durante il quale molte imprese chiudono i battenti, la necessità di avere un livello di protezione passiva risulta ancora più necessario, altrimenti i danni provocati da eventuali incursori possono provocare danni economici irreparabili. Dall’interruzione delle supply chain, alla manomissione di alcuni processi e alla fuga di dati, le conseguenze possono essere diverse.
Basti pensare che quattro dei cinque dispositivi a maggior rischio sono dotati di sistemi operativi Windows; il che dimostra come la comprensione di base del rischio delle risorse e la protezione delle risorse vulnerabili siano ancora una sfida per i team IT e OT.
In merito a questo tema, Nicola Altavilla, Country Manager Italy & Mediterranean Area di Armis, fornisce maggiori dettagli sul tema e l’importanza per il mercato italiano di avere massima protezione dei settori manufatturiero, delle utilities e trasporti.
Quali sono i dispositivi più esposti a potenziali attacchi informatici nel settore manufatturiero? Quali i pericoli maggiori e quali possono essere i rischi per la produzione?
Il settore manufatturierio ha visto un cambiamento significativo negli ultimi anni grazie alla convergenza tra OT e IT. Armis ha rilasciato una ricerca a giugno di quest’anno sui dispositivi più esposti ad attacchi informatici nel settore manufatturiero e, analizzando i dati dell’Asset Intelligence and Security Platform, è emerso che le engineering workstation sono il dispositivo OT che ha ricevuto il maggior numero di tentativi di attacco nel settore negli ultimi due mesi, seguite dai server Scada. Infatti, il 56% delle engineering workstation presenta almeno una vulnerabilità critica senza patch.
I gruppi di continuità (Ups) sono la terza tipologia di dispositivo ad aver subito il maggior numero di tentativi di attacco negli ultimi due mesi. Sebbene siano fondamentali per garantire la continuità operativa in caso di interruzione dell'alimentazione, i dati hanno mostrato che il 60% dei dispositivi Ups presenta almeno una Cve (Common Vulnerability and Exposure) di gravità critica senza patch che potrebbe potenzialmente portare i criminali a causare danni fisici al dispositivo stesso o ad altre risorse ad esso collegate. Infine, tra gli altri dispositivi maggiormente esposti a potenziali attacchi, ci sono i lettori di codici a barre, gli switch industriali, le telecamere e le stampanti.
Gli hacker, entrando in controllo di questi dispositivi, possono causare gravi danni alle organizzazioni, attraverso il furto di dati personali, ma soprattutto possono causare interruzioni della produzione, generando così danni economici alle realtà vittime di attacchi.
Di conseguenza, su questo fronte, quali possono essere le migliori strategie di difesa per le imprese manifatturiere? Quali sono le tipologie di soluzioni più indicate?
La miglior strategia per un’efficace gestione delle vulnerabilità, è una prioritizzazione delle vulnerabilità che prevede diverse fasi: in primo luogo, è necessario conoscere i propri asset; è infatti prioritario che i team di sicurezza si concentrino sui dispositivi più critici e centrali, o per il core business dell’impresa o per il contesto in cui questi lavorano, ad esempio se sono connessi a Internet o in un segmento di rete particolarmente sensibile.
In secondo luogo, è importante che gli strumenti di reporting e la dashboard siano integrati nell’ambiente operativo dell’impresa, così che i team di supporto abbiano tutte le informazioni necessarie per poter far fronte ad eventuali anomalie. Infine, tenere traccia del processo al fine di creare degli standard operativi e creare così un ordine chiaro di priorità, che permetterà di ridurre gli sforzi su tutti gli asset, al contempo ottimizzando l'uso di risorse limitate per ridurre al minimo l'esposizione e ottenere una gestione efficace del ciclo di vita delle vulnerabilità.
In generale, per proteggersi da potenziali attacchi, è necessario dunque avere una completa visibilità di tutti i dispositivi, fare in modo che essi abbiano tutte le patch installate e il loro software aggiornato. All’interno di un ambiente industriale è piuttosto comune avere dispositivi vulnerabili, per questo è cruciale avere visibilità e comprendere il contesto in cui ciascuno degli asset opera. I dati di contesto consentiranno ai team di definire il rischio che ogni dispositivo rappresenta per l'ambiente.
Cosa offre al riguardo la vostra tecnologia?
Armis, grazie alla sua tecnologia e piattaforma, è in grado di offrire visibilità di tutti i dispositivi gestiti e non, oltre che dare informazioni in tempo reale riguardanti il comportamento di un dispositivo, riscontrando dunque eventuali comportamenti anomali.
Inoltre, la tecnologia di Armis consente di tenere i propri dispositivi sempre aggiornati. La ricerca di Armis ha infatti dimostrato che molti dispositivi sono più esposti a potenziali attacchi perché utilizzano il protocollo SMBv.1, sistemi operativi non più supportati e molte porte aperte. Nel caso di SMBv.1,si tratta di un protocollo legacy, non crittografato e complicato, con vulnerabilità che sono state prese di mira negli attacchi Wannacry e NotPetya, che chiunque lavori nel settore ricorderà. In passato gli esperti di sicurezza avevano consigliato alle aziende di smettere completamente di utilizzarlo, ma i dati dimostrano che è ancora preminente nel settore; per questo motivo è importante che i dispositivi siano sempre aggiornati e controllati.
Quali competenze devono sviluppare al proprio interno le imprese manifatturiere per proteggere adeguatamente i propri dispositivi da potenziali attacchi informatici?
È necessario che le imprese manufatturiere non sottovalutino la sicurezza informatica e che prevedano investimenti nella creazione di un team ad hoc che gestisca gli asset più esposti. La spesa e l’investimento in questo ambito è minimo se correlato al potenziale danno economico che un attacco è in grado di causare. Infatti, la crescita esponenziale di dispositivi OT connessi alla rete e in costante comunicazione con gli asset IT pone le organizzazioni a sviluppare una forte collaborazione tra i reparti OT e IT, per coordinare al meglio gli sforzi. I progetti trasversali tra i vari dipartimenti contribuiranno a snellire i processi e la gestione delle risorse a ottenere una maggiore conformità e sicurezza dei dati.
In generale, per affrontare le sfide della nuova era industriale, i professionisti della sicurezza hanno bisogno di una soluzione di sicurezza di convergenza IT/OT che protegga tutti gli asset connessi alla rete. È importante,anche fare un passo in più, condividere le informazioni con chi si occupa dei budget, con il ceo. La sicurezza non è più solo relegata al team IT, vede più profili coinvolti, perché solo condividendo le informazioni, il board di un’azienda può prendere scelte informate nella sua gestione e sugli investimenti necessari.
Nel panorama che vediamo, ottenere personale altamente specificato soprattutto in ambito OT è molto difficile, soprattutto in relazione alle risorse limitate a disposizione delle organizzazioni, le imprese sono sempre più alla ricerca di tecnologie che garantiscano il massimo livello di efficienza: automazione e Playbook ben definiti sono in grado di gestire in maniera autonoma attività ripetitive e diminuiscono il tempo di risposta, e iBehavior Pattern Detection e l'intelligenza artificiale offrono una consapevolezza delle minacce che nessuno sforzo umano potrebbe fornire.
Quali consigli offre Armis alle imprese manifatturiere per proteggere con successo i propri dispositivi? Da dove partire e quali scelte sono ineludibili?
Ogni organizzazione si sta orientando verso una sicurezza convergente OT/IT/IIoT, che richiede un approccio proattivo alla consapevolezza, alla gestione e alla mitigazione dei rischi.
Alla luce dell'attuale carenza di talenti e della velocità con cui si evolve il panorama degli attacchi, qualsiasi investimento tecnologico dovrebbe mirare a soddisfare i seguenti requisiti: continuo, per fornire la necessaria consapevolezza in tempo reale; intelligente, in quanto il contesto è importante per definire meglio le priorità degli incidenti; automatizzato, per rispondere più rapidamente alle minacce e agli eventi operativi e facile da mantenere, per trarre vantaggio dagli ultimi aggiornamenti utilizzando la potenza del cloud.
Armis propone una soluzione che in modalità agentless e completamente passiva consente di scoprire, classificare e avere informazioni di contesto dettagliate per ogni risorsa presente in ambiente OT (Scada, Plc, Dcs) e IT (server, pc, videocamere, sensori..); la nostra piattaforma infatti tiene traccia di oltre tre milioni di asset.
Grazie al monitoraggio dello stato e del comportamento di tutti i dispositivi sarà possibili effettuare una gestione consapevole degli accessi nella produzione; infatti, la visualizzazione organizzata dell’ambiente OT aiuterà a pianificare e validare la strategia di segmentazione di rete.
