Avere ben chiaro il “modello di minaccia”, cioè individuare quali sono le peculiarità critiche di un’organizzazione e quali potrebbero essere i potenziali attacchi da parte dei cybercriminali per metterle a rischio, è un interessante approccio per costruire un solido progetto di cybersecurity.
È intorno a questo concetto che ruota la riflessione di Stefano Zanero, professore associato del Politecnico di Milano, intervistato da Automazionenews in occasione del mese europeo dedicato alla cybersecurity.
A Zanero, che è esperto di sicurezza informatica, sicurezza automatizzata nei sistemi cyberfisici e di analisi del malware, abbiamo chiesto come stanno evolvendo gli attacchi informatici e come le imprese di produzione, in particolare, possono difendersi.
La visibilità dei cyberattacchi è sempre molto difficile
Che gli attacchi di ransomware stiano aumentando in modo vertiginoso, in quantità e gravità, a danno di ogni tipo di organizzazione - imprese grandi e piccole, istituzioni, liberi cittadini - è cosa certa.
Costantemente, e da più fonti, vengono strillati numeri da record sui cyberattacchi, ma secondo Zanero, nella security è sempre molto difficile avere visibilità di ciò che sta accadendo e tutte le informazioni che abbiamo tendono ad essere falsate da due aspetti:
- non necessariamente un attacco viene scoperto dall’organizzazione stessa che ne è colpita, al di là che spesso non vengono proprio comunicati gli attacchi subiti;
- questo andamento causa conseguentemente una sorta di sovra-rappresentazione di attacchi che per loro natura non possono non essere scoperti o nascosti. Si pensi agli attacchi che hanno a che vedere con i ransomware e con i ricatti. L’attacco di ransomware che blocca le attività di un’azienda o di un’istituzione è per sua natura visibile.
“Queste tipologie di attacchi sembrano ingenti, ma ci sono attacchi sotterranei, di cui non sappiamo molto, che spesso sono di matrice geopolitica”, spiega Zanero. “Come facciamo a sapere quanto sono state penetrate le infrastrutture critiche di un Paese in attesa di sferrare un attacco in caso di un eventuale conflitto reale? Sappiamo di sicuro che questo tipo di attacchi è quantomai diffuso, ma al momento ancora non si conoscono”.
È, dunque, difficile dare una risposta precisa sul numero e sull’evoluzione degli attacchi, possiamo giusto parlare di tendenze sulla base di quanto comunicato dalle realtà attaccate.
Cambiare prospettiva, il segreto per una buona cybersecurity
Proviamo ad approcciare questo grande tema da un’altra prospettiva: “forse non è così importante essere aggiornati sul preciso dettaglio degli attacchi, sulla quantità o tipologia, quanto avere ben chiaro il modello di minaccia, cioè capire quali sono le peculiarità critiche dell’azienda e quali potrebbero essere i potenziali attacchi da parte dei cybercriminali per metterle a rischio”, ci dice Zanero.
“Si pensi a un’azienda di produzione e di quanto è importante la continuità produttiva e la sicurezza anche dal punto di vista della safety, cioè della sicurezza fisica dell’ambiente e del lavoratore”.
“È su questi elementi che l’azienda deve impostare la propria strategia di cybersecurity. La difesa non deve essere attuata sulla tipologia degli attacchi, ma va costruita su quanto l’azienda ritiene critico”, sottolinea Zanero.
Le mille facce del ransomware. Come difendersi?
Gli attacchi di tipo ransomware sono sicuramente quelli che stanno mettendo più a rischio imprese e organizzazioni pubbliche e private. “Questi tipi di attacchi sono tutti un po’ diversi tra loro”, spiega Zanero. “Ad esempio alcune organizzazioni criminali cifrano i dati e chiedono un riscatto per sbloccarli e, a volte, un altro riscatto per non pubblicarli. Nelle imprese manifatturiere, i cybercriminali puntano speso a bloccare la produzione o peggio ancora a manipolarla (per esempio modificando parametri all’interno di un lotto affinché il pezzo venga prodotto in maniera non conforme o con degli errori). In entrambi i casi, viene chiesto un riscatto per ripristinare una condizione di normalità”.
La manipolazione di alcuni macchinari di produzione potrebbe avere conseguenze gravi per l’ambiente e anche per le persone, per esempio alzando le temperature si potrebbe far scoppiare un altoforno. In questo caso si parla di Killware, quando l’obiettivo è causare danni fisici a persone, fino a provocarne la morte. “Pur essendo molto grave come tipo di attacco, il problema rimane come difendersi per evitare di essere attaccati da un killware, che in fondo si tratta sempre di ransomware e, dunque, il metodo di difesa è sempre lo stesso”, aggiunge Zanero.
Indipendentemente dal tipo di richiesta, la cosa più importante è come gli aggressori hanno avuto accesso al perimetro dell’azienda. “Di solito si tratta di phishing e invio di malware tramite email, e su questo l’azienda si può difendere senza inseguire il singolo attacco”, spiega Zanero. “Il secondo elemento importante è bloccare la strada al cybercriminale, rendendo ostico l’ambiente di rete, grazie alla segmentazione; se questo non viene fatto, per l’aggressore è un giochetto muoversi nella rete aziendale”. Dunque, anche se gli attacchi evolvono, le basi di difesa sono sempre le stesse.
L’importanza della resilienza. Come costruirla?
Per le imprese industriali, il rischio di subire un attacco è non solo reale, ma elevato, e l’Italia è uno dei Paesi più colpiti. Qui si inserisce l’importanza di attivare il monitoraggio dell’intera rete aziendale per avere visibilità su qualsiasi anomalia si presenti e di affiancare alle misure di difesa, una strategia di resilienza, quindi la capacità di reagire e riprendersi da un attacco. Il monitoraggio h24 richiede una struttura con risorse dedicate, con costi che solo le grandi aziende potrebbero sostenere. Questi servizi spesso sono appaltati all’esterno, soprattutto tra le di pmi. Ma a chi rivolgersi?
“Il mercato dei servizi della cybersecurity non è facile”, ci dice Zanero. “Possiamo assimilarlo al cosiddetto Lemon market (frase simbolo inerente al mercato delle auto usate negli Stati Uniti), un concetto che fa riferimento a informazioni asimmetriche, dove l’acquirente ha meno informazioni del venditore e finisce per comprare in base al prezzo o al brand. Quale conoscenza può avere un’azienda per decidere l’antivirus più efficace, o come può valutare la validità di penetration testing o security assessment?”.
“In una realtà come quella italiana dove il tessuto industriale e fatto da pmi potrebbero avere un ruolo determinante le associazioni di categoria, per esempio mettendo in rete le esperienze degli imprenditori per creare un passaparola, oppure pensando a un servizio per una possibile condivisione di risorse”, conclude Zanero, lanciando un messaggio alle istituzioni e suggerendo alcune “best practice” per le imprese.
Per le imprese: punti di attenzione per una solida strategia di cybersecurity
- Formazione del personale, sia che si occupa di IT, sia generico perché potrebbe rappresentare il punto di accesso di un aggressore;
- Installazione di contromisure contro minacce client, spesso anche gli attacchi importanti partono da un banale ingresso attraverso malware o via email con del phishing. Con un attacco di phishing gli hacker tentano di indurre la vittima a condividere informazioni sensibili. Il loro obiettivo è sottrarre login, numeri di carte di credito e informazioni aziendali sensibili. Potrebbero anche cercare di infettare il computer della vittima con del malware. Proteggendosi da questi attacchi base, l’azienda si tutela anche da quelli più avanzati;
- Applicazione delle patch, l’aggiornamento del software per migliorare un programma e correggere un problema di vulnerabilità di sicurezza. È un tipo di intervento che riguarda più direttamente l’ambito IT, ma l’integrazione sempre più spinta IT/OT sta evidenziando la necessita di creare un’offerta di soluzioni di cybersecurity OT native.
