Le minacce che prendono di mira la tecnologia operativa (OT) stanno ridisegnando i settori e ampliano anche la superficie di attacco. Questo espone le infrastrutture critiche e gli ambienti di produzione a rischi di cybersecurity più elevati che non erano neanche stati previsti al momento della realizzazione di questi ambienti. Per proteggere veramente l’OT, è essenziale comprendere le complessità delle infrastrutture critiche, le sfide di sicurezza associate e le migliori pratiche per salvaguardare questi sistemi.
Il valore del mercato OT
Il mercato OT ha registrato una crescita sostanziale negli ultimi anni. Secondo Grandview Research, il mercato OT è stato valutato a 190,95 miliardi di dollari nel 2023 e si prevede che crescerà a un tasso di crescita annuale composto (CAGR) del 10% dal 2024 al 2030. Questa crescita è guidata dall’implementazione crescente dell’automazione e di tecnologie intelligenti all’interno di vari settori, tra cui quello manifatturiero, energetico e dei trasporti. L’espansione del mercato OT sottolinea la necessità di misure di sicurezza robuste e complete per proteggere questi sistemi critici.
Il panorama delle minacce agli ambienti OT
Gli ambienti OT sono sempre più spesso presi di mira da una vasta gamma di soggetti minacciosi, tra cui hacker, insider, criminali informatici, terroristi e Stati.
L’attrattiva dei sistemi OT come bersaglio risiede nel loro potenziale di causare gravi interruzioni. Questi attacchi possono bloccare le linee di produzione, interrompere supply chain e compromettere i sistemi di sicurezza, con conseguenti impatti economici e operativi significativi.
Le infrastrutture critiche a rischio
I settori delle infrastrutture critiche, spesso indicati come “CISA 16”, comprendono servizi essenziali come elettricità, acqua, trasporti e sanità. Questi settori sono vitali per il funzionamento della società e sono quindi obiettivi primari per gli attacchi cyber. Le interruzioni in questi settori possono avere conseguenze di vasta portata, con ripercussioni non solo sulle organizzazioni prese di mira ma anche sulla popolazione in generale.
Sfide di sicurezza negli ambienti OT
I sistemi OT, tra cui attuatori, robot e controllori logici programmabili (PLC), si distinguono dai tipici asset IT. Tra i principali produttori di risorse OT figurano aziende come ABB, Honeywell e Yokogawa, ognuna delle quali utilizza protocolli e standard unici. A differenza dei sistemi IT, i sistemi OT sono spesso progettati per durare a lungo e possono utilizzare software obsoleti, rendendoli più vulnerabili alle minacce informatiche.
Air-gapped vs. converged environments
Air-Gapped Environments: questi ambienti sono progettati per essere completamente isolati dalle reti esterne, impedendo teoricamente le intrusioni informatiche. Tuttavia, il mantenimento di un vero isolamento richiede l’equivalenza di un’enorme gabbia di Faraday per eliminare tutti gli scenari di convergenza accidentale (come riportato sotto). Nonostante questi sforzi, i vettori di attacco sofisticati possono ancora penetrare nei sistemi air-gapped attraverso mezzi indiretti, come i supporti fisici o le emissioni elettromagnetiche.
Converged environments: integrano sistemi IT e OT, facilitando il flusso di dati e l’efficienza operativa. Sebbene sia vantaggiosa, questa integrazione introduce anche nuove sfide per la sicurezza, poiché le risorse IT e OT condividono una rete comune. Questa convergenza rende meno netti i confini tra IT e OT, creando un panorama di sicurezza più complesso in cui le vulnerabilità dell’IT possono influenzare i sistemi OT e viceversa.
Scenari di convergenza accidentale
Nonostante gli sforzi di air-gapping, sono emersi sofisticati vettori di attacco, tra cui:
- Segnali di frequenza FM: i malintenzionati possono trasmettere dati tra computer e telefoni cellulari utilizzando le frequenze FM, aggirando le tradizionali misure di sicurezza della rete.
- Canali di comunicazione termica: le emissioni di calore dei computer possono essere utilizzate per trasmettere dati ai dispositivi vicini, sfruttando le variazioni di temperatura per codificare le informazioni.
- Frequenze cellulari: le reti cellulari possono essere sfruttate per infiltrarsi in sistemi isolati, sfruttando i dispositivi mobili come ponte verso ambienti sicuri.
- Near-Field Communication (NFC): la tecnologia NFC, comunemente utilizzata per i pagamenti contactless, può essere manipolata per violare i protocolli di sicurezza negli ambienti OT.
- Impulsi luminosi dei LED: le variazioni degli impulsi luminosi dei LED nelle apparecchiature OT possono essere sfruttate per trasmettere dati, esponendo i sistemi critici ad attività dannose.
La comunalità della violazione
La maggior parte delle violazioni di tipo OT inizia con una testa di ponte per l’hacker, ottenuta compromettendo un dispositivo IT e poi insinuandosi lateralmente nel lato OT della struttura.
Esempi di attacchi recenti
Ecco alcuni esempi di attacchi recenti, ma non sono gli unici:
Colonial Pipeline (2021): questo attacco ransomware ha preso di mira i sistemi informatici dell’oleodotto, provocando l’arresto precauzionale delle operazioni. L’attacco ha preso di mira la “terza rete”, provocando l’arresto dell’oleodotto vero e proprio per eccesso di prudenza.
Volt Typhoon (2023): un gruppo di spionaggio informatico sostenuto dalla Cina ha compromesso i sistemi informatici di infrastrutture critiche di diversi settori negli Stati Uniti. Tra questi, le comunicazioni, l’energia, i trasporti e i sistemi idrici, a dimostrazione della minaccia pervasiva alla sicurezza nazionale.
Impianto di filtrazione dell’acqua di Muleshoe (2023): un’intrusione informatica ha portato allo straripamento di un serbatoio d’acqua in una piccola città del Texas, sfruttando la vulnerabilità dell’infrastruttura locale attraverso un dispositivo informatico ad accesso remoto.
Porti marittimi australiani (2023): un attacco ransomware a quattro importanti porti marittimi australiani ha causato interruzioni significative, costringendo a una chiusura di una settimana che ha avuto un impatto sulle importazioni e sulle esportazioni.
Laboratorio di patologia Synnovis (2024): un attacco ransomware ha interrotto i servizi diagnostici di un importante laboratorio di patologia di Londra, ritardando le cure mediche per i pazienti ed evidenziando l’impatto diretto dei cyberattacchi sulla fornitura di assistenza sanitaria.
Le best practices per mettere in sicurezza l’OT e IT
Il mantenimento di un inventory dettagliato di tutti i dispositivi IT, OT, IoT e IoMT è fondamentale e deve includere asset fisici, virtuali, gestiti e non gestiti. Un asset inventory completo aiuta le organizzazioni a comprendere la loro superficie di attacco e a implementare misure di sicurezza mirate. Inoltre, aiuta a identificare e ridurre i rischi associati a dispositivi obsoleti o non supportati.
Implementazione di controlli di resilienza e compensazione
Adottare un approccio alla sicurezza a più livelli, assicurando che siano presenti controlli compensativi per mitigare i rischi. Le misure di sicurezza devono essere dinamiche e adattabili all’evoluzione del panorama delle minacce. Questo include l’implementazione di un approccio cooperativo che coinvolga l’intero stack di sicurezza e che comprenda, ma non solo, i controlli di accesso, i sistemi di rilevamento delle intrusioni (IDS), i sistemi di prevenzione delle intrusioni (IPS) e la segmentazione della rete per isolare i sistemi critici e prevenire il movimento laterale delle minacce.
Conformità normativa e security frameworks
La conformità normativa (ad esempio, NIST, NERC) è essenziale, ma deve essere considerata come la linea di base. Le organizzazioni dovrebbero inoltre aderire a quadri di sicurezza completi come MITRE ATT&CK e seguire le indicazioni della Cybersecurity and Infrastructure Security Agency (CISA). Questi framework forniscono un approccio strutturato per identificare, mitigare e rispondere alle minacce alla sicurezza.
Un approccio olistico alla sicurezza
Evitare operazioni di sicurezza separate. È importante assicurarsi che le pratiche di sicurezza OT possano affrontare problemi di sicurezza IT più ampi. Anche negli ambienti air-gapped, è necessaria una visione olistica, poiché i dispositivi IT spesso coesistono con i sistemi OT. Ciò include l’integrazione dei team di sicurezza IT e OT, la condivisione delle informazioni sulle minacce e il coordinamento delle attività di risposta agli incidenti.
Collaborazione con la community e incident reporting
Impegnarsi con la comunità della sicurezza per condividere conoscenze e best practice. Partecipare a forum di settore, gruppi di condivisione delle informazioni e iniziative di collaborazione. Incoraggiare una cultura di trasparenza e vigilanza, in cui le anomalie e le potenziali minacce siano prontamente segnalate e affrontate. Sfruttare la conoscenza collettiva della comunità della sicurezza può migliorare la capacità di un’organizzazione di rilevare e rispondere alle minacce emergenti.
Una pianificazione dettagliata di risposta agli incidenti
Sviluppare e mantenere un piano dettagliato di risposta agli incidenti che includa procedure per gli ambienti IT e OT. Il piano deve delineare ruoli e responsabilità, protocolli di comunicazione e fasi di contenimento, eliminazione e ripristino. Testare e aggiornare regolarmente il piano di risposta agli incidenti attraverso esercitazioni e simulazioni per garantire la preparazione a scenari reali.
Monitoraggio continuo e proattivo e threat hunting
Implementare il monitoraggio continuo delle reti IT e OT per rilevare e rispondere alle attività sospette in tempo reale. Utilizzare tecnologie di deception avanzate, come il machine learning e l’’intelligenza artificiale, per identificare anomalie e potenziali minacce quando sono ancora in fase di formulazione. Esercitazioni regolari di caccia alle minacce per cercare in modo proattivo gli indicatori di compromissione (IoC) e le vulnerabilità all’interno dell’ambiente.
Conclusioni
Sia che la propria organizzazione mantenga un ambiente “airgapped” sia che ritenga che l’integrazione dei sistemi IT e OT sia inevitabile e vantaggiosa, entrambi richiedono una strategia di sicurezza solida e adattabile per proteggersi da minacce informatiche sofisticate e in continua evoluzione. Comprendendo le sfide uniche degli ambienti OT e implementando le best practice, le organizzazioni possono salvaguardare le loro infrastrutture critiche e assicurare la resilienza operativa.
