cover-lato-oscuro.jpg

Il lato oscuro della rivoluzione digitale

I progressi tecnologici hanno ampliato la superficie di attacco dei sistemi di controllo industriale, moltiplicando le cyber-minacce

di Annabelle Lee
16 min di lettura
diAnnabelle Lee
16 min di lettura

Cyber-attacchi e cyber sicurezza

Negli ultimi dieci anni, a fronte dell’aumento di cyber-attacchi nei confronti di infrastrutture critiche, in particolare nel settore energetico, la cyber-sicurezza è diventata una delle priorità di produttori, operatori e utenti di sistemi di controllo industriale (ICS). Tali attacchi mirano a perturbare le attività industriali al fine di trarne vantaggi finanziari, concorrenziali, politici o sociali, ma possono anche essere dettati semplicemente da risentimenti di natura personale. I progressi tecnologici e l’introduzione di dispositivi connessi all’Internet delle cose industriale (IIoT) hanno ampliato la superficie di attacco degli ICS con ripercussioni su tutte le parti dell’organizzazione che gestiscono le infrastrutture critiche, sulla catena logistica e, in ultima istanza, sui clienti finali. Le soluzioni di cyber-sicurezza odierne non sono in grado di garantire una protezione completa da tutte le minacce, note e sconosciute, che incombono sulle componenti digitali impiegate per la gestione di infrastrutture critiche, soprattutto nel settore energetico. In particolare, in un contesto in cui tecnologie e minacce sono in continua evoluzione, i responsabili della cyber-sicurezza faticano a tenere il passo. È possibile, per esempio, che a sferrare cyber-attacchi sfruttando la catena logistica, l’inadeguatezza dei controlli di accesso alla rete, i limiti delle procedure di cyber-sicurezza delle tecnologie operative (OT) e/o gli accessi remoti non autorizzati siano individui in possesso di informazioni riservate o stati-nazione malintenzionati. Sfortunatamente, agli aggressori basta essere efficaci una sola volta, mentre chi si occupa di contrastarli deve esserlo sempre: un obiettivo irraggiungibile.

 

Prospettiva storica

Tradizionalmente, le fonti energetiche erano centralizzate e la maggior parte dell’energia veniva prodotta da grandi centrali di generazione, da dove scorreva in un’unica direzione, ossia verso le utenze. Le reti di trasmissione erano monitorate e controllate tramite sistemi di controllo, di supervisione e acquisizione dati (SCADA) che funzionavano su hardware specializzato con software proprietari come sistemi operativi e applicazioni. Le tecnologie operative (OT) che facevano funzionare la rete erano completamente separate dalle tecnologie informatiche (IT) utilizzate per gestire dipartimenti aziendali come quello finanziario o delle risorse umane. Le comunicazioni tra i sistemi SCADA e i dispositivi della rete erano in gran parte cablate; molti di questi, come i sensori, erano analogici e i protocolli utilizzati per trasmettere informazioni e controlli erano proprietari. Era l’epoca della “sicurezza tramite segretezza” e della “sicurezza tramite isolamento”.

 

 

La rete moderna

Da allora, sono cambiate molte cose:

- Integrazione dei prodotti disponibili in commercio (COTS): i sistemi OT stanno passando dall’utilizzo di sistemi proprietari a quello di tecnologie COTS, ad esempio sistemi operativi e applicazioni.

- Sistemi interconnessi: le reti aziendali e OT sono sempre più interconnesse. Le fonti di energia alternative, come il solare e l’eolico, comportano ad esempio una maggiore interconnessione tra organizzazioni e sistemi.

- Comunicazioni: le comunicazioni basate su IP stanno sostituendo quelle seriali, mentre l’attenzione iniziale mirava a adottare standard aperti e a garantire affidabilità. La sicurezza era, in gran parte, una sorta di aggiunta a posteriori.

- Sistemi distribuiti: le fonti di energia sono distribuite, così come le risorse energetiche e altre forme di generazione di energia.

Tutti questi cambiamenti hanno arrecato miglioramenti in termini di efficienza e affidabilità. Tuttavia, tali progressi hanno anche esteso la superficie di attacco e le vulnerabilità cui le aziende erogatrici sono esposte, introducendo nuovi rischi che potrebbero incidere negativamente sull’affidabilità e la resilienza della rete. In ambito OT, un incidente di sicurezza informatica può avere ampie ripercussioni e provocare perdite di produzione, interruzioni e/o cali di elettricità, danni fisici alle attrezzature, gravi problemi in termini di sicurezza o ambiente e persino lesioni personali e perdite di vite umane. Ecco un riepilogo dei nuovi rischi:

- Con la modernizzazione delle centrali, le apparecchiature digitali hanno sostituito quelle analogiche. L’aumento delle funzionalità digitali fornisce agli avversari una superficie di attacco più ampia, in quanto il sistema presenta un numero maggiore di punti di ingresso potenziali.

- La comunicazione con i sistemi esterni e internet fornisce punti di accesso vulnerabili. Inoltre, a causa della connettività esterna dei dispositivi OT, gli attacchi sferrati utilizzando tecniche come quella dello spear-phishing per ottenere in maniera fraudolenta credenziali quali username e password hanno registrato un aumento significativo.

- La tecnologia legacy (“ereditata dal passato”, ovvero obsoleta) sarà operativa nell’ambiente OT del settore elettrico ancora per molti anni, o addirittura decenni. Pertanto, le aziende erogatrici opereranno con un mix di tecnologie di vecchia e nuova generazione. I meccanismi di controllo in materia di cyber-security dei sistemi più datati sono spesso limitati o del tutto assenti: può accadere, per esempio, che decine di persone condividano username e password. In genere, non è possibile aggiornare tali sistemi e dotarli di procedure di sicurezza informatica.

- Nonostante siano state adottate protezioni di sicurezza come firewall, controlli all’accesso e politiche e procedure di utilizzo, ormai esiste una connessione fisica con il mondo esterno tramite internet. Ciò consente a un aggressore determinato di sfruttare le vulnerabilità 0-day e l’ingegneria sociale per trovare, tramite la rete aziendale, una via d’accesso ai sistemi OT un tempo isolati.

- Oltre agli attacchi mirati, esiste anche la minaccia costante che si creino varchi d’accesso tramite firmware o vulnerabilità dei software. Chiavi USB infette, siti web e tentativi quotidiani di ingegneria sociale sulle reti aziendali potrebbero consentire ai malintenzionati di penetrare in una rete ICS/SCADA.

- I requisiti operativi (tra cui la disponibilità e le risorse di sistema limitate) rendono spesso difficile o impossibile installare nei sistemi OT soluzioni di sicurezza IT tradizionali come patch, sistemi di prevenzione delle intrusioni (IPS), scansioni di rete e monitoraggio continuo.

 

 

Agenti di minaccia

Gli agenti di minaccia (individui o gruppi) che cercano di sfruttare le vulnerabilità e sferrare attacchi includono:

1. Governi/stati-nazione/organizzazioni sostenute da stati-nazione: ben finanziati e motivati da interessi politici, economici, tecnici e/o militari, questi soggetti possono sferrare attacchi di minaccia persistente e avanzata (APT) su larga scala. Gli stati-nazione non temono ritorsioni e potrebbero attaccare i sistemi di controllo industriale degli avversari nell’ambito di un conflitto geopolitico.

2. Criminali: sferrano attacchi mirati motivati dal profitto, ad esempio tramite ransomware, e sottraggono informazioni di identificazione personale (PII).

3. Hacktivisti: promuovono cause sociali, politiche o ideologiche. Il loro scopo è di favorirle o di sensibilizzare il pubblico a un tema specifico.

4. Insider: si tratta di dipendenti o appaltatori insoddisfatti che causano intenzionalmente danni. Possono essere motivati da avidità, guadagno personale o vendetta.

5. Opportunisti: in genere criminali amatoriali spinti dal desiderio di notorietà.

Sfortunatamente, gli strumenti per perpetrare attacchi informatici stanno diventando più accessibili e i malintenzionati hanno a disposizione una collezione sempre più cospicua di tecniche e strumenti gratuiti per attaccare i sistemi di controllo industriale.

 

Il panorama delle minacce

Di seguito tracciamo una panoramica delle nuove minacce derivanti dall’evoluzione dell’ambiente tecnologico.

Il principale rischio di compromissione della sicurezza è costituto dalle persone, che si tratti di interni (personale e appaltatori) o di esterni (sviluppatori). Ciò era vero in passato e lo è tuttora. Tuttavia, poiché le nuove tecnologie operative sono maggiormente basate sull’IT e le interconnessioni tra sistemi e organizzazioni sono aumentate, l’impatto della compromissione di un individuo è aumentato in modo significativo. Stando a un’indagine Fortinet, le persone rappresentano il maggiore rischio di compromissione (62 percento) dei sistemi OT e di controllo di un’organizzazione, in quanto l’elemento umano è alla base degli incidenti e delle violazioni della sicurezza informatica. Di seguito riportiamo un riepilogo dei rischi rappresentati da diverse classi di individui.

- Minacce interne: le minacce interne sono particolarmente difficili da prevenire, in particolare in ambito di tecnologie operative e sistemi di controllo industriale, dove la conoscenza della situazione e dei processi è fondamentale per riconoscere un potenziale problema di sicurezza. I casi di accesso fisico riguardano per la maggior parte membri attuali del personale (dipendenti, fornitori di servizi, consulenti e appaltatori). È possibile, inoltre, che gli incidenti di cyber-sicurezza siano frutto di attività non dolosa, come la configurazione errata di un dispositivo o la specificazione di parametri non corretti, le cui conseguenze, purtroppo, potrebbero essere altrettanto gravi di quelle di una violazione intenzionale.

- Accesso di terzi: secondo quanto riportato da Fortinet, il 64 percento delle organizzazioni concede a fornitori IT esterni un accesso completo o di alto livello ai propri sistemi SCADA e ICS, mentre quasi il 60 percento lo fornisce ad altri partner commerciali e oltre il 50 percento fa altrettanto con agenzie governative. Per quanto riguarda l’industria, il settore manifatturiero è quello più incline ad accordare un accesso completo a organizzazioni esterne.

- Outsourcing: molte organizzazioni esternalizzano parte della sicurezza dei loro sistemi SCADA e ICS. Le principali funzioni SCADA/ICS esternalizzate a fornitori IT sono la sicurezza wireless, il rilevamento delle intrusioni, il controllo degli accessi alla rete e la sicurezza dell’Internet delle cose (IoT). Secondo Fortinet, il 56 percento delle organizzazioni consultate esternalizza la sicurezza SCADA a diversi fornitori. In alcuni casi, tuttavia, questo crea un coacervo di difese che non funzionano bene insieme.

- Criminali/hacktivisti: gli aggressori malintenzionati continuano a destare grande preoccupazione, come dimostra una serie di recenti attacchi ransomware. Sebbene molti di essi non fossero specificamente indirizzati al settore energetico, questo nuovo vettore di attacco è potenzialmente in grado di perturbare operazioni OT di importanza cruciale.

- Stati-nazione: l’inasprimento delle tensioni geopolitiche solleva il problema di eventuali cyber-attacchi sferrati da stati-nazione per causare danni temporanei o estesi al settore energetico degli avversari. Russia e Stati Uniti, ad esempio, si sono accusati a vicenda di avere violato i rispettivi sistemi energetici.

 

Architettura di sicurezza: con l’aumento degli asset di sistema (come dispositivi industriali embedded, IoT e IIoT installati nell’architettura OT) risulta sempre più difficile stilare e mantenere un inventario completo dei dispositivi. Inoltre, alcune aziende erogatrici stanno trasferendo le operazioni OT sul cloud. Tuttavia, in attesa di dotare il cloud di un’architettura di sicurezza completa, la Shadow IT (infrastrutture e applicazioni gestite e utilizzate senza che il dipartimento IT dell’azienda ne sia a conoscenza) potrebbe aumentare il rischio complessivo.

In assenza di un inventario completo, sviluppare un’architettura globale di cyber-sicurezza per l’ambiente OT che includa superficie e vettori di attacco diventa più difficile. E senza un’architettura di cyber-security è impossibile determinare il rischio complessivo in termini di sicurezza informatica delle tecnologie operative. Ciò è invece necessario per definire la strategia di sicurezza della rete e scegliere quali strategie di mitigazione adottare.

Sicurezza sin dalla progettazione: sarebbe opportuno applicare i principi di ingegneria della sicurezza a specifiche, progettazione, sviluppo, attuazione e modifiche di un sistema durante l’intero ciclo di vita. Si parla in questo caso di “sicurezza sin dalla progettazione”. Tuttavia, poiché di norma i dispositivi di vecchia generazione e molti di quelli IIoT non prevedono controlli di cyber-sicurezza, la strategia di aggiungerli a posteriori non è particolarmente efficace e potrebbe anzi incidere negativamente sulle prestazioni.

Controlli di sicurezza IT: le differenze in termini di impiego e distribuzione di tecnologie simili tra reti IT e ICS rendono impossibile il trasferimento delle soluzioni IT nell’ambiente OT senza operare qualche adattamento. Alcuni di questi controlli tecnici delle tecnologie informatiche includono la gestione delle patch, il monitoraggio continuo e la valutazione delle vulnerabilità.

Dispositivi mobili: i dispositivi mobili, in particolar modo i computer portatili utilizzati dai tecnici che lavorano sul campo, rappresentano un rischio significativo. In effetti, ci sono stati casi di portatili rubati o compromessi da famigliari dei tecnici che vi avevano installato giochi o li avevano utilizzati per accedere a Internet. Negli Stati Uniti, diverse agenzie governative hanno vietato l’utilizzo di chiavette USB per motivi di cyber-sicurezza.

Comunicazioni wireless: le comunicazioni e i protocolli wireless sono tra le tecnologie in più rapida evoluzione e il loro utilizzo per trasferire informazioni da reti di sensori nell’ambiente OT è in aumento. Tuttavia, le tecnologie wireless estendono i perimetri delle reti OT e potrebbero costituire un vettore di attacco facilmente accessibile da parte di un aggressore.

 

Evoluzione degli attacchi ai sistemi di controllo industriale

L’evoluzione degli attacchi presenta una tendenza a un approccio a due fasi. Nella prima, vengono utilizzate tattiche, tecniche e procedure (TTP) comuni per l’accesso iniziale e lo spostamento laterale. I vettori di attacco iniziali ricorrono in misura sempre minore a tecniche e malware personalizzati che mandano segnali di attività ostile. Poiché gli hacker fanno affidamento su strumenti già presenti nel sistema, riescono a mimetizzarsi e le probabilità che l’attacco venga individuato e bloccato si riducono. In genere, l’obiettivo della prima fase è raccogliere ed estrarre dati sul sistema da attaccare. Si parla dunque di attacchi “living off the land” (letteralmente “che vivono dei frutti della terra”, in quanto perpetrati per mezzo di tool già presenti nel sistema) o “fileless” (ovvero senza file, in quanto non installano alcun tipo di file).

Nella seconda fase vengono usate TTP diverse: per sferrare l’attacco viene installato un malware specifico per sistemi di controllo industriale, in alcuni casi progettato esclusivamente per l’ambiente di destinazione. Un tale approccio a due fasi consente agli hacker di approfittare delle TTP esistenti per l’accesso iniziale e la ricognizione, per poi sferrare attacchi agli ICS con strumenti personalizzati.

 

Conclusione

I progressi tecnologici compiuti nel settore dell’energia ne hanno aumentato la resilienza e l’affidabilità. Le nuove tecnologie sono fondamentali per soddisfare il crescente fabbisogno mondiale di energia elettrica a basso costo. Grazie a tali progressi, tuttavia, anche il compito di affrontare i rischi in materia di cyber-sicurezza è diventato più complesso e impegnativo.

 

L'autore: Annabelle Lee

Annabelle Lee è fondatrice e Chief Cyber Security Specialist di Nevermore Security e vanta oltre 40 anni di esperienza tecnica in progettazione e realizzazione di sistemi IT e oltre 25 anni di esperienza in progettazione, elaborazione di specifiche e test in ambito di sicurezza informatica. Negli ultimi 15 anni il suo lavoro si è concentrato sulla cyber-security per il settore energetico.

 

Nel profondo della notte

GUARDA