1 10 Table of Contents 12 43

Ssi_443

AUTOMAZIONE OGGI 446 SOLUZIONI SOFTWARE PER L’INDUSTRIA 77 S SI cybersecurity Accesso alle reti delle aziende manifatturiere La crescente sofisticazione degli ambienti industriali ha dato luogo alla creazione di infrastrutture di rete grandi, complesse e difficili da manutenere. Ciò che è peggio: in molti casi questi sistemi sono gestiti da specialisti dei produttori anziché da specialisti IT, senza competenze interdisciplinari. Questa situazione di partenza, com- binata alla crescente integrazione tra IT e OT, ha generato una no- tevole superficie di attacco, difficile da proteggere, una vera manna per i cosiddetti broker di accesso iniziale (IAB), che vendono l’ac- cesso a reti aziendali compromesse su forum clandestini a bande del ransomware e altri criminali informatici. In questo frangente, le cosiddette web shell sonomolto sfruttate. Si tratta di script malevoli di cui si avvalgono i criminali informatici per mantenere l’accesso persistente (una sorta di backdoor) sui server e sistemi connessi. Secondo il rapporto Hi-Tech Crime Trends 22/23, le aziende del settore manifatturiero, logistico e alimentare costituiscono circa il 10% di tutte le offerte di accesso a reti compromesse rilevate. Analizzando il mercato delle web shell nel 2022 il team di Threat Intelligence ha scoperto inoltre che il numero di offerte di web shell relative alle aziende italiane, che operano nei settori manifatturiero, logistico e alimentare, l’anno scorso è quasi triplicato. Le soluzioni di intelligence sulle minacce di Group-IB consentono di monitorare in tempo reale la vendita di accessi alle reti e di notificare i nostri clienti in caso di rilevazione. Le organizzazioni industriali in Italia dovrebbero quindi mappare continuamente le proprie risorse alla ricerca di infrastrutture IT ombra e/o risorse dimenticate esposte sul web attraverso soluzioni per la gestione della superficie di at- tacco in grado di identificare anche segnali di accesso iniziale e/o di movimento laterale attraverso la rete, al fine di prevenire in mas- sima parte gli attacchi informatici. Elemento umano Gli attacchi di phishing e di ingegneria sociale mirano nel frattempo anche all’industria. Indipendentemente da quanto un’organizzazione investe nella sicurezza informatica, le azioni di un singolo dipendente che apre erroneamente un link in una email di phishing possono cau- sare milioni di danni e una perdita reputazionale inestimabile. Tra i numerosi esempi figura un’importante azienda multinazionale del settore trasporti/logistica afflitta da complesse truffe alla direzione del personale che ne minavano la reputazione globale (organizza- zione di Career Days in nome dell’azienda spillando soldi ai malca- pitati). Sempre nello stesso ambito, un’altra importante azienda italiana è stata invece vittima di BEC (Business Email Compromise e CEO Fraud) con un danno di diversi milioni di dollari per bonifici fatti su richiesta del fittizio amministratore delegato usando una combi- nazione di email, instant messaging e telefonate fasulle. In entrambi i casi Group-IB è stata incaricata di condurre attività di Cyber Intelli- gence per il tracciamento e l’identificazione dei truffatori per conse- gnarli alla giustizia. Anche le aziende del settore industriale in Italia devono quindi educare continuamente i propri dipendenti alle buone pratiche di igiene informatica e a riconoscere e segnalare corretta- mente i casi di phishing, oltre a trattare la sicurezza informatica come un indicatore chiave di prestazione. Nel panorama delle minacce ai danni dell’industria non manca lo sfruttamento di credenziali rubate tramite ‘information stealer’, ovvero un tipo di malware che raccoglie le credenziali memorizzate nei browser, come login, password, coo- kie e, in alcuni casi, dettagli delle carte di credito e delle criptovalute. Gli stealer lavorano in modo non selettivo. Per raccogliere il maggior numero possibile di dati, il malware deve infettare il maggior numero possibile di computer. Di conseguenza, gli aggressori accumulano un’enorme quantità di dati personali che spesso non possono elabo- rare con sufficiente precisione. Tra luglio 2021 e giugno 2022, sono stati offerti in vendita oltre 96 milioni di log collezionati da stealer, compresi 580.301 log dall’Italia. Il fatto che molti tendano a riutilizzare le credenziali di lavoro per account personali è un’ulteriore minaccia: i dispositivi personali spesso si trovano al di fuori del perimetro di sicurezza aziendale. Se compromesse, le credenziali possono diventare un punto di in- gresso iniziale a una grande rete aziendale. In questo quadro no- tiamo che le soluzioni di Managed Extended Detection & Response (MXDR) prendono sempre più piede, elevandosi a tecnologia es- senziale per aziende e organizzazioni. Le soluzioni Mxdr contri- buiscono a integrare e/o a coprire le lacune del centro operativo di sicurezza (SOC) dell’organizzazione, identificando le minacce in tempo reale e fornendo protezione per le email, per il traffico di rete e gli endpoint. Gli esercizi di Red Teaming sono infine fonda- mentali per le aziende del settore industriale. Una buona prassi di Red Teaming è l’impiego di tecniche e degli strumenti di attacco più recenti rilevati nel sottobosco cybercriminale. Questo tipo di attività non dovrebbe essere condotta solo per testare la bontà dei sistemi di sicurezza ma anche le capacità e la preparazione del blue team dell’azienda. Con i propri business partner Group-IB è in grado di erogare servizi di auditing (vulnerability assessment, penetration test o red teaming) e soprattutto di supportare le aziende in caso di eventi avversi (incident response). Group-IB - www.group-ib.com In tabella sono considerate solo le aziende i cui dati sono stati pubblicati sui DLS dei cybercriminali a fronte di un attacco ransomware

RkJQdWJsaXNoZXIy Mzg4NjYz