Industrial Cyber Security: come agire sotto attaccoERT

Gli ultimi dati relativi alla cybersecurity OT mostrano un quadro allarmante di crescita degli attacchi. Abbiamo parlato di Industrial Cyber Security con i rappresentanti di alcune note aziende del settore. Presentiamo qui di seguito le loro risposte.

In caso di attacco, come è opportuno agire? E cosa non bisogna assolutamente fare?

Flavio Renaldini, training manager di B&R Automazione Industriale:

“Come esempio prendiamo un attacco ‘Man in the Middle’: una persona entra in una caffetteria durante la pausa pranzo. Ha bisogno di controllare velocemente le email di lavoro ed effettuare operazioni bancarie; quindi, estrae il laptop e cerca il wi-fi gratuito. Nella lista delle reti disponibili compare ‘CoffeeShop_Free_WiFi’, la connessione avviene senza particolari verifiche e la navigazione inizia. Tutto sembra funzionare normalmente. In realtà, la situazione è molto diversa.

A pochi tavoli di distanza, un hacker con un portatile aperto sembra lavorare tranquillamente, ma sta conducendo un’operazione ben precisa: ha creato un hotspot wi-fi falso, con esattamente lo stesso nome del wi-fi legittimo della caffetteria. Il dispositivo della vittima si è connesso al network dell’attaccante invece che a quello autentico, semplicemente perché il segnale era più forte. Da questo momento, tutto il traffico Internet passa attraverso il computer dell’hacker prima di raggiungere la destinazione finale.

La vittima decide di effettuare un’operazione bancaria: digita l’indirizzo della banca, inserisce username e password, mentre l’attaccante intercetta la richiesta e reindirizza l’utente verso una copia perfetta del sito bancario, ovviamente una replica che controlla completamente. Le credenziali digitate vengono registrate dall’hacker, dopodiché l’utente viene reindirizzato al sito autentico della banca, così da non notare alcuna anomalia.

Il danno è compiuto: l’attaccante ora possiede le credenziali bancarie, ha monitorato tutte le email consultate, ha intercettato qualsiasi password inserita su altri siti, e ha accesso a tutte le informazioni sensibili trasmesse durante la sessione. La vittima non ha alcun sospetto che sia accaduto qualcosa. È un attacco Man in the Middle, letteralmente ‘uomo nel mezzo’. L’attaccante si posiziona tra l’utente e Internet, con la capacità di leggere tutto, modificare i dati in transito, rubare credenziali e persino inserire contenuti malevoli nelle pagine visitate.

L’aspetto più insidioso è l’invisibilità totale dell’attacco: non ci sono rallentamenti evidenti della connessione, non compaiono pop-up sospetti, tutto sembra funzionare normalmente. Il browser potrebbe mostrare un piccolo avviso, che la connessione non è sicura, ma questi avvisi vengono spesso ignorati, pensando che si tratti di operazioni innocue come controllare la posta. Ecco perché è fondamentale non utilizzare mai wi-fi pubblici per operazioni sensibili, usare sempre una VPN quando ci si connette a reti non fidate, e verificare sempre che i siti utilizzino https. Gli avvisi di sicurezza del browser non dovrebbero mai essere ignorati, anche quando sembrano fastidiosi.

In ambito aziendale il rischio si amplifica ulteriormente: l’accesso a sistemi aziendali, email corporate, collegamenti verso impianti industriali, documenti confidenziali ecc., attraverso una connessione compromessa può permettere all’attaccante non solo di rubare credenziali, ma anche di accedere a informazioni strategiche dell’organizzazione, modificare dati in transito (come dati di ricetta macchina e creare dei fermi produttivi), o installare malware che continuano a operare anche dopo la disconnessione”.

Cristina Mariano, country manager di Advens Italia:

“Il caso tipico è quello di un’infezione ransomware che parte dalla rete IT aziendale e migra verso la rete di produzione OT. Spesso inizia con un dipendente che apre un allegato email dannoso (invoice.exe). L’iperconnettività tipica dell’Industria 4.0 crea un ‘ponte’ tra infrastruttura IT e OT, che consente al malware di diffondersi da un laptop d’ufficio ai sistemi che controllano operazioni critiche. Senza adeguata segregazione, il virus si muove lateralmente e può arrivare a bloccare intere linee produttive.

Come agire:

• disconnessione fisica: scollegare immediatamente la macchina infetta dalla rete è l’unico modo certo per bloccare la diffusione;
• preservare lo stato del sistema: tenere il computer acceso per consentire un’indagine forense;
• consultare esperti umani: il giudizio umano è essenziale per determinare se un sistema può funzionare in sicurezza nonostante il virus. Con sistemi legacy può servire richiamare esperti non più attivi;
• difesa sovrana: esempi reali includono tecnologie come HarfangLab per infrastrutture critiche (Giochi Olimpici, sanità, aeronautica).

Come NON agire:

• spegnere il computer: si tratta di un errore critico, perché distrugge prove forensi volatili nella RAM, fondamentali per identificare il ransomware e l’origine dell’attacco;
• agire nel panico: non arrestare l’intera fabbrica senza avere ben chiaro il percorso di ripristino. L’arresto totale costa spesso molto più dell’infezione iniziale;
• evitare risposte generiche: la sicurezza OT non è come la sicurezza IT – non è possibile semplicemente riavviare un sistema industriale come si farebbe con un laptop. Le interconnessioni tra sistemi sono critiche e numerose”.

Matteo Goglio, direttore marketing&sales di Infosecbox:

“Vediamo qui il caso che ha interessato lo studio legale Xxx&Associati. Un dipendente riceve un’email apparentemente dal suo capo: “Ho bisogno urgente delle credenziali del gestionale clienti, sono in riunione e non riesco ad accedere”.

Il tono familiare, il logo dello studio, persino lo stile di scrittura sembrano autentici, generati dall’AI analizzando le email precedenti del titolare. Il dipendente fornisce le credenziali e, in poche ore, i dati riservati di centinaia di clienti sono nelle mani degli attaccanti.

L’errore?

Nessuna procedura nella policy aziendale che imponesse di verificare richieste sensibili tramite un secondo canale (una telefonata, un messaggio su un altro sistema ecc.). La difesa? Una semplice regola: qualsiasi richiesta urgente di credenziali o dati va sempre riconfermata a voce.

Zero eccezioni.

Il messaggio è semplice: l’AI ha reso le truffe indistinguibili dalla realtà. La tecnologia da sola non basta: servono procedure umane chiare e rispettate”.

 

 

LEGGI LE RISPOSTE ALLE ALTRE DOMANDE

• Conoscere l’avversario: le tecniche di attacco

Dato che il primo passo per difendersi è conoscere bene l’avversario: quali ritenete siano le tecniche di attacco più utilizzate e più diffuse? Quali aspetti le rendono più efficaci di altre?

• Sicurezza IT-OT: come ottenerla?

A fronte di questi attacchi, quali secondo voi sono agli aspetti chiave che un’azienda deve tenere in considerazione per mettere in sicurezza le proprie reti IT-OT?

• Il ‘piano B’ e il ‘fattore uomo’

Una volta subito un attacco/furto/blocco, cosa è consigliabile fare? Come deve reagire la vittima? Cosa dovrebbe contenere il ‘piano B’?

• L’evoluzione attesa

In che direzione ritenete si evolveranno gli attacchi? E come dovranno di conseguenza cambiare le modalità di difesa?

• Le normative

Ritenete che le Direttive recentemente varate a livello nazionale e internazionale possano aiutare a contenere le minacce?

 

Fonte foto Pixabay_tixonov_valentin