Microsoft Cyber Signals: la convergenza di IT e tecnologia operativa (OT) aumenta i rischi informatici per le infrastrutture critiche

Microsoft ha rilasciato la terza edizione di Cyber Signals, il report di intelligence dedicato alle minacce informatiche, basato sui dati e sulle ultime analisi condotte da Microsoft. Il report indentifica le principali minacce cyber, evidenziando le tendenze e le strategie più recenti utilizzate dagli aggressori e fornisce consigli e strumenti per aumentare il livello di sicurezza delle aziende.

La nuova edizione del report si sofferma in particolare sulla convergenza di IT e tecnologia operativa (OT), evidenziando come in scenari complessi che coinvolgono anche l’IoT i rischi informatici siano in aumento, soprattutto per quanto riguarda le infrastrutture critiche. Dal 2020 al 2022, infatti, il numero di vulnerabilità ad alto rischio scoperte nelle apparecchiature di controllo industriale è aumentato del 78%.

Secondo i dati rilevati nell’ultimo anno, Microsoft ha osservato minacce che sfruttano i dispositivi in quasi tutti i processi di un’azienda, prendendo in considerazione sia apparecchiature IT tradizionali, controller OT e dispositivi IoT come router e telecamere. Il picco di presenza degli aggressori in questi ambienti e reti è alimentato dalla convergenza e dall’interconnettività che molte organizzazioni hanno adottato negli ultimi anni. IDC stima che entro il 2025 ci saranno 41,6 miliardi di dispositivi IoT connessi, un tasso di crescita superiore a quello delle apparecchiature IT tradizionali. Sebbene la sicurezza delle apparecchiature IT si sia rafforzata negli ultimi anni, la sicurezza dei dispositivi IoT e OT non ha tenuto il passo e gli aggressori stanno sempre più sfruttando questi dispositivi, utilizzandoli per attacchi informatici contro le infrastrutture critiche per raggiungere obiettivi militari ed economici. I dispositivi IoT offrono un valore significativo alle organizzazioni che desiderano modernizzare gli spazi di lavoro, diventare sempre più data-driven e semplificare la gestione aziendale attraverso la gestione da remoto e l’automazione. Tuttavia, nelle reti di infrastrutture critiche, se non adeguatamente protette, i device IoT aumentano il rischio di accesso non autorizzato alle risorse e alle reti operative, offrendo agli aggressori un gateway per pianificare attacchi su larga scala su apparecchiature e dispositivi sensibili.

È inoltre importante notare come il 72% dei software exploit utilizzati da “Incontroller” – ovvero ciò che la Cybersecurity and Infrastructure Security Agency (CISA) descrive come un nuovo set di strumenti di attacco informatico sponsorizzati da stati – orientati ai sistemi di controllo industriale, sono già disponibili online, evidenziando come la proliferazione di tali strumenti stia abbassando drasticamente le competenze e le barriere all’ingresso necessarie per condurre un attacco, favorendo una più ampia attività di attacco da parte di altri attori. 

La convergenza tra i laptop, le applicazioni web e gli spazi di lavoro ibridi del mondo IT e i sistemi di controllo legati alle fabbriche e alle strutture del mondo OT comporta gravi conseguenze in termini di rischi, offrendo agli aggressori l’opportunità di sfruttare le intermittenze di copertura tra sistemi precedentemente isolati.  In tal modo i dispositivi IoT, come telecamere e sale conferenze intelligenti, sono catalizzatori di rischio in quanto creatori di nuovi ingressi negli spazi di lavoro e in altri sistemi IT. Secondo gli insight di Microsoft, nel 75% dei controller industriali più comuni nelle reti OT dei clienti sono state identificate vulnerabilità senza patch e ad alto rischio.

Mentre un ambiente ICS (sistema di controllo industriale) può essere “air-gapped” e isolato da Internet, nel momento in cui un laptop compromesso viene collegato a un dispositivo OT precedentemente sicuro o a una rete, esso diventa vulnerabile. Nelle reti dei clienti monitorate da Microsoft, il 29% dei sistemi operativi ha versioni non più supportate. Poiché i sistemi operativi meno recenti spesso non ricevono gli aggiornamenti necessari per proteggere le reti, e l’applicazione di patch è difficile nelle grandi aziende o negli impianti di produzione, dare priorità alla visibilità dei dispositivi IT, OT e IoT è un primo passo importante per gestire le vulnerabilità e proteggere questi ambienti. In questo contesto, risulta importante notare come nel mondo OT la supply chain riveste un ruolo ancor più importante che nella realtà IT e, pertanto, è necessario che tutti gli attori in gioco garantiscano il livello di sicurezza più alto possibile. Infatti, il fatto che i moltissimi sistemi SCADA ed industriali in generale, soffrano di vulnerabilità significative è figlio di applicazioni obsolete e non aggiornabili perché il costo da sostenere per farlo risulta essere troppo elevato. Una difesa basata su Zero Trust, un’efficace applicazione delle policy e un monitoraggio continuo possono aiutare a limitare il potenziale raggio di attacco e prevenire o contenere incidenti in ambienti connessi al cloud.

Infine, lo studio delle apparecchiature OT richiede conoscenze specifiche ed è fondamentale la comprensione dello stato di sicurezza dei controller industriali. Microsoft ha quindi lavorato per rilasciare uno strumento forense open source per gli esperti di cybersecurity, per aiutare gli specialisti della sicurezza a comprendere meglio i loro ambienti e indagare potenziali incidenti.