Sicurezza della rete: l'importanza di avere visibilità completa secondo Armis

Nell’era digitale le aziende dipendono sempre di più dalla tecnologia e dalla connessione Internet. In questo contesto la sicurezza della rete e dei dati dell’impresa è diventata una priorità assoluta. I criminali informatici sono infatti costantemente alla ricerca di opportunità per violare le reti aziendali e accedere alle informazioni riservate. Di conseguenza, le aziende devono adottare misure efficaci per proteggere i loro sistemi e i dati che contengono. In questo contesto, la visibilità completa sulla sicurezza della rete emerge come un elemento fondamentale per proteggere il business.

Armis identifica i dispositivi a maggior rischio in tutti i settori delle infrastrutture critiche

Armis, azienda leader nella sicurezza e visibilità degli asset, ha condiviso i risultati di una nuova indagine, identificando i dispositivi più rischiosi che costituiscono una minaccia per il corretto funzionamento delle infrastrutture critiche nei settori dell’industria manufatturiera, delle utilities e dei trasporti.

L’Asset Intelligence e Security Platform di Armis, che tiene traccia di oltre tre milioni di asset, ha rilevato che i dispositivi di tecnologia operativa (OT) e i sistemi di controllo industriale (ICS) che presentano il rischio più elevato sono le engineering workstation, i server SCADA e quelli di automazione, i servizi historian e i controller a logica programmabile (PLC).

Engineering workstation e server SCADA sono i dispositivi OT più bersagliati

Una engineering workstation è un sistema informatico progettato per soddisfare le esigenze degli ingegneri e dei professionisti tecnici. Queste workstation sono appositamente configurate per fornire prestazioni elevate, capacità di elaborazione avanzate e risorse specifiche per sostenere le attività di progettazione, simulazione e analisi tecnica. Ecco, gli esperti di Armis hanno rilevato che proprio questi sistemi, tra i dispositivi OT, hanno subìto il maggior numero di tentativi di attacco nel settore negli ultimi due mesi, seguite dai server SCADA.

Il 56% delle engineering workstation presenta almeno una vulnerabilità critica senza patch e il 16% soffre di una o più lacune di sicurezza già utilizzate per sferrare attacchi informatici e note da almeno 18 mesi.

La scoperta di TLStorm non è bastata: UPS sempre nel mirino dei criminali informatici

I gruppi di continuità (UPS) sono la terza tipologia di dispositivo più frequentemente oggetto di aggressione. Sebbene siano prodotti fondamentali per garantire la continuità operativa in caso di interruzione dell’alimentazione, i dati Armis mostrano che il 60% dei dispositivi UPS presenta almeno una falla di gravità critica senza patch che potrebbe potenzialmente portare i criminali informatici a causare danni fisici al dispositivo stesso e alle risorse ad esso collegate.

A marzo 2022 Armis stessa ha scoperto TLStorm, attacco che aggredisce i sistemi UPS in assenza delle patch di sicurezza del produttore. Non si tratta di un problema da prendere alla leggera: i tecnici di Armis hanno mostrato che un aggressore remoto non soltanto può interrompere l’erogazione dell’alimentazione ma anche causare un principio d’incendio. Con il completo danneggiamento dell’unità UPS oltre dei sistemi collegati a valle.

Il settore OT è caratterizzato dalla presenza di più sedi, più linee di produzione e linee di distribuzione complesse, una grande quantità di dispositivi gestiti e non. In questo contesto, capire da dove proviene il rischio e dove è necessario intervenire rappresenta una sfida significativa, si spiega da Armis.

“All’interno di un ambiente ICS è piuttosto comune avere dispositivi vulnerabili, quindi i professionisti hanno bisogno di vedere quali risorse sono presenti sulla loro rete e di informazioni aggiuntive su ciò che questi dispositivi stanno effettivamente facendo“, ha dichiarato Nadir Izrael, CTO e co-fondatore di Armis. “I dati di contesto consentiranno ai team di definire il rischio che ogni dispositivo rappresenta per l’ambiente OT. Questo consente di dare priorità alla correzione delle vulnerabilità critiche e/o utilizzate da attacchi per ridurre tempestivamente la superficie di esposizione“.

Sicurezza della rete: la gestione di vulnerabilità vecchie e nuove necessita di una collaborazione fra team

Armis ha richiamato l’attenzione sulle sfide rispetto al tema della sicurezza in ambito industriale. Con i team OT focalizzati sui sistemi di controllo industriale, sulla mitigazione dei rischi e sulla garanzia dell’integrità complessiva degli ambienti operativi, i processi IT sono stati trascurati.

“Quattro dei cinque dispositivi a maggior rischio sono dotati di sistemi operativi Windows“, spiegano i portavoce di Armis. La società ha infatti svolto un’attenta analisi su diverse tipologie di dispositivi e ha rilevato che molti sono più esposti a potenziali attacchi perché utilizzano il protocollo SMBv1. Microsoft ha da tempo deciso di disattivare SMBv1 in Windows: sono troppo elevati i rischi per la sicurezza derivanti dall’utilizzo del vecchio protocollo per la condivisione di file, cartelle e altre risorse. Nell’articolo dedicato al funzionamento di SMB (Server Message Block) ci siamo concentrati sulle versioni che vanno oggi utilizzate.

SMBv1 è un protocollo legacy, non crittografato e ormai obsoleto, che soffre di vulnerabilità prese di mira, ad esempio, nei famigerati attacchi Wannacry e NotPetya. Nonostante la disattivazione forzata, i dati di Armis dimostrano che nel 2023 SMBv1 è purtoppo ancora preminente nel settore.

“Da un punto di vista organizzativo, un approccio alla gestione delle vulnerabilità basato sul rischio deve andare di pari passo con la collaborazione dei reparti OT e IT per coordinare gli sforzi di mitigazione“, osserva Izrael. “In generale, per affrontare le sfide della nuova era industriale, i professionisti della sicurezza hanno bisogno di una soluzione di sicurezza di convergenza IT/OT che protegga tutti gli asset connessi alla rete“.

Armis propone una piattaforma integrata che offre visibilità completa sulla rete

La già citata Armis Unified Asset Intelligence Platfom è una soluzione che rileva tutti gli asset connessi, mappa le comunicazioni e le relazioni tra di essi e aggiunge informazioni per aiutare a comprendere il loro contesto e il rischio che possono introdurre in azienda. È costruita appositamente per proteggere gli ambienti OT e IT e può ricevere segnali significativi da centinaia di piattaforme.

Il motore di rilevamento delle minacce cloud-based di Armis utilizza l’apprendimento automatico e l’intelligenza artificiale per capire quando un dispositivo opera al di fuori della sua normale linea di base “known good” e attiva una risposta automatica per una gestione più semplice della superficie di attacco complessiva.

Anche perché, secondo Armis, oltre alle categorie di dispositivi già prese in esame, anche i controller a logica programmabile (PLC) soffrono oggi di almeno una vulnerabilità critica lasciata irrisolta (il 41% del totale). Accanto ad essi, vengono citati anche l’85% dei lettori di codici a barre, il 32% degli switch industriali gestiti, il 28% delle telecamere IP e il 10% delle stampanti.

Individuazione tempestiva delle minacce e risposta rapida agli incidenti

La visibilità completa sulla sicurezza della rete consente alle aziende di individuare tempestivamente eventuali minacce informatiche. Monitorando costantemente l’attività di rete e analizzando i dati relativi ai dispositivi connessi, è possibile identificare comportamenti anomali e attività sospette che potrebbero rappresentare una potenziale minaccia per la sicurezza. I sistemi di rilevamento delle intrusioni, i log di sistema e altre soluzioni di monitoraggio consentono di identificare gli attacchi in corso così da assumere provvedimenti immediati per la mitigazione dei rischi.

In caso di incidenti, la visibilità completa sulla rete è essenziale per una risposta rapida ed efficace. È possibile individuare l’origine del problema, analizzare l’estensione del danno e prendere misure correttive per contenere e ripristinare la situazione. Senza una visibilità completa della rete, potrebbe essere difficile rilevare un incidente o determinare l’impatto effettivo sulla sicurezza aziendale. La tempestività nella risposta agli incidenti può ridurre notevolmente i danni e limitare il potenziale pericolo per le informazioni aziendali.

L’analisi dei dati sulla sicurezza della rete può aiutare le aziende a identificare i punti deboli, le vulnerabilità e i trend di attacco ricorrenti. Queste informazioni possono essere utilizzate per sviluppare e implementare politiche di sicurezza più efficaci.