Le cyber minacce emergenti e il rischio per i sistemi di Industria 4.0

Il recente report dell’ENISA parla anche dei rischi e delle minacce relativi alla security dei sistemi e delle reti di automazione, controllo e telecontrollo a presidio di macchinari ed impianti nell’Industria e nelle Utility. Ecco che cosa emerge.

Pubblicato il 25 Feb 2019

power-plant 2


di Enzo Maria Tieghi, Ceo di ServiTecno e membro del comitato scientifico del Clusit

A fine gennaio Enisa, l’agenzia europea per la Network and Information Security, ha rilasciato il report Enisa Threat Landscape Report 2018 –  15 Top Cyberthreats and Trends (ETL2018), che potete scaricare gratuitamente dal sito dell’organizzazione.

Si tratta di un documento sullo stato della Cyber Security nell’Unione Europea ed a livello globale, dal punto di vista degli esperti di Enisa, che stilano ogni anno una fotografia con riferimento a minacce più avvertite, crimini cyber ed altri accadimenti avvenuti nell’anno precedente con impatto sui sistemi.

Il report ETL2018 in sintesi

Qui in sintesi, secondo quanto riportano le 139 pagine del report Enisa, le principali tendenze del panorama dei cyberthreat del 2018 ed alcuni messaggi da tenere presenti:

  • I messaggi di posta e di phishing sono diventati il ​​principale vettore di infezione da malware.
  • I kit di exploit hanno perso la loro importanza nel panorama del cyberthreat.
  • I Cryptominer sono diventati un importante vettore di monetizzazione per i criminali informatici.
  • Gli agenti sponsorizzati dallo Stato si rivolgono sempre più alle banche utilizzando i vettori di attacco utilizzati nel crimine informatico.
  • Migliorare Skill e Capability sono l’obiettivo principale di chi si deve difendere. Le organizzazioni pubbliche lottano per fidelizzare il personale a causa della forte concorrenza con l’industria nell’attirare i talenti della sicurezza informatica.
  • L’orientamento tecnico della maggior parte dell’intelligence rivolta al cyberthreat è considerato un ostacolo alla sensibilizzazione del Management.
  • L’intelligence deve rispondere agli attacchi sempre più automatizzati con nuovi approcci e l’utilizzo di strumenti e competenze a loro volta automatizzati.
  • L’emergere di ambienti IoT rimane un problema a causa della mancanza di meccanismi di protezione nei dispositivi e nei servizi IoT di fascia bassa. La necessità di architetture e buone pratiche di protezione IoT generiche è ora ancora più pressante.
  • L’assenza di soluzioni di intelligence cyberthreat per PMI e utenti finali deve essere affrontata sia dai fornitori che dai governi.

Le minacce per Industria 4.0 e Utility 4.0

Occupandoci da anni del tema OT/ICS cyber security siamo però andati a vedere che cosa si può trovare nel report Enisa a proposito di rischi, minacce ed accadimenti relativi a problemi di security per sistemi e reti di automazione, controllo e telecontrollo a presidio di macchinari ed impianti nell’Industria e nelle Utility.

Ecco alcune considerazioni.

1 – Preferire la visibilità all’oscurità

Oggi, uno dei motti più azzeccati per meglio proteggere reti e sistemi di fabbrica è sicuramente “Security-by-Visibility”, in contrapposizione alla “Security-by-Obscurity” che per lungo tempo è stato uno dei mantra della Cyber Security industriale, ovvero cercare di “nascondere” il sistema da proteggere, rendendolo meno visibile, e coprirne le caratteristiche per renderlo meno attaccabile.

Nel tempo si è visto che questo tipo di approccio “Security-by-obscurity” non rende il sistema più sicuro.

Quindi ora si preferisce adottare contromisure adeguate alla criticità e importanza del sistema ICS,  ed al contempo avere la massima visibilità su quanto succede in rete e sul sistema per accorgersi prima possibile di eventuali anomalie di comportamento che possano dare indizi su eventuali compromissioni in atto e incidenti incombenti.

Nel report a pagina 95 viene riportato che nel febbraio 2018 è stato segnalato il primo episodio di malware di cryptomining (un server utilizzato per svolgere catene di cryptovalute) trovato nei sistemi SCADA di una utility idrica, collegato a Internet. Si noti, per inciso, che questo incidente non è stato l’unico (vedi figura qui sotto).

Questo mette chiaramente due problemi che qui riportiamo:

  • Un sistema collegato a internet, con scarsa protezione perimetrale, e quindi facilmente compromissibile
  • La necessità di avere visibilità su quanto avviene nei sistemi ICS, per accorgersi all’istante se ci sia incorso qualche attività non prevista e potenzialmente malevola

2 – Proteggere il perimetro ICS, ma anche segmentare la rete e segregare asset critici

Da sempre suggeriamo di segmentare la rete e segregare in modo adeguato i componenti più critici del sistema di controllo.

A questo riguardo lo standard IEC 62443, riprendendo il cosiddetto modello PERA (Purdue Enterprise Reference Architecture), approfondito anche in ISA-95 e ISA99, definisce come la suddivisione in Zone deve essere seguita e come limitare al massimo i Conduit che permettano comunicazioni di informazioni tra una zona e l’altra, che dovranno poi essere presidiati adeguatamente.

Nel report, a pagina 102, risulta che “Il 64% dei principali incidenti che riguardavano sistemi o reti di controllo industriale sono stati ransomware” (nel 2018).

Nella stragrande maggioranza di tali incidenti, il ransomware arriva sulla rete del sistema OT/ICS  che gestisce l’impianto o la macchina in fabbrica, come “danno collaterale” di un allegato di email o di una navigazione su un sito infetto aperto improvvidamente da un PC negli uffici di sede.

Quasi sempre, una volta arrivato sulla rete di stabilimento il ransomware ha vita facile a propagarsi, infettare altri PC, bloccare il funzionamento criptando i dischi e rendendo inutilizzabile il sistema, e di conseguenza bloccare i sistemi di automazione e controllo, fermando la produzione o l’erogazione del servizio

Ora, a nostro modo di vedere qui si evidenziano tre ordini di problemi:

  • Le policy di awareness/training di security delle Aziende coinvolte non sono così efficaci e qualcuno ancora apre allegati di posta infetti o naviga su siti poco raccomandabili
  • Le contromisure tecnologiche di security adottate non sono adeguate a bloccare queste campagne di ransomware
  • Il fatto che un ransomware che colpisce la rete di ufficio venga a propagarsi nella rete di fabbrica evidenzia il fatto che non ci sia una protezione perimetrale nè una corretta segmentazione della rete nè una segregazione adeguata dei computer più critici nei reparti di produzione

E molto probabilmente risulta lacunosa anche la pratica di effettuare correttamente i backup di tutti i sistemi utilizzati in fabbrica (PC, PLC, SCADA, ecc.): questo, anche in caso di incidente, potrebbe limitare i danni a poche ore di fermo, con ripartenze veloci, senza causare giorni e giorni di mancata produzione o erogazione del servizio come purtroppo è successo in molte realtà industriali sia nel 2017 che nel 2018 (come ancora riportato in diverse parti del report ETL2018).

3 – Limitare l’accesso da remoto ai sistemi industriali

Nel report ETL2018 di Enisa si evidenzia come la distribuzione indiscriminata di RAT (Remote Access Tool) sui sistemi ICS sia una pratica diffusa e che procura grosse preoccupazioni.

Uno strumento di amministrazione remota (o RAT) è un programma usato da operatori e da altre persone per connettersi ad un computer remoto attraverso Internet o attraverso un network locale, per svolgere poi determinate attività di manutenzione o anche gestione del sistema senza doversi recare di persona sull’impianto per avere fisicamente accesso al sistema stesso: uno strumento per l’amministrazione remota installato sul sistema ICS e che possa replicare video, tastiera e mouse su un altro PC collegato in rete

Il report ETL2018 a pagina 109 ci ricorda che “Le reti OT di imprese industriali sono un campo di gloria per gli attori di minacce di spionaggio. Questi attori utilizzano strumenti di amministrazione remota (RAT) che sono già installati sui sistemi di controllo industriale (ICS). Qui sotto una figura da un recente rapporto che rivela i 20 principali paesi in cui sono stati utilizzati i RAT almeno una volta in incidenti di spionaggio durante il primo semestre del 2018”. (https://securelist.com/threats-posed-by-using-rats-in-ics/88011/)

Dalla seguente figura si evince che Remote Access Tools (che poi sono RDP, Remote Desktop, VNC, Teamviewer, ecc.) sono installati su 40 computer di sistemi ICS sul totale di tutti i computer, e già questo è indicativo e sintomatico dell’usanza di metterlo dappertutto.

Ma se poi scendiamo al dettaglio della ricerca Kaspersky richiamata nel report ETL2018 scopriamo anche che tali tool sono installati legittimamente solo su meno di un terzo dei sistemi ICS: in pratica su quasi il 70% dei sistemi in oggetto tali RAT sono stati installati e sono attivi senza che gli operatori ed i proprietari dei sistemi ne siano a conoscenza!

Quindi nuovamente un problema di scarsa “visibilità” sul sistema ICS.

La scoperta del primo malware indirizzato su un sistema SIS

Il report Enisa ETL2018 evidenzia come tra il 2017 ed il 2018 sia stato rilevato il primo malware indirizzato direttamente verso i sistemi di sicurezza delle infrastrutture critiche: Triton, è infatti il primo malware che ha come obiettivo primario i sistemi SIS (Safety Instrumented Systems). I SIS sono progettati per fermare (shutdown) e mettere in sicurezza i processi industriali quando raggiungono condizioni operative non sicure.

Incidenti mirati su tali sistemi SIS, ce di solito sono utilizzati in impianti pericolosi (raffinerie, piattaforme off-shore, impianti gas, impianti chimici, centrali elettriche, ecc.) potrebbe portare a gravi implicazioni (vi ricordate  Stuxnet e Industroyer?). E si prevede che gli ICS / SCADA saranno sempre più presi di mira da attori di minacce avanzate che abbiano le capacità e l’intenzione di eseguire tali operazioni.

Di Triton/Trisis hanno parlato diffusamente anche generaliste, in quanto ora è provato che i sistemi di controllo a ultimo presidio dell’incolumità di persone, ambiente ed impianto stesso sono anche loro violabili e controllabili dall’esterno da attori che potrebbero essere comandati dal crimine o da governi ostili.

Gli obiettivi ora sono anche “fisici”

Come già riporta all’inizio il rapporto Enisa, “L’emergere di ambienti IoT rimane un problema a causa della mancanza di meccanismi di protezione nei dispositivi e nei servizi IoT di fascia bassa. La necessità di architetture e buone pratiche di protezione IoT generiche è ora ancora più pressante”.

E ancora, come riportato a pag 25: “Autori di malware sempre più interessati ai dispositivi IoT. Uno degli eventi degni di nota del 2018 è stato il malware VPNFilter. VPNFilter è un malware multistadio che ha come target router di casa, piccoli uffici e dispositivi NAS.  Al momento della stesura di questo report, ha compromesso circa 500.000 dispositivi in ​​tutto il mondo, creando così una enorme rete di anonimizzazione per i suoi creatori. Proprio come quello che è successo con Mirai, si prevede che il malware VPNFilter sarà replicato, come tanti attacchi e vulnerabilità relativi ai dispositivi router e IoT nel corso del 2018”.

E a pagina 47: “Dall’altra parte, l’aumento del numero di servizi inter-connessi a livello globale e la loro dipendenza da IOT per eseguire e facilitare tali servizi, hanno sollevato preoccupazioni per le minacce come gli attacchi DoS che potenzialmente possono causare danni su scala nazionale a Aziende e Infrastrutture Critichei. Un esempio di tali servizi sono gli ospedali collegati ed i servizi connessi. Tuttavia, nonostante le attività di mitigazione e prevenzione in corso in tutto  il mondo, le ricerche ci danno un numero di attività DDoS in aumento (del +16%)”.

In definitiva “L’incertezza sulla riuscita implementazione della sicurezza informatica e degli standard di qualità continuerà, soprattutto a causa dell’emergere dell’IoT che collega gli spazi cibernetici e fisici. Il panorama delle minacce che emerge dagli attacchi alla supply chain è una delle principali preoccupazioni per la sicurezza informatica, in particolare per i dispositivi a basso costo”.

L’AI (Artificial Intelligence) per la security e l’accoppiata AI+IoT

AI (Artificial Intelligence) viene vista come strumento indispensabile per la protezione e per rimanere al passo di minacce e vulnerabilità (che a loro volta vedono utilizzo di tool AI per la loro ricerca e sviluppo).

L’Enisa ha rilasciato nel 2018 un motore di ricerca intelligente per la sicurezza informatica denominato Open-CSAM43: è uno strumento sviluppato mirando al monitoraggio continuo delle fonti, evidenziando trend e notizie riguardanti le minacce alla Cyber security, utilizzando l’intelligenza artificiale (AI).

Le vulnerabilità introdotte dalle tecnologie emergenti, come l’Intelligenza Artificiale (AI) e l’Internet-of-Things (IoT) generano interesse anche da parte dei governi per supportare attività di spionaggio informatico attraverso exploitation.

Un recente rapporto ha rivelato una lettera del governo israeliano indirizzata a sviluppatori di exploit con sede negli Stati Uniti che chiedevano informazioni su “Advanced Vulnerabilities R & D e exploit zero-day su una vasta gamma di piattaforme e tecnologie target per consentire l’uso da parte delle forze dell’ordine e agenzie di sicurezza”.

Valuta la qualità di questo articolo

Franco Canna
Franco Canna

Fondatore e direttore responsabile di Innovation Post. Grande appassionato di tecnologia, laureato in Economia, collabora dal 2001 con diverse testate B2B nel settore industriale scrivendo di automazione, elettronica, strumentazione, meccanica, ma anche economia e food & beverage, oltre che con organizzatori di eventi, fiere e aziende.

email Seguimi su

Articoli correlati

Articolo 1 di 3