Kaspersky : cambia nel 2023 il panorama delle minacce ai sistemi di controllo industriale
Le previsioni dei ricercatori del CERT ICS di Kaspersky per il 2023 e i prossimi anni sugli sviluppi e i rischi dei sistemi di controllo industriale indicano che ci sarà un cambiamento sensibile nel panorama delle minacce.
Gli analisti stimano infatti che ci sarà un aumento della superficie di attacco dovuto alla digitalizzazione, attività di insider e criminali informatici volontari, attacchi ransomware alle infrastrutture critiche, ma anche effetti tecnici, economici e geopolitici sulla qualità del rilevamento delle minacce e maggiori potenziali vulnerabilità sfruttate dagli attaccanti.
Per quanto riguarda i nuovi rischi, i ricercatori di Kaspersky prevedono un cambiamento nell’attività delle minacce persistenti avanzate (APT) contro le aziende industriali e i sistemi OT in nuovi settori e aree. Il 2023 dovrebbe vedere un aumento di attacchi in settori come per esempio l’agricoltura, la logistica e i trasporti, le energie rinnovabili e il settore energetico nel suo complesso, l’high-tech, le case farmaceutiche e i produttori di attrezzature mediche. Gli obiettivi tradizionali, come settore industriale militare e quello governativo, dovvrebbero restare, invece, invariati
La superficie degli attacchi aumenterà anche a causa della digitalizzazione in una corsa verso una maggiore efficienza in IIoT e SmartXXX, compresi i sistemi per la manutenzione predittiva e la tecnologia digital twin. Questa tendenza è supportata dalle statistiche sugli attacchi ai Computerized Maintenance Management System (CMMS) nella prima metà del 2022. I primi 10 Paesi che hanno subito attacchi a questi sistemi sono considerati Paesi con livelli di sicurezza più elevati, tra cui in Europa l’Austria, la Germania i Paesi Bassi e la Francia.
Classifica dei primi 10 Paesi in base alla percentuale di CMMS attaccati nella prima metà del 2022
I rischi di espansione della superficie di attacco sono legati anche agli elevati costi dei fornitori energetici e ai conseguenti aumenti dei prezzi dell’hardware, che costringerebbero molte imprese ad abbandonare i piani di implementazione dell’infrastruttura on premise a favore di servizi cloud da parte dei fornitori terzi e potrebbero incidere anche sui bilanci di alcuni IS.
Le minacce possono provenire inoltre da unità di trasmissione e aggregati non controllati che possono essere bersagli o strumenti di attacco. Altri rischi da tenere d’occhio sono l’intensificarsi di attività criminali con l’obiettivo di raccogliere le credenziali degli utenti, nonché insider con motivazioni ideologiche e politiche o che collaborano con gruppi criminali, solitamente estorsori e APT. Questi insider possono essere attivi nelle strutture produttive, ma anche tra gli sviluppatori di tecnologia o i fornitori di prodotti e servizi.
Il flusso geopolitico dei rapporti di fiducia, che hanno un effetto globale sullo stato della cybersecurity anche nel settore ICS, sarà più evidente nel 2023. Oltre alla crescita dell’attività degli hacktivist che “lavorano” per programmi politici interni ed esterni, che potrebbero diventare più efficaci, si potrebbe anche assistere a un’estensione degli attacchi ransomware alle infrastrutture critiche perché saranno più difficili da combattere.
Il peggioramento della cooperazione internazionale nell’applicazione della legge porterà a un aumento di attacchi informatici nei Paesi considerati avversari. Allo stesso tempo, le nuove soluzioni alternative sviluppate a livello nazionale potranno anche portare a nuovi rischi, come il software con errori di configurazione della sicurezza e facili vulnerabilità zero-day, rendendoli accessibili sia ai criminali informatici che agli hacktivist.
Le aziende potrebbero trovarsi ad affrontare nuovi rischi, come la diminuzione della qualità del rilevamento delle minacce a causa di interruzioni della comunicazione tra sviluppatori e ricercatori di sicurezza informatica situati in Paesi attualmente in conflitto. Ci si potrebbe anche trovare di fronte a una diminuzione della qualità delle informazioni sulle minacce, con conseguenti attribuzioni non supportate e tentativi governativi di controllare le informazioni su incidenti, minacce, e vulnerabilità.
Il ruolo crescente dei governi nei processi operativi delle imprese industriali, comprese le connessioni a cloud e servizi governativi, che a volte sono meno protetti rispetto a quelli riservati ai leader di mercato, comporta ulteriori rischi per la sicurezza IT. Il rischio di fughe di dati riservati aumenta a causa del numero considerevole di dipendenti non qualificati nelle istituzioni governative, nonché di una cultura e di pratiche interne ancora in via di sviluppo per una divulgazione responsabile.
I ricercatori del CERT ICS di Kaspersky hanno elencato le principali tecniche e tattiche di cui si prevede la diffusione nel 2023:
1. Pagine e script di phishing nascosti in siti legittimi.
2. L’uso di programmi di distribuzione non funzionanti contenenti Trojan, patch e key generator per software di uso comune e specialistico.
3. E-mail di phishing su eventi di attualità con argomenti particolarmente drammatici, compresi eventi politici.
4. Documenti rubati in precedenti attacchi ad aziende collegate o partner che vengono utilizzati come esca nelle e-mail di phishing.
5. La diffusione di e-mail di phishing provenienti da caselle di posta elettronica di dipendenti e partner compromesse e mascherate da corrispondenza di lavoro legittima.
6. Vulnerabilità zero-day, che verranno chiuse ancora più lentamente poiché gli aggiornamenti di sicurezza per alcune soluzioni diventano meno accessibili in alcuni mercati.
7. Abuso di errori di configurazione di base (come l’utilizzo di password predefinite) e di facili vulnerabilità zero-day in prodotti di “nuovi” fornitori, compresi quelli locali.
8. Attacchi ai servizi cloud.
9. Utilizzo di errori di configurazione nelle soluzioni di sicurezza, ad esempio quelli che consentono di disattivare una soluzione antivirus.
10. Utilizzo di un servizio cloud popolare come CnC: anche dopo l’identificazione di un attaccante, la vittima potrebbe non essere in grado di bloccare gli attacchi perché importanti processi aziendali potrebbero dipendere dal cloud.
11. Sfruttamento di vulnerabilità in software legittimi, DLL Hijacking e BYOVD (Bring Your Own Vulnerable Driver), ad esempio, per aggirare la sicurezza del nodo finale.
12. La diffusione di malware tramite supporti rimovibili per superare l’air gap.
“Nel 2022 abbiamo osservato che gli incidenti di cybersecurity sono stati numerosi e hanno causato molti problemi a proprietari e operatori ICS. Tuttavia, non abbiamo assistito a cambiamenti improvvisi o catastrofici nel panorama generale delle minacce, né a cambiamenti difficili da gestire, nonostante i numerosi titoli riportati dai media. Analizzando gli incidenti nel 2022, dobbiamo riconoscere, che siamo entrati in un’epoca in cui i cambiamenti più significativi nel panorama delle minacce ICS sono determinati principalmente dalle tendenze geopolitiche e dai conseguenti fattori macroeconomici. I criminali informatici sono naturalmente cosmopoliti; tuttavia, prestano molta attenzione alle tendenze politiche ed economiche mentre inseguono facili profitti e garantiscono la loro sicurezza personale. Confidiamo che la nostra analisi degli attacchi futuri sia utile alle aziende per prepararsi alle nuove minacce emergenti”, ha commentato Evgeny Goncharov, Head di ICS CERT Kaspersky.
Contenuti correlati
-
Nuova ricerca di Palo Alto Networks sugli attacchi continui agli ambienti OT
Il nuovo report “The State of OT Security: a Comprehensive Guide to Trends, Risks, and Cyber Resilience”, di Palo Alto Networks, realizzato in collaborazione con ABI Research, evidenzia che due imprese italiane su cinque subiscono mensilmente attacchi...
-
Le insidie nella qualifica delle librerie del compilatore
Le norme relative a functional safety e cybersecurity trattano la qualifica degli strumenti e delle librerie come argomenti indipendenti. Questa indipendenza non è coerente con la prospettiva della norma ISO C che sta alla base dell’implementazione del...
-
Sistemi operativi real-time: 6 RTOS per applicazioni embedded più sicure
I progetti nel settore automobilistico, nell’automazione industriale, nella sanità, ma anche nel mondo Internet of Things, si stanno focalizzando maggiormente sui requisiti di sicurezza dei sistemi critici. Questo trend sta spingendo i vendor di piattaforme RTOS a...
-
Benefici e rischi dei Large Language Model nel cloud
Di Tristano Ermini, Manager, Systems Engineering di Palo Alto Networks Qual è la correlazione tra i modelli linguistici di grandi dimensioni (LLM) e la sicurezza cloud? Questi modelli avanzati possono essere pericolosi, ma possono anche essere utilizzati...
-
Kaspersky: diffusione e preoccupazioni sulla GenAI nelle aziende italiane
Kaspersky ha presentato i risultati della ricerca italiana “Intelligenza Artificiale e Cybersecurity: Insidia o Aiuto?” sulla diffusione dell’IA generativa all’interno delle aziende. Dai risultati emerge che oltre la metà dei dirigenti esprime forti preoccupazioni sui potenziali rischi...
-
Autenticazione delle email, sta per arrivare la nuova rivoluzione della cybersecurity
Google e Yahoo stanno per cambiare i requisiti di autenticazione delle email, rendendoli più stringenti. Che cosa cambia per le aziende che usano questo canale per comunicare con clienti e prospect? Chi ha un account di posta...
-
Strumenti OSINT, un’arma efficace al servizio della sicurezza IT
Di Andy Thompson, Offence Cybersecurity Research Evangelist di CyberArk Sotto il nome di Open Source Intelligence (OSINT) si cela in realtà una disciplina che risale agli albori dell’umanità ed è, in sostanza, uno sforzo per raccogliere e...
-
Sicurezza del software: perché formazione e aggiornamento degli sviluppatori devono cambiare
A cura di Massimo Tripodi, Country Manager di Veracode Italia Quali metodi preferiscono utilizzare gli hacker per colpire le loro vittime dall’esterno? Il 26% colpisce la catena di fornitura del software, il 25% esegue exploit di vulnerabilità...
-
Quando la minaccia arriva dall’interno. I trend attuali in tema di insider risk
Di Luca Maiocchi, Country Manager, Proofpoint Italia “Gli attaccanti esterni sono l’unica minaccia per le risorse aziendali”: già nel 2017 McKinsey aveva giustamente definito questa affermazione un mito. Oggi sembra che un numero maggiore di aziende stia...
-
Sicurezza Shift-Left: i fattori principali da considerare prima di implementarla
Gli esperti di Palo Alto Networks analizzano le criticità dell Sicurezza Shift-Left e offrono consigli su e come agire per evitare falle nei sistemi di sicurezza. Il termine “Shift-Left” si riferisce al ciclo di vita dello sviluppo...