EON_632

EON EWS n . 632 - LUGLIO / AGOSTO 2019 20 nendo l’accesso alla rete di produzione per poi passare nella rete ICS. Il report di F-Secure distin- gue fra nove diverse tipolo- gie di attaccanti/malware/ tecniche che colpiscono l’in- dustria dell’energia. Il report fa riferimento a Sharpshoo- ter (Lazarus Group), APT33, GreyEnergy (il successore del gruppo BlackEnergy), Malware BlackEnergy 1, 2 e 3, Malware Industroyer (an- che noto come CrashOverri- de), Dragonfly/Dragonfly 2.0, Malware Havex, all’attacco ICS di tipo sidechannel e al Malware TRITON/TRISIS. Di fatto gli attaccanti conti- nuano ad avere successo principalmente a causa della mancanza di pratiche matu- re di cyber security da parte delle organizzazioni Dal punto di vista delle pos- sibilità di mitigare gli effetti di questi attacchi, gli esperti consigliano alle organizzazio- ni di rivedere la loro strategia di sicurezza informatica per implementare le più recenti tecnologie disponibili, come per esempio le soluzioni di rilevamento e risposta per gli endpoint (EDR). Queste soluzioni gestite di EDR pos- sono fornire funzionalità di monitoraggio di tipo 24/7, con invio di alert e risposta. Ciò significa che i team IT delle organizzazioni possono ope- rare durante le ore lavorative per rivedere i dati emersi dai rilevamento, mentre un team specializzato in cyber security si può occupare del resto. In sostanza si tratta di un me- todo veloce per aumentare le capacità di rilevamento sia delle minacce avanzate sia degli attacchi mirati che po- trebbero superare le soluzio- ni tradizionali di protezione degli endpoint. G li attacchi informatici fina- lizzati al sabotaggio, oppure allo spionaggio, nei confronti delle CNI (Critical National Infrastructure) e dei centri di distribuzione di energia sono aumentati negli anni e gli analisti sottolineano che questa crescita è destinata a proseguire nel futuro. Del re- sto, questo tipo di infrastrut- ture può essere un bersaglio interessante anche per Stati stranieri e anche in tempo di pace. F-Secure , multinazio- nale finlandese specializzata in cyber security, ha pubbli- cato un recente report, intito- lato The State of the Station. A report on attackers in the energy industry , in cui si ana- lizza lo stato di sicurezza di questo settore. Il quadro che ne emerge è tutt’altro che rassicurante vi- sto che i sistemi interconnes- si nell’industria dell’energia accrescono le vulnerabilità e, secondo gli esperti, spesso i responsabili dei sistemi non riescono a rilevare gli attac- chi informatici per diverso tempo. Per contro, gli autori degli attacchi sono dotati di tecnologie avanzate, molto più sofisticate dei sistemi e delle soluzioni obsolete utiliz- zate dalle aziende per motivi di contenimento dei costi. In realtà una parte dei pro- blemi deriva dai cambiamenti tecnologici che si sono sus- seguiti negli anni. I sistemi di controllo industriale (In- dustrial Control Systems o ICS) sono infatti sempre più connessi a Internet e un nu- mero rilevante di sistemi CNI attualmente in uso sono sta- ti realizzati e installati prima che la connettività a Internet del tipo 24/7/365 costituisse la modalità standard e prima dell’avvento di attacchi come Stuxnet. Occorre considerare inoltre, che molti componenti inambitoOperational Techno- logy (OT) dispongono di fun- zionalità integrate di gestione remota, ma sono parzialmen- te, o peggio totalmente, privi di sistemi di sicurezza come per esempio l’autenticazione. Sempre più rischi Il nuovo report di F-Secure evidenzia che la possibilità di attacchi nei confronti di queste infrastrutture è molto articolato. Lo scenario attua- le infatti è caratterizzato da un’ampia varietà di soggetti, ciascuno con le proprie mo- tivazioni e tecniche, che ten- tano costantemente di com- promettere le organizzazioni che gestiscono infrastrutture critiche. Sono diffusi anche gruppi di Advanced Persi- stent Threat (APT), spon- sorizzati direttamente da diversi Stati, che continuano a cercare punti di accesso nelle reti dei CNI e opportu- nità di spionaggio per offrire strumenti utili per esercitare una leva politica. Occorre considerare anche che chi esegue gli attacchi ha mol- to più tempo a disposizione rispetto ai relativi bersagli e si possono impiegare anche mesi per pianificare un at- tacco. In questo contesto, il report sottolinea che sono le persone sono l’anello più de- bole negli ambiti produttivi e i dipendenti dell’azienda sono apparentemente i bersagli dei criminali. Una e-mail di phishing (spear phishing) è il vettore frequentemente usa- to da parte degli attaccanti APT contro gli operatori CNI. Un tradizionale attacco di phishing compromette pri- ma l’elemento umano, otte- F RANCESCO F ERRARI Una ricerca di F-Secure analizza i rischi legati alla sicurezza informatica dell’industria dell’energia Le vulnerabilità dell’industria dell’energia A TTUALITÀ