Le organizzazioni spesso commettono l’errore di preoccuparsi di qualcosa che non possono controllare, ovvero se gli hacker vogliano prenderle di mira. La risposta breve è sì, tutte le organizzazioni sono buoni obiettivi e dovrebbero considerarsi tali. Ciò è particolarmente vero per le organizzazioni che utilizzano tecnologie operative (OT) e sistemi di controllo industriale (ICS). Man mano che le minacce si evolvono per includere nuove potenti funzionalità come PIPEDREAM appena scoperto malware Sviluppato dal gruppo di minacce CHERNOVITE, le organizzazioni devono rendersi conto che il momento di essere preparati è adesso. ma cosa significa quello esattamente?
Vicepresidente per l’Europa e l’Africa, Dragosum.
Il panorama delle minacce è in evoluzione
Il panorama delle minacce sta cambiando rapidamente, soprattutto quando si tratta di ambienti OT. Secondo l’annuale Dragos Year in Review 2022, riscatto Gli attacchi contro le organizzazioni industriali sono aumentati dell’87% rispetto allo scorso anno. L’attuale panorama geopolitico (e il conseguente aumento degli attacchi contro gli ambienti OT) ha indotto molte organizzazioni industriali a prendere atto dell’idea di un attacco. Forse ironicamente, è più importante che mai che le organizzazioni non si facciano prendere dal panico. Il panico porta solo a errori e confusione.
In passato, gli ambienti industriali erano in gran parte eterogenei. Ogni sistema era unico, conteneva stack tecnologici completamente diversi ed era conosciuto solo da una manciata di persone che avevano lavorato in fabbrica più o meno per tutta la loro carriera. Per gli avversari, ciò significava che tutto ciò che costruivano per attaccare le organizzazioni industriali doveva essere convenzionale. Ogni attacco era costoso e ad alto rischio con scarsa scalabilità.
Con l’evolversi della tecnologia, ci stiamo muovendo verso sistemi più unificati e connessi, riducendo i costi aziendali e aumentando l’efficienza rendendo più semplice la manutenzione della tecnologia in più sedi. Per dirla in modo troppo semplice, c’è una tendenza verso gli stack tecnologici “cookie cutter” nelle fabbriche. Gli ambienti OT sono diventati in gran parte standardizzati e più facili da studiare e comprendere per chiunque. Per un attore di minacce con una conoscenza di base di questa tecnologia, ciò significa che gli attacchi sono ora ripetibili e scalabili, con un impatto economico potenzialmente enorme.
Una delle scoperte più importanti che abbiamo fatto riguardo all’evoluzione delle minacce agli ambienti industriali è il gruppo di minacce CHERNOVITE e il suo malware PIPEDREAM. CHERNOVITE è in grado di funzionare sia su reti IT che OT, ma il suo malware è stato sviluppato appositamente per essere utilizzato contro la tecnologia OT. Ciò che rende PIPEDREAM davvero unico è il fatto che è riutilizzabile, scalabile e può essere utilizzato in più settori. Va notato che dobbiamo ancora vederlo implementato con successo, e questo è significativo perché significa che la comunità industriale è nella rara posizione di essere in grado di prepararsi per una minaccia prima di un attacco.
Data la longevità dei sistemi industriali, dobbiamo anche prepararci all’evoluzione futura. Nel giro di quattro o cinque anni, prevediamo di superare il limite in cui il malware potrà (e sarà) utilizzato in tutti i settori in qualsiasi momento. Ci sarà meno tempo per riprendersi e imparare dagli attacchi, e gli attori statali saranno più persistenti. Fortunatamente, noi, come sicurezza Leader e sostenitori negli ambienti OT hanno un vantaggio: la comunità.
Con la sicurezza OT, ci vuole davvero un villaggio. La comunità vince sempre contro gli avversari, gli attacchi vengono fermati ogni giorno, ma non se ne sente parlare molto. La capacità di fermare efficacemente gli attacchi deriva dall’accumulazione di conoscenze e dalla costruzione di difese forti. Ciò che spesso perdiamo di vista è il fatto che l’avversario ha torto.
Poiché gli ambienti diventano sempre più simili, esiste l’opportunità di condividere conoscenze e imparare gli uni dagli altri quando rileviamo minacce e soprattutto dopo un attacco. Lo scambio tra industrie e comunità più ampie è importante perché esercita pressione sugli avversari affinché debbano tenere il passo. In questo modo la difesa ha la possibilità di restare un passo avanti. Tuttavia, quando qualcosa va storto, è molto importante sapere perché è successo. Un’analisi delle cause profonde può essere incredibilmente approfondita per evitare che qualcosa accada di nuovo.
Prevedere il futuro del settore
Non è saggio “prevedere” quando si tratta di sicurezza OT. Invece è meglio fare una previsione, perché si tratta di una previsione basata sul tempo. Spesso c’è molta confusione su ciò che potrebbe accadere in futuro e spesso ci concentriamo sulle cose sbagliate e analizziamo eccessivamente. Ad esempio, lo zero trust è problematico e irrealistico negli ambienti OT. Allo stesso modo, le vulnerabilità nei sistemi legacy sono state monitorate a lungo ma non vengono sfruttate con successo negli attacchi ICS. Allo stesso modo, è palesemente falso che gli ambienti siano “insicuri fin dalla progettazione”. Dobbiamo spostare la nostra attenzione su ciò che possiamo conoscere e controllare: il presente.
Per proteggere qualsiasi ambiente, è importante conoscere il proprio ambiente. Il rapporto Dragos Annual Review 2022 ha rilevato che l’80% delle organizzazioni era troppo limitato/invisibile nel proprio ambiente OT. Si tratta tuttavia di un miglioramento rispetto al 2021 (86%) e al 2020 (90%). Comprendendo ciò che è presente nel tuo ambiente, puoi comprendere e dare priorità all’approccio migliore per correggere eventuali vulnerabilità. Se aggiusti le cose che trovi, alla fine troverai delle incognite, e le persone sono sempre preoccupate per le incognite. Solo se conosci il tuo ambiente puoi prevedere. La protezione è possibile senza panico. Per sviluppare l’agilità operativa è necessario comprendere il proprio ambiente.
Un’architettura difendibile dovrebbe aggiungere valore e comprensione all’ambiente, quindi non ha senso agire senza sapere cosa è necessario proteggere. Concentrandoti su questi “conoscimenti”, puoi prepararti ad adattarti facilmente alle incognite. Un approccio forte all’agilità operativa consiste in visibilità, rilevamento e risposta. La condivisione di eventuali vulnerabilità rilevate con la comunità più ampia può rendere questo processo più agevole per tutti. Questo approccio è positivo non solo per gli attori statali, ma anche per una minaccia molto più frequente e probabile: gli incidenti.
È ora
Non si può dire abbastanza che per creare una forte flessibilità operativa non possiamo cadere preda del rumore che circonda il “futuro”. Sì, il pensiero di un gruppo minaccioso come CHERNOVIT è preoccupante. tuttavia, se hai seguito l’OT sicurezza informatica migliori pratiche e una forte flessibilità operativa integrata, sei pronto per PIPEDREAM. Assicurarsi che i sistemi vengano aggiornati, scansionati frequentemente e patchati quando necessario; assicurarti di avere una buona visibilità per rilevare le minacce e un solido piano di risposta agli incidenti; Mentre impari dalla comunità più ampia, fai quello che puoi per stare al passo con questi avversari progressisti.
