Le minacce informatiche rivolte ai sistemi OT stanno aumentando ad un ritmo allarmante, con quasi il 73% delle organizzazioni che ha segnalato una violazione con impatto sui sistemi IT e OT nel 2024 ^[1] – rispetto al 49% dello scorso anno. Questi sistemi, che gestiscono e controllano processi industriali critici in settori come l’energia, il manifatturiero, i trasporti e l’healthcare, sono sempre più interconnessi con i sistemi IT per via di fenomeni come la trasformazione digitale e la diffusione dell’Industrial Internet of Things. Studi recenti rivelano inoltre un’impennata delle violazioni che colpiscono esclusivamente i sistemi OT, che sono passate dal 17% al 24%^[2], rispetto all’anno precedente.

A differenza dei sistemi IT tradizionali, gli ambienti OT sono caratterizzati da sfide uniche in ambito cyber a causa dei loro requisiti operativi, delle tecnologie obsolete utilizzate e della necessità di un uptime continuo. Poiché i sistemi OT sono sempre più connessi, correggerne le vulnerabilità è fondamentale per garantire la sicurezza e il funzionamento delle infrastrutture critiche.

Le sfide

Una delle sfide principali per la messa in sicurezza dei sistemi OT risiede nell’obsolescenza della loro infrastruttura. Molti ambienti OT sono costituiti da dispositivi e sistemi progettati decenni fa, molto prima che la cybersecurity fosse un tema rilevante. Questi sistemi spesso utilizzano software e hardware obsoleti non più supportati dai produttori. Di conseguenza, essi risultano vulnerabili ad una serie di exploit che i sistemi più moderni riescono a contrastare facilmente.

Inoltre, a differenza dei sistemi IT, i sistemi OT devono funzionare in modo continuo, con tempi di inattività minimi. Per le organizzazioni operanti nel settore energetico, gli impianti di trattamento delle acque o le industrie manifatturiere, anche brevi interruzioni possono comportare perdite finanziarie significative, ritardi operativi o persino rischi per la sicurezza delle persone. Questi vincoli rendono difficile eseguire attività di cybersecurity essenziali come il patching del software, l’aggiornamento dei sistemi o l’installazione di aggiornamenti di sicurezza senza interrompere attività critiche. Il bilanciamento tra sicurezza e operatività è una sfida costante in ambito OT, e alcune organizzazioni scelgono di ritardare gli aggiornamenti necessari per evitare i costi dei tempi di inattività, aumentando notevolmente i rischi di potenziali vulnerabilità.

Un’altra sfida importante deriva dalla mancanza di protocolli standard nei sistemi OT. A differenza dell’IT, i sistemi OT possono utilizzare un mix di protocolli di comunicazione proprietari, legacy e specifici del fornitore. Questa diversità rende difficile l’implementazione di soluzioni di sicurezza universali in grado di proteggere l’intera infrastruttura. Inoltre, la mancanza di meccanismi di crittografia e autenticazione in alcuni protocolli OT li rende suscettibili ad attacchi man-in-the-middle, ad accessi non autorizzati ed altro ancora.

La convergenza tra IT e OT rappresenta un’ulteriore insidia. In passato, i sistemi OT erano “air-gapped”, cioè separati fisicamente dalle reti IT e quindi dalle minacce esterne. Tuttavia, la crescente necessità di analisi dei dati in tempo reale, monitoraggio remoto e automazione dei processi ha portato ad una sempre maggiore integrazione tra IT e OT. Se da un lato questa integrazione consente operazioni più efficienti, dall’altro espone i sistemi OT alle minacce informatiche più comunemente associate all’IT, come malware, ransomware e attacchi di phishing. I threat actor approfittano infatti delle vulnerabilità dei sistemi IT per muoversi lateralmente negli ambienti OT, dove possono interrompere le attività, causare danni fisici o persino compromettere sistemi critici per la sicurezza e la salute dell’ambiente e delle persone.

Quali soluzioni esistono?

Per affrontare queste sfide e proteggere gli ambienti OT, le organizzazioni devono adottare un approccio multi-layer, che comprenda le seguenti strategie chiave:
● Segmentazione della rete: Separando le reti IT e OT, e implementando i firewall, le organizzazioni possono ridurre notevolmente la superficie di attacco e limitare il rischio di movimenti laterali tra i due ambienti.
● Architettura Zero-Trust: In un modello zero-trust, nessun utente o dispositivo è considerato automaticamente affidabile, anche se si trova all’interno del perimetro di rete. Ogni interazione con l’ambiente OT è autenticata, autorizzata e crittografata, riducendo al minimo il rischio di minacce interne e di accessi non autorizzati.
● Patching e Vulnerability Management: Le organizzazioni dovrebbero programmare la distribuzione di patch durante le finestre di manutenzione pianificate per ridurre al minimo le interruzioni. Quando non è possibile applicare immediatamente le patch, soluzioni di patching virtuale possono fornire una protezione temporanea mettendo al riparo i sistemi vulnerabili dagli exploit noti senza richiedere l’aggiornamento completo del sistema.

● Strumenti di monitoraggio e rilevamento: L’utilizzo di strumenti progettati specificamente per gli ambienti OT può migliorare la visibilità in tempo reale sui dispositivi ICS e IIoT. Soluzioni come i sistemi di rilevamento delle intrusioni e le piattaforme SIEM consentono ai team di sicurezza di rilevare attività anomale e di rispondere rapidamente a potenziali incidenti.

● Controllo degli accessi basato sui ruoli: L’implementazione di controlli degli accessi basati sui ruoli e del principio del minimo privilegio garantisce che gli utenti e i dispositivi abbiano solo l’accesso necessario per svolgere le loro funzioni. Ciò riduce il rischio di modifiche accidentali o dolose ai sistemi OT. Meccanismi di autenticazione, come la MFA, migliorano ulteriormente il controllo degli accessi, garantendo che solo il personale autorizzato possa interagire con sistemi critici.

SCADAsploit: simulazioni di attacchi sui sistemi OT

Data la complessità degli ambienti OT, il ricorso a strumenti specializzati è fondamentale per l’identificazione proattiva delle vulnerabilità. Qui HWG Sababa dà il suo contributo con SCADASploit, un innovativo framework C2 – Command & Control per l’OT sviluppato da Omar Morando, Head of Innovation Lab & OT Evangelist. Studiato appositamente per i sistemi SCADA e ICS, SCADASploit offre funzionalità avanzate di red teaming che consentono ai penetration tester e ai team di security di simulare attacchi su sistemi SCADA, PLC e IoT senza interrompere le operazioni critiche.

Simulando diversi protocolli e componenti industriali, SCADASploit offre agli utenti funzionalità preziose come il fuzzing, l’emulazione di sistema e lo script di exploit custom. Ciò consente alle organizzazioni di condurre simulazioni realistiche e di individuare vulnerabilità uniche degli ambienti OT. A fronte della crescente consapevolezza in materia di vulnerabilità OT e delle potenziali interruzioni che queste possono comportare per le infrastrutture critiche, strumenti come SCADASploit sono essenziali per aiutare le aziende ad identificare e mitigare i rischi in modo proattivo, rafforzando la sicurezza di operazioni industriali critiche.