Cybersecurity delle infrastrutture critiche

Nella rincorsa digitale sembra sempre che i cybercriminali siano in vantaggio. In realtà i ruoli si possono invertire nell’ottica della protezione delle infrastrutture critiche.

Autore: Redazione SecurityOpenLab

Con il ritorno delle attività di spionaggio e sabotaggio e una guerra cibernetica in corso nel cuore dell’Europa, è evidente la necessità di alzare gli standard di protezione delle infrastrutture critiche, nel mirino dei cyber criminali finanziariamente motivati, ma anche di quelli sponsorizzati dagli stati nazionali, che mirano a creare disservizi e danni materiali più che digitali. Una prospettiva più che possibile grazie alla crescente e inevitabile commistione fra IT e OT e alla diffusione di ambienti ibridi e multi-cloud che ampliano la superficie di rischio ostacolando la visibilità degli analisti.

Il problema è che la cronaca cyber evidenzia una importante differenza di passo fra difensori e attaccanti, con questi ultimi che sembrano essere sempre un passo avanti e i difensori che, muovendosi di rincorsa, riescono solo e limitare i danni nel momento in cui gli attacchi dimostrano il loro potenziale distruttivo. In questa fase storica si affiancano tecniche di attacco vecchie e nuove. Nel primo gruppo troviamo l’onnipresente phishing nelle sue varie declinazioni (spoofing, spear phishing, eccetera), che fa leva sul cosiddetto fattore umano, a cui segue nella catena di attacco il ransomware con doppia o tripla estorsione.

Fra le nuove tecniche sono ormai frequenti il polimorfismo, ovvero la capacità di aggirare l’antivirus con una serie di impronte digitali incoerenti, il malware fileless, mentre sono relativamente più nuovi gli attacchi browser-in-the-browser e quelli Browser-in-the-Middle.


Individuare gli attacchi non è semplice

La ricerca precoce di tentativi di attacco passa in genere per l’analisi di qualsiasi tipo di indicatore di compromissione (IoC). Quelli più facili da trovare sono marcatori o pattern di codice maligno, identificati già in precedenza come dannosi. Quelli più difficili sono i movimenti laterali e le tracce di offuscamento in un file. A prescindere dal tipo di IoC, la procedura passa per l’analisi dei log: milioni di dati generati dalle soluzioni per la protezione degli endpoint o perimetrale.

Tali informazioni sono talmente tante da non permettere un’ispezione manuale nei tempi richiesti, le aziende ricorrono quindi a SIEM (Security Information & Event Management), SOAR (Security Orchestration, Automation and Response) e SOC, più o meno dotati di Intelligenza Artificiale e Machine Learning con analisi comportamentale.

Il problema è che non si può fare esclusivo affidamento su strumenti e algoritmi. Gli esperti di security di Stormshield sottolineano che ormai occorrono metodologie di controllo e protezione che si adattino all’ambiente di lavoro, combinando il monitoraggio constante al perfezionamento e alla comprensione dei dati, che vanno condivisi internamente secondo i principi dell’intelligenza collettiva. Per questo il pool migliore di strumenti da usare include SOC, Cyber Threat Hunting e combinazione coerente delle conoscenze acquisite sugli attaccanti.

Da qui la presenza ormai diffusa di team di Cyber Threat Intelligence (CTI) che fa uso di tattiche, tecniche e procedure (TTP), indicatori di attacco (IoA) e di compromissione (IoC), per identificare le aree di compromissione o nuovi malware in maniera indipendente rispetto alle segnalazioni del SOC.

L’importanza dei team

Strumenti a parte, l’efficienza dell’attività preventiva degli attacchi cyber ruota attorno alla presenza e alla qualità dei “cacciatori”: un lusso che la maggior parte delle aziende non può permettersi, oltre ad essere difficili da trovare. Se questo è vero in ambito IT, lo è ancora di più in quello OT. Non basta infatti avere una montagna di dati e un SOC che li elabora, sono imprescindibili le competenze umane per correlare i dati, contestualizzarli e condividerli sotto forma di flusso CTI per poter trarre vantaggio dalla conoscenza dell’attaccante e del suo modus operandi. Un lavoro che, nel caso delle infrastrutture critiche, richiede la conoscenza del funzionamento dei protocolli industriali e il tipo di comunicazioni scambiate in ambito OT.


Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.