Le violazioni di sistemi di controllo industriale (ICS), sistemi di controllo di supervisione e acquisizione dati (SCADA) e di tutti i sistemi di tecnologia operativa (OT) nel mirino dei cybercriminali secondo l’ultimo Network Threat Trends Research Report dello Unit 42, il threat intelligence team di Palo Alto Networks. Ma non solo.

Il 42% dei cloud workload non sono criptati, l’80% del codice utilizzato sui servizi in ambienti cloud ibridi è open source (ed è un problema) e sono 1,5 milioni gli attacchi tentati al giorno. I dati illustrati da Helmut Reisinger, CEO Emea & Latam di Palo Alto Networks alla tappa milanese dell’annuale Ignite On Tour, sono, come sempre, abbastanza allarmanti.

La next gen firewall company, ben nota tra gli hyperscaler e tra le big tech mondiali, con un 40% di marketshare nel mercato della security offre un osservatorio affidabile della realtà e del futuro della cybersecurity. Le sfide del presente passano per un ormai chiaro approccio zero trust, firewall declinati sottoforma di servizio applicativo, machine learning per la previsione degli attacchi e l’automazione nelle risposte, e nuove strategie per nuove tipologie di end point da gestire.

Inoltre, ricorda Reisinger, "Gartner sostiene che il 75% delle aziende interpellate in uno dei suoi sondaggi sul tema chiede una semplificazione e un consolidamento dell’offerta. Troppe soluzioni e troppe intersezioni portano difficoltà nella scelta e, soprattutto, nell’integrazione". Per questo è auspicabile un maggior sforzo collaborativo tra i fornitori, sia attraverso partnership che attraverso un approccio open che favorisca una integrazione più snella ed efficace.

L’Italia, poi, risulta un bocconcino ancora troppo succulento per i cybercriminali, con il 169% di incremento degli attacchi dal 2021 al 2022 (dati Rapporto Clusit 2023) dovuto alla percezione di un ecosistema debole e poco consapevole, soprattutto se si guarda alla PA e alle infrastrutture pubbliche. A questo dato, Michele Lamartina, nuovo country general manager Italy & Malta, aggiunge i ben noti sul ritardo del Sistema Paese in termini di digitalizzazione e di competenze tecniche rispetto alla media EU. La presenza, inoltre, di appena un terzo degli specialisti in security rispetto agli altri Paesi europei e sugli investimenti in sicurezza e il ben noto 0,1% del PIL in investimenti in security. Anche se qualche segnale incoraggiante arriva dalla costituzione della Agenzia Nazionale per la Cybersecurity e dalle opportunità di investimento in security per le Amministrazioni e le Infrastrutture fornite dal PNRR.

Attenzione ai fake di ChatGPT e al traffico sui sistemi OT

L’ultimo report dello Unit 42, il threat intelligence team di Palo Alto Networks, lancia l’allarme sull’incremento di interesse per ChatGPT e gli altri servizi di AI generativa da parte dei cybercriminali. In particolare, si è osservato il 910% delle registrazioni mensili di domini correlati a questi tool e di tentativi di imitazione delle interfacce. Appaiono, inoltre, i cosiddetti grayware – software che si collocano a metà strada tra il malevolo e il benigno non direttamente dannosi ma orientati a raccogliere dati sensibili degli utilizzatori secondo tecniche di social engineering.

Ma il tema veramente caldo riguarda le violazioni di sistemi di controllo industriale (ICS), sistemi di controllo di supervisione e acquisizione dati (SCADA) e di tutti i sistemi di tecnologia operativa (OT). “Sistemi – ricorda Umberto Pirovano, Senior Manager, Systems Engineering di Palo Alto Networks in Italia – presenti in diverse infrastrutture critiche come quelle delle Utilities, dei trasporti e del sanitario, oltre che ne manifatturiero”.

“Siamo di fronte a una trasformazione digitale strategica correlata ai piani Industria 4.0 – prosegue Pirovano – e, anche se cresce la consapevolezza a una protezione più attenta, manca ancora una strategia uniforme di difesa”. La questione è molto complessa. Sono coinvolte anche le infrastrutture dei piccoli subfornitori, in cui risulta complicato introdurre una vera cultura della gestione del rischio. Inoltre, negli ambienti OT è estremamente complicato traslare le strategie tipiche del mondo IT su piattaforme multitecnologiche, eterogenee, spesso chiuse, gestite da applicativi obsoleti e composte da dispositivi e sensori remoti non controllati in tempo reale. “Ma queste piattaforme generano enormi quantità di dati, non solo puri, che incidono su decisioni realtime – ricorda ancora il manager – o su analisi previsionali per infrastrutture critiche”.

Attualmente, l’approccio non può che essere di tipo zero trust in cui si prevede “una micro-segmentazione granulare dell’infrastruttura OT e IT unificata, permettendo l’applicazione di policy basate sulla sensibilità degli asset, oltre a visibilità e controllo di utenti e applicazioni. In questo modo – sostiene Pirovano -, si riducono drasticamente le dimensioni della superficie delle minacce, molto prima che entrino in gioco le soluzioni anti malware avanzate”. Ciò significa intervenire con una mappatura molto precisa degli asset in gioco e abilitare un monitoraggio in tempo reale delle attività, anche grazie al machine learning. Una volta individuato il vettore della minaccia, se ne isola il traffico riuscendo comunque a evitare il down del dispositivo e, dunque, dell’operatività delle macchine.