Il panorama della sicurezza informatica per le tecnologie operative (OT) sta vivendo una trasformazione cruciale. Non è più sufficiente reagire alle minacce dopo che si sono manifestate; l’obiettivo strategico è oggi quello di identificarle e neutralizzarle in modo proattivo, prima ancora che possano sferrare il loro attacco. Ma come si può riconoscere un nemico che non si è mai visto prima?

Il processo assomiglia a cercare il classico ago in un pagliaio. La telemetria raccolta da innumerevoli fonti genera una quantità enorme di dati, al cui interno si nascondono i candidati a essere nuovi malware. Analizzare manualmente questo volume di informazioni è impensabile.

È qui che entra in gioco un approccio a più livelli, che combina la potenza dell’automazione con l’insostituibile intuito umano.

Alessandro Di Pinto, Senior Director of Security Research di Nozomi Networks

1. Il primo filtro: l’intelligenza artificiale come segugio

Sistemi avanzati basati sull’intelligenza artificiale agiscono come un primo, fondamentale filtro. Sono addestrati per setacciare montagne di dati e identificare schemi o anomalie che, pur non corrispondendo a nessuna minaccia nota, presentano caratteristiche sospette. Questo processo riduce drasticamente il “rumore di fondo”, permettendo di restringere il campo a un numero gestibile di campioni potenzialmente dannosi.

2. Il fattore umano: il giudizio dell’analista

Una volta che l’AI ha isolato gli elementi più degni di attenzione, la palla passa agli analisti esperti di malware. Il loro compito è quello di contestualizzare e giudicare. Un file è davvero un malware o potrebbe essere uno strumento legittimo, magari personalizzato, utilizzato in un ambiente OT?

Un esempio emblematico è quello di BUSTLEBERM, un tool che permette di modificare i valori modbus. A prima vista, potrebbe essere uno strumento di ingegneria benigno. Senza contesto, è quasi impossibile determinarne la natura. L’analista umano, però, può arricchire l’analisi con dati telemetrici aggiuntivi: da dove proviene il file? Con quali macchine comunica? Cosa è successo sulla rete nello stesso momento? Queste domande trasformano un semplice sospetto in un verdetto informato.

3. L’approccio prudenziale: rilevare con intelligenza

In situazioni ambigue, l’approccio migliore è la trasparenza. Invece di ignorare una potenziale minaccia perché non se ne ha la certezza assoluta, la si rileva assegnandole un punteggio di rischio adeguato. Si avvisa il cliente, spiegando chiaramente perché il file è stato segnalato. In questo modo, l’azienda, che possiede il contesto completo del proprio ambiente operativo, può prendere una decisione finale informata, decidendo se l’allarme sia pertinente o se si tratti di un falso positivo in quel contesto specifico.

Come possono difendersi le aziende: indicazioni pratiche

Per affrontare le nuove minacce OT, le organizzazioni non possono più essere passive. Devono adottare un approccio articolato su più aspetti collegati tra loro:

• Migliorare la visibilità: è fondamentale avere una visibilità completa e granulare sulle proprie reti ed endpoint. Non si può proteggere ciò che non si vede.
• Adottare un approccio proattivo: scegliere soluzioni di sicurezza che non si limitino a cercare firme di minacce note, ma che integrino intelligenza artificiale e strumenti di “threat hunting” per scovare l’ignoto.
• Implementare una solida gestione delle vulnerabilità: ridurre la superficie d’attacco attraverso una manutenzione costante è un passo cruciale, spesso sottovalutato.
• Valorizzare il contesto: comprendere che non tutte le anomalie sono minacce e dotarsi di strumenti che permettano di distinguere tra un’attività malevola e un’operazione legittima, seppur insolita.

La lotta contro i malware OT di nuova generazione è impegnativa, ma non è persa in partenza e richiede un’evoluzione strategica. L’investimento in tecnologie avanzate, combinato con l’esperienza umana, permette di passare da una difesa reattiva a una protezione predittiva, minimizzando il rischio prima che il danno si concretizzi.