Nel mondo di oggi, i cyberattacchi sono sempre più frequenti e sofisticati, e mettono a rischio la sicurezza delle reti che gestiscono le informazioni critiche. Per proteggere la riservatezza, l’integrità e la disponibilità di queste informazioni, non basta monitorare e rilevare le anomalie nel traffico di rete. Bisogna, anzi, anche adottare una strategia di difesa completa, che includa sistemi di rilevamento basati su host, in grado di individuare attività dannose che potrebbero sfuggire al controllo della rete. In ambito cybersecurity questa è una strategia particolarmente importante per proteggere gli endpoint OT e IoT, ovvero i sistemi che controllano e monitorano i processi fisici come la produzione di energia, il trattamento delle acque e i trasporti.
A differenza degli endpoint IT, che si occupano principalmente di dati, gli endpoint OT/IoT interagiscono con apparecchiature e macchinari fisici. Per questo motivo, la loro protezione è fondamentale per prevenire l’accesso o la manipolazione non autorizzati dei processi del sistema. Inoltre, gli endpoint OT/IoT hanno spesso risorse limitate e potrebbero non essere aggiornati con la stessa frequenza degli endpoint IT, il che li rende più esposti alle minacce informatiche. Per questo motivo, la loro protezione è una priorità assoluta negli ambienti OT/IoT, dato che in gioco ci sono anche le vite umane degli operatori.
Quali sono le principali minacce?
Un cybercriminale potrebbe agire in diversi modi per violare un sistema. Il più banale è sicuramente rappresentato dall’accesso fisico, sfruttando i dispositivi di interfaccia umana (HID) come la tastiera, il mouse e altre porte USB per poi accedere a parti più sensibili del sistema che potrebbero non essere visibili in precedenza. Gli HID contraffatti appaiono fisicamente identici a quelli legittimi, ma i loro componenti interni sono modificati in modo da eseguire codice dannoso. In particolare – ci spiegano gli esperti di Nozomi Networks – le minacce più comuni sono due: key logger e keystroke injection. Ci spiega la differenza Roya Gordon, Security Research Evangelist, Nozomi Networks
Key logger e Keystroke injection: cosa sono?
NordVPN – 56% di sconto sul piano annuale + 3 mesi gratis. Miglior servizio VPN in Italia.
Un key logger è un dispositivo che registra ogni tasto premuto su un computer o un dispositivo mobile. Una volta attivo, il keylogger opera in background all’insaputa dell’utente, registrando tutti i tasti premuti, memorizzandoli o trasmettendoli. Gli hacker utilizzano i keylogger per rubare informazioni sensibili come credenziali di accesso, dati bancari e personali. Un keylogger può essere utilizzato su un endpoint OT/IoT per acquisire le credenziali di accesso a un endpoint informatico, come un desktop utilizzato in ambiente industriale. Queste credenziali possono poi essere utilizzate in un successivo attacco di keystroke injection, che consente all’aggressore di ottenere privilegi elevati all’interno del sistema.
La Keystroke injection è invece un tipo di attacco che prevede l’iniezione di sequenze di tasti in un sistema informatico per eseguire comandi o azioni non autorizzati. Questo attacco può essere effettuato utilizzando dispositivi hardware specializzati che appaiono come normali unità flash USB, ma sono progettati per emulare le tastiere. L’aggressore di solito pre-programma il dispositivo con uno script contenente i comandi da eseguire sul sistema bersaglio. Una volta collegato il dispositivo, lo script viene eseguito automaticamente e rapidamente, senza richiedere l’interazione dell’utente.
Nonostante possano apparire simili, i due attacchi presentano caratteristiche diverse: il keystroke injection è un metodo attivo che cerca di compiere operazioni non consentite su un sistema, mentre il keylogging è una modalità passiva che serve a spiare l’attività degli utenti e a sottrarre informazioni riservate.
Come proteggere gli endpoint OT e IoT: i consigli degli esperti
Abbiamo quindi capito che la sicurezza dei dispositivi OT/IoT è messa a rischio dall’uso dei dispositivi USB, che possono portare malware nel sistema. Questi dispositivi sono spesso necessari per scambiare dati o aggiornare i dispositivi ICS. Tuttavia se sono infetti possono contagiare tutta la rete e danneggiare i sistemi vitali. Il problema che gli operatori industriali devono risolvere è la mancanza di visibilità sui dispositivi critici che potrebbero essere vulnerabili a questi attacchi. Nozomi Networks Labs ha condotto una ricerca utilizzando un proprio sensore (Arc) in grado di proteggere gli endpoint OT e IoT dagli attacchi.
“Abbiamo sviluppato funzioni all’interno del nostro sensore Arc che consentono di rilevare le iniezioni di tasti su endpoint OT/IoT confrontando il traffico di digitazione artificiale con il traffico di digitazione umana legittima”, fa sapere Roya Gordon attraverso un comunicato stampa ufficiale.
Monitorare i dispositivi tramite Arc
Purtroppo molti dispositivi OT/IoT non riescono a rilevare tutte le minacce potenziali. Per questo, con Arc, si può combinare la visibilità della rete con quella dell’endpoint, monitorando i dati dalla fonte fino all’applicazione o al servizio che li ha creati, e trovando con esattezza l’origine e la posizione di qualsiasi attività dannosa.
Questa soluzione permette alle aziende di scoprire e rispondere in fretta alle minacce, proponendo un approccio ancora più proattivo alla sicurezza informatica. Arc dà anche la possibilità alle organizzazioni di osservare più macchine e dispositivi contemporaneamente, assicurando che qualsiasi attività sospetta venga scoperta e gestita in modo veloce ed efficiente, aumentando le capacità di raccolta delle informazioni sulle minacce e aiutando le organizzazioni a prevenire possibili attacchi.
“La protezione degli endpoint OT e IoT richiede un approccio articolato su più livelli. È fondamentale tenere conto sia delle soluzioni tecniche che del comportamento umano. Con la giusta strategia, tuttavia, le organizzazioni possono ridurre il rischio di cadere vittime di attacchi informatici che colpiscono questi sistemi critici”, chiosa la nota stampa di Nozomi Networks.
- Sbaraglia, Giorgio (Autore)