L’attacco ransomware alla Colonial Pipeline avvenuto lo scorso mese di maggio è stata l’ennesima riprova di come le infrastrutture critiche necessitino di una protezione forte ed efficace.
Ricordiamo che Colonial Pipeline è il più importante oleodotto statunitense, che collega il Texas con lo stato di New York trasferendo ogni giorno circa 3 milioni di barili di prodotti da raffineria che sono destinati a 50 milioni di utenti. Il 7 maggio 2021 il gruppo di cybercriminali russi DarkSide ha attaccato e bloccato con un ransomware l’attività dei sistemi informativi di Colonial Pipeline. Per riprendere possesso dei dati sono stati pagati 4,4 milioni di dollari e ci è voluta una settimana di lavoro per effettuare il restore completo dei backup. Questo è un chiaro esempio delle conseguenze che può comportare persino un attacco relativamente poco sofisticato. Ma è anche la dimostrazione di come persino un’infrastruttura critica debba ancora elevare adeguate protezioni per prevenire e affrontare gli attacchi informatici e per creare sistemi di backup rapidi da usare nel caso ci sia un malfunzionamento.
Tuttavia, siamo è difronte a un paradosso: il problema non è la mancanza di soluzioni di sicurezza informatica, ma esattamente l’opposto. Sono disponibili così tante proposte che decidere quale possa fornire il maggior livello di sicurezza può essere davvero difficile.
Per assicurare una protezione di base, ogni provider di infrastrutture critiche dovrebbe intraprendere immediatamente tre azioni.
- Impedire l’accesso a chi non è autorizzato
Numerosi degli attacchi subiti dalle infrastrutture critiche possono essere ricondotti a un account utente che è stato gestito male. Forse un dipendente o un servizio di assistenza IT per comodità hanno annotato le credenziali di accesso di un account su un post-it. Sebbene questa sia una chiara violazione delle policy di sicurezza, accade più spesso di quanto non si possa pensare. Se non si utilizza una multi-factor autentication (MFA), un’autenticazione a più fattori, chiunque trovi il predetto post-it può accedere. Per evitare che ciò accada, si dovrebbe creare una directory centrale (Active Directory o LDAP). Si dovrebbe poi aggiungere un account per tutte le persone e tutti i dispositivi (fotocamera, misuratori, ecc.) a cui è consentito connettersi alla rete IT o industriale. Quindi si richiede un MFA per ogni tentativo di accesso a Internet. Si tratta di un codice monouso inviato tramite e-mail o SMS in aggiunta al login. L’adozione di un MFA è piuttosto semplice con il servizio cloud Cisco Duo perché non richiede hardware o software dedicati. Duo verifica anche che dispositivi come laptop o smartphone siano conformi alla policy di sicurezza aziendale prima di dare il consenso alla connessione.
- Sapere sempre chi e cosa è collegato in rete e cosa sta facendo
Molte aziende non sono a conoscenza di cosa sia connesso alle proprie reti OT e IT. Questo è grande un problema, perché non si può proteggere ciò di cui non si è conoscenza. In questo senso, si può avere un valido aiuto da Cisco Cyber Vision che è in grado di scoprire automaticamente ogni risorsa connessa alla propria rete OT. Inoltre, può monitorare le comunicazioni industriali per rilevare comportamenti anomali e generare avvisi. Per sapere invece chi è collegato alla rete IT ci sono Cisco Stealthwatch o Cisco DNA Center. Più in dettaglio, si può utilizzare Stealthwatch per verificare chi sta spostando quali file verso quali sistemi, mentre per analizzare il percorso dei file si può usare FMC.
- Ridurre al minimo il raggio d’attacco segmentando la rete
Nel caso il malware riesca ad aggirare le difese, attuare una segmentazione della rete impedisce alle minacce di diffondersi perché non possono passare da un segmento all’altro della rete. Va da sé che più piccolo è il segmento, minore è il danno che si può subire.
L’azione più semplice è segmentare la rete industriale dalla rete IT, creando una Industrial DMZ. Ancora meglio sarebbe segmentare la rete industriale in “zone” contenenti solo risorse che devono comunicare tra loro. Questo lo si può fare utilizzando Cisco Secure Firewall ISA3000. Si potrebbe arrivare anche ad assegnare a ogni dispositivo un proprio segmento utilizzando Cisco Identity Services Engine (ISE) e gli switch industriali Ethernet. Questo è il gold standard perché permette di costruire regole per controllare rigorosamente quali dispositivi possono comunicare e in quali circostanze.
Agite prima che ci pensino i cybercriminali
I tre passaggi delineati (controllo degli accessi, visibilità e segmentazione) permettono di creare un buon livello di protezione dell’infrastruttura critica. Possono però rappresentare anche una solida base su poi costruire un sistema di sicurezza più raffinato, come dovrebbe avere appunto un’infrastruttura critica. Non dimentichiamo infatti che gli attacchi verso le infrastrutture critiche hanno un’importante crescita. Secondo il Rapporto Clusit 2021 sono aumentati del 40% dal 2019 al 2020 e sono stati in assoluto quelli che hanno subito il maggior numero di danni con Severity di tipo “Critical” (nel 60% dei casi). Mentre quelli con Severity High sono stati circa il 30%.
Le principali minacce, afferma Clusit, sono arrivate dai malware, che da soli hanno raggiunto il 42% del globale. I ransomware l’hanno fatta da padroni, dato che globalmente hanno rappresentato il 67% di tutti gli attacchi in ambito malware. In questo senso va evidenziato che i ransomware stanno diventando sempre più “onerosi”. Si sta infatti diffondendo la tecnica della double extortion. In pratica, al riscatto per riavere il possesso dei propri dati si aggiunge un’ulteriore richiesta economica per evitare che i dati aziendali, della contabilità, dei clienti, dei progetti e dei segreti industriali diventino di pubblico dominio.
Un motivo in più per rafforzare ulteriormente le linee di difesa, sia della rete IT sia di quella OT.
Immagine da Shutterstock