Le recenti indicazioni fornite dall’FBI (Federal Bureau of Investigation) e dalla Cybersecurity and Infrastructure Security Agency (CISA) evidenziano una minaccia urgente e in continua evoluzione per gli ambienti OT. In un avviso congiunto, le agenzie hanno segnalato che alcuni attori malintenzionati affiliati all’Iran hanno attivamente sfruttato i PLC (controllori logici programmabili) connessi a Internet in diversi settori delle infrastrutture critiche degli Stati Uniti, tra cui i sistemi idrici e fognari, l’energia e le strutture governative. L'avviso, AA26-097A, mette in evidenza un modello che molti nel settore sospettavano da tempo, ma che ora si sta osservando in incidenti reali: questi attori non si affidano più alle vulnerabilità del software o agli exploit zero-day per colpire gli ambienti industriali. Al contrario, stanno sfruttando percorsi di accesso legittimi, protocolli industriali nativi e strumenti di ingegneria standard per interagire direttamente con i sistemi di controllo.
Percorsi di controllo esposti, non vulnerabilità
Il rischio principale per gli ambienti OT è rappresentato dai percorsi di controllo esposti, non dalle vulnerabilità non corrette. Le strategie tradizionali basate sull'identificazione delle vulnerabilità, sull'applicazione delle patch ai sistemi e sul monitoraggio dei comportamenti dannosi rimangono importanti, ma l'ultimo avviso lo chiarisce: se un aggressore riesce a raggiungere il vostro ambiente OT, può agire al suo interno.
In diversi casi osservati, gli aggressori sono riusciti a connettersi direttamente a PLC esposti a Internet utilizzando porte di comunicazione industriali standard quali 44818, 2222, 102 e 502. Avvalendosi di software di progettazione ampiamente disponibili, hanno stabilito sessioni valide con questi dispositivi e hanno interagito con essi come se fossero operatori autorizzati.
La distinzione tra "raggiungibile" e "vulnerabile" rappresenta un cambiamento fondamentale. La questione non è più solo se un sistema sia vulnerabile, ma se sia raggiungibile. Se è possibile accedere a un sistema di controllo tramite una rete, è possibile controllarlo. E se è possibile controllarlo, è possibile comprometterne il funzionamento.
Come vengono sferrati gli attacchi OT moderni
Lo schema dell'attacco descritto nell'avviso segue un percorso lineare:
- Accesso iniziale: esposizione dei PLC o dei sistemi OT a reti esterne, sia direttamente che tramite canali di accesso remoto quali VPN o host di transito
- Interazione tramite mezzi legittimi: a questo punto, gli aggressori utilizzano strumenti di progettazione legittimi, come Studio 5000 Logix Designer, per avviare connessioni con il dispositivo. Utilizzo di workstation di progettazione, strumenti dei fornitori o protocolli nativi (ad es. Modbus, EtherNet/IP)
- Esecuzione:
- Modifica della logica di controllo
- Caricamento/download dei file di progetto
- Emissione di comandi a processi fisici
- Conseguenze: interruzione delle attività operative, rischi per la sicurezza e potenziali perdite finanziarie
Ciò che rende efficace questo approccio è il fatto che aggira molti controlli di sicurezza tradizionali. A livello di protocollo o di strumento non vi è nulla di intrinsecamente «malizioso» che possa far scattare un sistema di rilevamento.
I controlli tradizionali non sono più sufficienti
La maggior parte degli ambienti OT odierni si basa su una combinazione di firewall, VPN, strategie di segmentazione e controlli dell'accesso remoto. Sebbene necessarie, queste misure presentano dei limiti intrinseci:
- I firewall dipendono da una corretta configurazione e gestione delle regole; inoltre, per loro natura, consentono l'utilizzo dei protocolli necessari.
- Le VPN e l'accesso remoto si basano sull'integrità delle credenziali
- I sistemi di rilevamento/monitoraggio entrano in funzione dopo che l'accesso è già stato stabilito
Negli scenari descritti dalla CISA, gli autori degli attacchi non hanno dovuto eludere tali controlli nel senso tradizionale del termine. Si sono semplicemente avvaluti dell'accesso già esistente.
Ecco perché la raccomandazione pone grande enfasi sull'eliminazione delle esposizioni non necessarie e sul rafforzamento della segmentazione della rete.
Combinazione di segmentazione e isolamento deterministico
La segmentazione è da tempo considerata una best practice, ma non tutte le forme di segmentazione sono uguali.
La segmentazione logica, implementata tramite software e criteri, può ridurre il rischio ma non lo elimina. Errori di configurazione, la compromissione delle credenziali o percorsi di accesso indiretti possono comunque creare collegamenti indesiderati tra gli ambienti IT e OT.
Ciò che serve negli ambienti ad alto rischio è un isolamento deterministico.
Eliminare il percorso di attacco con la comunicazione unidirezionale
Un approccio più rigoroso consiste nell'eliminare del tutto la possibilità di accedere dall'esterno.
I diodi di dati garantiscono una comunicazione unidirezionale basata su hardware tra le reti. Ciò consente ai dati operativi di uscire dall'ambiente di controllo a fini di monitoraggio, analisi o conformità, rendendo al contempo tecnicamente impossibile il ritorno di dati, comandi o connessioni verso l'interno.
Nel contesto dei modelli di attacco descritti dalla CISA, ciò ha un impatto diretto:
- Nessun comando remoto riesce a raggiungere i PLC
- Nessuno strumento di ingegneria può connettersi da reti esterne
- Nessun malware né traffico non autorizzato può penetrare nell'ambiente di controllo
Non si tratta di individuare o bloccare attività dannose. Si tratta piuttosto di eliminare completamente la possibilità che si verifichino.
In linea con le raccomandazioni della CISA
Le linee guida della CISA in materia di misure di mitigazione sottolineano tre azioni fondamentali:
- Rimuovere le risorse OT dall'esposizione diretta a Internet
- Rafforzamento della separazione tra le reti IT e OT
- Limitazione e controllo dell'accesso remoto
Le architetture di comunicazione unidirezionali mettono in pratica queste raccomandazioni garantendo un livello di sicurezza più elevato, assicurando che i sistemi di controllo critici non siano accessibili, anche qualora le reti a monte fossero compromesse.
Ripensare OT Security: dalla difesa alla progettazione
La nota tecnica AA26-097A sostiene che le strategie difensive debbano evolversi di pari passo con le minacce a cui si oppongono. Se gli aggressori non hanno più bisogno di sfruttare le vulnerabilità, concentrarsi esclusivamente sul rilevamento e sulla prevenzione non è sufficiente. La priorità deve spostarsi verso controlli a livello di architettura in grado di eliminare intere categorie di rischio. Rendere i sistemi OT inaccessibili dalle reti esterne è uno di questi controlli.
La sicurezza al primo posto
L'ultimo avviso della CISA sottolinea una realtà che le organizzazioni non possono più ignorare:
- L'esposizione equivale a rischio negli ambienti OT
- Poiché gli hacker sfruttano sempre più spesso accessi legittimi e funzionalità native, la difesa più efficace non consiste solo in un monitoraggio più accurato o in politiche più rigorose, ma nell'eliminare del tutto le connessioni non necessarie.
- Progettare ambienti OT in modo che siano inaccessibili per definizione non è più solo una best practice teorica. Sta diventando un requisito pratico per garantire la resilienza operativa.
