Per le traduzioni dei siti utilizziamo l'intelligenza artificiale e, sebbene ci sforziamo di essere accurati, non sempre le traduzioni sono precise al 100%. La vostra comprensione è apprezzata.
Casa/
Il blog
/
Navigare nel panorama della sicurezza informatica di ICS e...
Navigare nel panorama della sicurezza informatica delle reti ICS e OT: Approfondimenti e soluzioni
da
OPSWAT
Condividi questo post
Introduzione
Nel mondo in continua evoluzione della sicurezza informatica, i sistemi di controllo Industrial (ICS) e le reti di tecnologia operativa (OT) rappresentano un'area di preoccupazione significativa. Questi sistemi non solo sono vitali per la continuità delle operazioni aziendali, ma sono anche componenti integrali dell'infrastruttura critica di una nazione. Il team MetaDefender Sandbox (precedentemente noto come Filescan Sandbox) dell'OPSWAT ha monitorato diligentemente i rischi ICS/OT e ha osservato attività persistenti e potenzialmente ad alto impatto.
Il panorama attuale delle minacce
I recenti modelli di minacce alla sicurezza informatica hanno mostrato una tendenza preoccupante degli attacchi: i gruppi sponsorizzati dallo Stato hanno iniziato a specializzarsi per i sistemi ICS come Sandworm (Russia) e Volt Typhoon (Cina), mentre i criminali informatici sono consapevoli della gravità dell'impatto contro i sistemi industriali. Le forze di sicurezza di tutto il mondo riconoscono l'importanza di queste minacce per tutti i settori industriali, portando alla pubblicazione di rapporti e campagne congiunte volte a rafforzare la sicurezza ICS.
Problemi persistenti e raccomandazioni
Una delle raccomandazioni di lunga data per mitigare questi rischi è quella di ridurre l'esposizione dei sistemi. Tuttavia, la prevalenza di sistemi esposti continua a essere un problema preoccupante nel panorama della sicurezza informatica. Con la diffusione delle tecniche di ricognizione e sfruttamento, la minaccia di attacchi opportunistici si fa sempre più grande, consentendo agli attori delle minacce con un livello di sofisticazione inferiore di avere un impatto sui sistemi critici. Un rapporto di settembre ha evidenziato una tendenza allarmante: Gli incidenti di cybersicurezza OT/ICS negli ultimi tre anni hanno superato il totale riportato dal 1991 al 2000. Questa statistica sottolinea da sola l'aumento delle sfide che devono affrontare i responsabili della sicurezza di questi ambienti.
Difendersi dalla minaccia
Quadri e aggiornamenti
Riconoscendo la necessità di un'attenzione specifica, la MITRE Corporation ha sviluppato una matrice ATT&CK specifica per ICS, per fornire un linguaggio comune per la comunicazione intersettoriale e per consentire ai settori sottorappresentati di sfruttare le sue mappature, promuovendo una comunicazione significativa sui rischi e le minacce. La matrice, relativamente nuova, continua a essere aggiornata meticolosamente e l'ultima versione è stata rilasciata proprio il mese scorso.
L'interconnessione di IT e OT
Il team di OPSWAT MetaDefender Sandbox , pur tenendosi al passo con questi aggiornamenti, sottolinea l'intrinseca connessione tra IT e OT, poiché gli asset IT sono presenti in tutti i livelli del Modello Purdue, e non solo nella parte superiore.
L'IT compromesso porta all'OT compromesso. Gli intervistati sono prevalentemente interessati e hanno sperimentato incidenti ICS che coinvolgono minacce malware o aggressori che violano la rete aziendale IT. Queste violazioni spesso consentono l'accesso e la penetrazione nell'ambiente ICS/OT. Le compromissioni dei sistemi IT che portano all'ingresso di minacce nelle reti OT/ICS sono al primo posto, seguite dalle compromissioni delle postazioni di lavoro dei tecnici e dei servizi remoti esterni.
Il rapporto SANS 2023 sulla sicurezza informatica ICS/OT
sponsorizzato da OPSWAT
Il comune denominatore: File dannosi
In tutto lo spettro dei cyberattacchi legati agli ICS, la presenza di file dannosi è un fattore costante, indipendentemente dal vettore di ingresso, che si tratti di sistemi IT o OT. È qui che entrano in gioco soluzioni come MetaDefender Sandbox . Tali strumenti sono progettati per esaminare i file che attraversano i perimetri definiti della rete di un'organizzazione, adattati a diversi contesti per garantire prestazioni ottimali, anche all'interno di ambienti protetti dall'aria.
L'Adaptive Sandbox diOPSWAT combina diversi set di indicatori di minaccia utilizzando analizzatori interni e altri ampiamente conosciuti come le regole Yara. Entrambi gli attacchi precedentemente citati, Volt Typhoon e Sandworm, si basavano pesantemente su binari Living-Off-the-Land (LOLBINS) per i quali MetaDefender Sandbox implementa molti indicatori. Tuttavia, il primo attacco rappresenta un buon esempio di combinazione di indicatori grazie alla disponibilità di campioni. Il primo payload segnalato è uno script batch contenente un comando Powershell codificato in base64 che attiva, tra gli altri, due indicatori interessanti per questo caso.
Figura 1 Analisi del carico utile di Volt Typhoon Link al rapporto
L'origine dell'indicatore precedentemente mostrato è l'emulazione dello script, dove si possono osservare anche altri indicatori rilevanti. La schermata seguente mostra un altro indicatore di gravità superiore, attivato dal contenuto base64 decodificato dello script. Inoltre, entrambi gli elementi identificati sono mappati di conseguenza con le corrispondenti tecniche MITRE ATT&CK.
Figura 2 Analisi del carico utile di Volt Typhoon Link al rapporto
Inoltre, questo stesso attacco prevedeva l'utilizzo di campioni Fast Reverse Proxy che, nonostante fossero impacchettati in UPX, MetaDefender Sandbox è stato in grado di decomprimere, consentendo a diversi indicatori aggiuntivi di corrispondere al file estratto e di identificare la minaccia.
Figura 3 Campione disimballato di Volt Typhoon in FRP Link al rapporto
Figura 4 Yara identifica il campione non imballato come FRP Link al rapporto
Conclusione
Con l'evolversi del panorama delle minacce, devono evolversi anche le nostre difese. OPSWAT L'impegno di MetaDefender per la sicurezza delle reti ICS e OT rimane costante e il team diSandbox si dedica a fornire soluzioni sempre aggiornate per affrontare le sfide emergenti. Rimanete informati, preparati e sicuri.
Ricevete gli ultimi aggiornamenti sull'azienda OPSWAT , le informazioni sugli eventi e le notizie che fanno progredire il settore.
le notizie che fanno progredire il settore.
