Segnaliamo un interessante report che descrive come negli ultimi anni si sia osservato un rapidissimo aumento degli attacchi ai sistemi di controllo industriale (ICS), dovuto principalmente alla messa in rete degli impianti produttivi, connessi sempre più all’IT e alla rete aziendale. Si precisa subito che il problema non è la connessione dei due mondi: certo che questo fatto aumenta il rischio ma non ne è la causa. Alle esigenze sempre più stringenti di controllo e digitalizzazione dei processi produttivi va sempre affiancato un progetto intrinsecamente sicuro, ispirandosi al sacrosanto principio della “security by design”.

A parte gli ovvi attacchi mirati, il cyber crime non prende di mira specificamente i sistemi industriali: andando a caccia di remunerazioni, il comportamento è puramente opportunistico. Quando i cyber criminali si rendono conto che la compromissione degli ambienti OT potrebbe dare i suoi frutti, allora agiscono, cogliendo ogni possibilità per ricattare le vittime in schemi di estorsione e sapendo perfettamente che l’interruzione della produzione può causare danni immensi.

Oltre a progettare in maniera sicura la messa in rete di una linea produttiva, è importante aumentare le capacità di rilevamento di situazioni potenzialmente riconducibili ad azioni malevole. La tecnica della deception può risultare molto utile per “fare abboccare” eventuali presenze illecite e anticipare le difese. Perché questa ulteriore complessità? Perché la tempestività gioca un ruolo fondamentale nella prevenzione e nel contenimento del danno.

Una buona strategia è quella di costruire un ambiente di false informazioni e falsi obiettivi (esche) per fuorviare gli attaccanti e farli cadere in trappola. La trappola tesa agli attaccanti consente di indurli a compiere azioni verso falsi bersagli, così da poter raccogliere informazioni fondamentali per la difesa: origine degli aggressori, loro comportamento, metodologia di attacco (tattiche, tecniche e procedure – TTP).

In genere, i sistemi industriali sono molto critici e complicati da proteggere adeguatamente: infatti, capita spesso che tali sistemi non accettino aggiornamenti o patch e nemmeno la possibilità di installare agenti di protezione. Queste complicazioni aumentano l’utilità di un sistema come la Deception-Honeypot (tecnica di adescamento e inganno degli attaccanti).

La sfida che deve affrontare questo sistema di difesa è legata all’esistenza di numerosi tipi di dispositivi di controllo industriale e protocolli, e molti di essi sono proprietari. La scelta della tecnologia più opportuna va affrontata in base a due aspetti:

• prodotto che supporta più tecnologie e dispositivi di controllo industriale utilizzati in azienda
• partner tecnologico esperto e capace di personalizzare la soluzione e coprire la restante parte dei dispositivi/protocolli non supportati dalla tecnologia

Il secondo aspetto da tenere in considerazione è che l’evoluzione di tali sistemi deve ancora consentire una buona copertura delle esche, fondamentale per evitare di farsi scoprire dagli attaccanti.

Il terzo ostacolo potrebbe essere costituito dal fatto che alcune soluzioni implicano l’installazione di apparati aggiuntivi necessari alla simulazione dell’ambiente e dei falsi bersagli, aspetto che incide sui costi e che, seppur minimo, ha un impatto sulla linea di produzione (spesso non visto positivamente).

Al di là di queste considerazioni e potenziali punti di complessità, gli strumenti di deception, migliorati e potenziati da motori di intelligenza artificiale, costituiranno nel prossimo futuro un’arma vincente per ottenere una comprensione approfondita dell’intelligence in campo ICS, rilevare la presenza di attori illeciti, raccogliere informazioni preziose su di essi e prevenire attacchi devastanti alla produzione.

Fonte: https://thehackernews.com/2023/02/honeypot-factory-use-of-deception-in.html