Nozomi Networks e il SANS Institute hanno pubblicato un sondaggio che mostra che le aziende stanno investendo di più nella sicurezza informatica del sistema di controllo industriale (ICS) per adattarsi al sempre più elaborato panorama delle minacce informatiche.
Il sondaggio 2021 SANS ICS/OT ha ottenuto 480 risposte, con il 47% che ha riferito che i propri budget per la sicurezza ICS sono aumentati negli ultimi due anni. Un altro 32% ha affermato che non ci sono stati cambiamenti.
Quasi la metà degli intervistati ha affermato di non sapere se le proprie organizzazioni hanno subito un incidente di sicurezza informatica, mentre solo il 15% ha ammesso di averne avuto uno negli ultimi 12 mesi.
Di coloro che hanno affermato di aver avuto a che fare con incidenti di sicurezza informatica, più della metà ha affermato di essere in grado di rilevare i compromessi in 6-24 ore. Il 30% è stato in grado di rilevare un compromesso in meno di sei ore.
Particolarità
L'ascesa dell'IoT industriale
Le infrastrutture di tutto il mondo vengono collegate tra loro tramite sensori, apprendimento automatico e analisi. Esaminiamo l'ascesa del gemello digitale, i nuovi leader nell'IoT industriale (IIoT) e casi di studio che evidenziano le lezioni apprese dalle implementazioni di produzione IIoT.
Ulteriori informazioni
Quasi il 20% ha affermato che la workstation di ingegneria era un vettore di infezione iniziale. Circa la metà ha citato le “connessioni esterne” come il vettore di accesso dominante, mentre il 36% ha indicato i servizi di accesso remoto come il vettore di accesso iniziale segnalato prevalente per gli incidenti.
Sorprendentemente, quasi il 70% degli intervistati ha valutato il rischio per il proprio ambiente elevato o grave, un aumento significativo rispetto al 51% registrato nel 2019. Più della metà ha citato ransomware, criminalità informatica e attacchi allo stato nazionale come i principali vettori di minacce. Oltre il 31% degli intervistati ha affermato che anche i dispositivi non protetti costituivano una delle principali preoccupazioni.
Per fortuna, circa il 70% degli intervistati ha affermato di disporre di una qualche forma di programma di monitoraggio per la sicurezza OT e quasi il 76% ha affermato di aver condotto un audit di sicurezza dei propri sistemi o reti OT/controllo nell'ultimo anno.
Quasi il 30% ha messo in atto un programma di valutazione continua e il 50% degli intervistati ha affermato di utilizzare un feed di informazioni sulle minacce specifico per ICS fornito dal fornitore.
Il cloud sta anche svolgendo un ruolo più importante negli ambienti OT, con il 40% degli intervistati che afferma di utilizzare una qualche forma di servizi basati su cloud per i sistemi OT/ICS. Oltre il 90% utilizza la tecnologia cloud per la configurazione e l'analisi del monitoraggio remoto, il supporto OT e la logica/controllo remoto.
Ogni intervistato che utilizza la tecnologia cloud ha affermato di utilizzarla per almeno un tipo di funzione di sicurezza informatica.
Mark Bristow, capo del ramo di coordinamento della difesa informatica presso CISA e SANS Institute Certified Instructor, è l'autore del rapporto e ha dichiarato a ZDNet che tre cose lo hanno colpito: il livello di adozione delle tecnologie cloud per i risultati operativi, la mancanza della visibilità degli incidenti e del numero di incidenti che coinvolgono le workstation di ingegneria.
“Due anni fa, l'adozione del cloud non veniva seriamente discussa e ora il 49% lo sta utilizzando. L'implicazione delle workstation di ingegneria in così tanti incidenti è molto preoccupante. Questi dispositivi sono ciò che è necessario per sviluppare operazioni prevedibili e ripetibili contro i sistemi di controllo e il il targeting e lo sfruttamento di successo di questi sistemi indica un rischio attuale e futuro significativo”, ha affermato Bristow.
“È fantastico che ora disponiamo di programmi di monitoraggio, ma stiamo ancora esaminando principalmente gli aspetti IT dei nostri ambienti OT. Dobbiamo correlare la nostra telemetria di sicurezza IT e OT, nonché i dati di processo per comprendere veramente i potenziali impatti sulla sicurezza e operazioni. Concentrati sui fondamentali. Troppi intervistati non dispongono di un programma formale per l'identificazione delle risorse e l'inventario. Senza questo passaggio fondamentale, ulteriori investimenti in sicurezza potrebbero non essere validi o essere fuori luogo. Il ransomware è un rischio enorme, ma non è specificamente mirato ICS. Un malintenzionato che prende di mira specificamente il tuo ambiente ICS non sarà così schietto o rumoroso come lo è il ransomware e stiamo lottando per difenderci dal ransomware.”
Bristow ha aggiunto di essere stato incoraggiato a vedere che alcuni gli intervistati utilizzano patch continue dell'ambiente OT.
“Alcuni anni fa, questo era considerato impossibile e vedere l'implementazione è davvero incoraggiante”, ha osservato Bristow.
Come gli hacker hanno attaccato la rete elettrica ucraina: implicazioni per la sicurezza dell'IoT industriale
Gli attacchi informatici del dicembre 2015 alle utility elettriche ucraine sono stati rari in quanto sono stati inflitti danni effettivi. Ma ci sono ampie prove di una diffusa infiltrazione nei sistemi operativi delle organizzazioni.
Leggi di più
L'evangelista della tecnologia di Nozomi Networks Chris Grove, che ha lavorato al rapporto con Bristow , ha fatto eco a molte delle valutazioni citate dal suo coautore, sollecitando l'accettazione da parte del settore dei servizi basati su cloud.
Grove ha dichiarato a ZDNet che crede che le organizzazioni ICS continueranno ad adottare tecnologie cloud e che l'adozione di soluzioni di sicurezza basate su cloud crescerà in modo significativo nei prossimi anni.
Ma ha notato quanto sia allarmante vedere che il rilevamento e la risposta sono ancora un problema significativo per le organizzazioni.
“In quasi tutti i casi, una maggiore visibilità rende tutto più facile da gestire. Dall'avere un inventario dettagliato delle risorse, al monitoraggio dei modelli di traffico di rete, all'ispezione del traffico per attacchi o anomalie operative… la visibilità è una componente cruciale per difendere con successo le operazioni”, ha affermato Grove.
“Come parte di una mentalità post-Breach, gli operatori dovrebbero considerare il fatto che alla fine gli attaccanti violeranno il perimetro, e uno dovrebbe essere preparato per quel giorno. Come limitiamo il raggio di esplosione dell'attacco? Come li teniamo a bay e successivamente eliminarli dal sistema? Come manteniamo, chiudiamo o ripristini in modo sicuro le operazioni potenzialmente interessate dalla violazione? Queste sono domande difficili da porsi prima che arrivi quel giorno.”
Sicurezza
Fortinet, Shopify segnala problemi dopo la scadenza del certificato CA radice di Lets Encrypt Le gang di ransomware si lamentano del fatto che altri truffatori stanno rubando i loro riscatti Il CEO della larghezza di banda conferma le interruzioni causate da attacchi DDoS Questi sistemi affrontano miliardi di attacchi ogni mese come hacker prova a indovinare le password Come ottenere un lavoro ben pagato nella sicurezza informatica Cybersecurity 101: proteggi la tua privacy da hacker, spie, governo
Argomenti correlati:
Cloud Security TV Data Management CXO Data Center