Blog

Proteggete le vostre operazioni con il threat hunting proattivo

Supponete di disporre di un ottimo programma di sicurezza industriale. Avete eseguito un'operazione approfondita di igiene informatica e avete implementato sistemi di rilevazione delle intrusioni per prevenire problemi futuri. Nel complesso mondo della sicurezza informatica, tali accorgimenti non sono sufficienti.

Nonostante i vostri sforzi, le minacce APT (advanced persistent threats) latenti rappresentano ancora un problema. Tali minacce operano costantemente alla ricerca di punti deboli nei sistemi di sicurezza per sottrarre dati e interrompere le vostre operazioni e i sistemi di rilevazione delle intrusioni non sono in grado di rilevare questa attività.

Siete pronti per il threat hunting

Il threat hunting è ciò che serve al vostro programma di sicurezza informatica. Il threat hunting parte dall’analisi della rete per individuare le minacce esterne o intrusioni non rilevate dai sistemi di sicurezza automatici. Si tratta di un processo che può essere eseguito con diversi livelli di automazione o in totale assenza di automazione.

Oltre a proteggere in modo più approfondito le ricette e le informazioni proprietarie, il threat hunting ha un grande potenziale per migliorare le efficienze operative. In ambito IT questa pratica è già in parte conosciuta, mentre si tratta di una novità per gli ambienti OT. Ed è proprio in ambiente OT che la produzione alimentare può trarne maggiore beneficio.

Il threat hunting è proattivo e fa un passo indietro rispetto agli strumenti di scansione e alle infrastrutture attualmente in uso che si concentrano sul futuro. Nell'era della tecnologia, tale strumento si avvale della materia grigia per scoprire attività dannose e intrusioni che sono rimaste nascoste nella vostra rete per mesi, o persino anni, ed è inoltre in grado di identificare correlazioni altrimenti non rilevabili tra l'attività di rete e le inefficienze di produzione.

Le conseguenze inaspettate delle intrusioni

Il mixer non funziona? I pannelli operatore sono bloccati? La stampante visualizza messaggi d'errore?

L'origine del problema può essere semplicemente la carica di un telefono non protetto in una porta USB aperta sulla rete. A distanza di mesi, il forno non funziona più e i parametri impostati si resettano, sebbene dal punto di vista meccanico sembri non esserci alcun problema.

Un'attenta analisi dei registri di rete rivela però che per ogni malfunzionamento del forno vi sono beacon che rimandano a un indirizzo IP esterno. Questa correlazione non si può rilevare in nessun altro modo ed è ciò che rende il fattore umano fondamentale e il threat hunting prezioso.

Mi è capitato di visitare un impianto che subiva frequenti rallentamenti durante un determinato turno lavorativo. L'hunting proattivo ha permesso di scoprire un Bit Torrent non rilevato nella postazione di lavoro di un collaboratore. Ogni giorno, al momento dell'accesso all'inizio del turno, l'intera rete subiva le conseguenze dell'attacco.

Scoprite i rischi legati alla gestione della sicurezza informatica nell'industria alimentare con lo smart manufacturing. Scaricate l'eBook per saperne di più.

Perché i sistemi di rilevazione delle intrusioni non individuano tutti i malware nascosti?

La maggior parte degli elementi scoperti dal threat hunting sembra innocua e, senza contesto né correlazione, attraversa i sistemi di rilevazione senza generare campanelli d'allarme. Un malware è in grado di comunicare con un indirizzo IP sconosciuto e passare per traffico internet sicuro.

Un'altra possibilità è rappresentata dalla presenza di SYN scan in corso nella periferica, all'esterno dello spazio protetto dal vostro software di sicurezza. I SYN scan attendono l'apertura di una breccia nella rete. Non essendo rifiutati e non avendo ancora stabilito connessioni esterne, non sono rilevabili.

Durante il processo di threat hunting, è possibile scoprire che una connessione outbound proviene da un processo che non dovrebbe andare in Internet, oppure si trova un sistema che non era in uso al momento della comunicazione e che quindi indica una fonte infetta.

Probabilmente queste minacce APT erano già presenti al momento dell'implementazione del sistema di sicurezza informatica. Questo perché la maggior parte dei programmi di rilevazione e prevenzione delle intrusioni si basa su uno stato valido conosciuto. Una condizione iniziale con traffico sospetto o malware diventa parte della norma. Molti noti attacchi alla sicurezza rientrano in questa categoria, l'attacco viene rilevato anni dopo rispetto al momento in cui è avvenuto, quando è ormai troppo tardi per prevenire i danni.

Per iniziare

La buona notizia è che avete già probabilmente quello che vi serve per iniziare a implementare il threat hunting. Con il partner giusto, l'implementazione del threat hunting è un processo semplice e può trattarsi di un'attività eseguita una sola volta o che può far parte di un programma di sicurezza continuo. I vostri pannelli operatore e i vostri server creano già registri di attività che consentono la raccolta e l’analisi offline, senza creare sovraccarichi sulla rete o interruzioni della produzione.

Potete fare un passo avanti, smettere di affidarvi esclusivamente alla protezione degli endpoint e alle scansioni antivirus per rilevare vulnerabilità e intrusioni prima che sia troppo tardi per i vostri sistemi.

Pubblicato 28 gennaio 2019

Pascal Ackerman

Senior Consultant of Industrial Cyber Security, Rockwell Automation

Connetti:

Subscribe to Rockwell Automation and receive the latest news, thought leadership and information directly to your inbox.

Iscrivetevi

Consigliato