Sicurezza OT, le previsioni di Claroty per il 2024

A fine 2023, sono tra i 15 e i 17 miliardi i dispositivi IoT connessi, un numero che si prevede raddoppierà nel giro di 2 anni.

Durante il 2024, questo enorme numero di dispositivi genererà inoltre più di 80 miliardi di connessioni IoT, con il 70% delle quali in settori di infrastrutture critiche.

Sono i numeri principali stimati da una ricerca Gartner, secondo cui inoltre entro il 2025 il 60% dei CIO delle aziende ad alta intensità di asset aumenterà i propri investimenti nell’integrazione IT/OT ed entro il 2026 oltre il 70% degli investimenti in nuovi asset industriali incorporerà funzionalità di progettazione intelligente.

La situazione generale

Dal 2022 in pochissimi mesi il mondo è profondamente cambiato. Le ripercussioni della guerra in Ucraina hanno come noto dato il via a una crisi a livello umanitario, con implicazioni di portata internazionale. Tali ripercussioni hanno causato anche l’impennata dei prezzi e le interruzioni della catena di approvvigionamento in tutti i settori, dall’agricoltura ai beni di consumo, al petrolio greggio.

Il tutto è stato accompagnato da un significativo incremento degli attacchi informatici, che hanno preso di mira in particolare le infrastrutture critiche e l’Italia è tra i Paesi più colpiti.

Questa crescente ondata di minacce è stata possibile anche grazie al fatto che la trasformazione digitale sta accelerando. Gli asset un tempo isolati sono oggi sempre più connessi e le reti stanno convergendo man mano che aumenta l’adozione di sistemi cyber-fisici o CPS (Cyber-Physical Systems) sempre più diversificati.

Il futuro più immediato delle reti

Si prevede che nel 2024 le reti convergenti XIoT diventeranno la norma in tutti i settori delle infrastrutture critiche.

Perché una rete XIoT possa essere virtuale e convergente è necessario, però, il rispetto di tre precondizioni:

— Una conoscenza approfondita dei modelli di traffico “noti come validi” per capire come le risorse dovrebbero essere rese operative in modo sicuro.

— La capacità di rilevare violazioni delle policy note e valide, in modo tale che le patch temporanee comuni possano rimanere temporanee.

— La capacità di rendere operativa la segmentazione attraverso firewall, NAC e micro-segmentazione per rafforzare i canali e garantire certezza nelle comunicazioni di rete.

Questo approccio diventerà la nuova normalità, quindi sarà fondamentale consentire alle organizzazioni di sfruttare i CPS in modo sicuro. In tal senso la gestione tradizionale delle vulnerabilità non è più applicabile ai moderni sistemi. Il divario tra le vulnerabilità dei CPS divulgate, corrette e sfruttate, infatti, si sta allargando inesorabilmente e la rapida evoluzione e introduzione dei CPS in settori critici non fa che peggiorare la situazione.

Le vulnerabilità dei CPS

Quasi il 70% delle vulnerabilità CPS divulgate nel 2023 ha ricevuto un punteggio CVSS v3 di “alto” o “critico”, ma da allora meno dell’8% di loro è stato sfruttato. I team di sicurezza che seguono queste raccomandazioni spesso non solo sono sopraffatti, ma potrebbero anche indirizzare erroneamente le risorse verso le vulnerabilità che hanno meno probabilità di essere sfruttate, trascurando quelle che invece ne hanno maggiore probabilità.

In un recente sondaggio condotto da Claroty, più del 78% dei professionisti della sicurezza, dell’IT e dell’ingegneria del settore sanitario hanno dichiarato che l’applicazione di patch alle vulnerabilità nei CPS clinici è la lacuna più significativa nelle difese informatiche. Il 63% delle vulnerabilità sfruttate note nel catalogo KEV della CISA si riscontra sulle reti sanitarie, mentre il 23% dei dispositivi medici, inclusi i dispositivi di imaging, i dispositivi IoT clinici e i dispositivi chirurgici, presenta almeno una vulnerabilità sfruttata nota.

La situazione si aggrava ulteriormente negli ambienti che sfruttano CPS mission-critical con lunghi periodi di ammortamento. L’applicazione di patch è spesso vietata, soprattutto quando si tratta di dispositivi medici connessi e sistemi di controllo industriale, perché questi ambienti non sono in grado di tollerare i tempi di inattività né di assorbire il rischio potenziale che una nuova patch potrebbe introdurre nei sistemi adiacenti. Per questo, nei prossimi anni la gestione delle vulnerabilità dovrà evolversi per sfruttare nuovi paradigmi: ecco perché le organizzazioni di infrastrutture critiche accelereranno l’adozione di metodologie di sicurezza predittiva e approcci Zero Trust per migliorare le loro difese informatiche.

Lo status quo del punteggio di vulnerabilità sarà sostituito con un modello di punteggio che prevede quali vulnerabilità gli aggressori utilizzeranno come arma. Queste informazioni consentiranno di prendere decisioni più efficienti in priorità, correzione e gestione complessiva del rischio. Anche l’accesso alla rete Zero Trust sarà fondamentale per proteggere le reti fino ai livelli più granulari di utenti, macchine e carichi di lavoro. Soprattutto. man mano che le fabbriche e altre applicazioni diventano più autonome, gli approcci Zero Trust forniranno la copertura necessaria per garantire che i servizi non vengano interrotti o manipolati. Per avere successo nell’implementazione di questi controlli di compensazione, occorre avere una buona comprensione dei criteri di sicurezza “noti validi” di come i CPS dovrebbero comunicare con altre risorse nell’ambiente.

Gli attacchi informatici con l’IA

Non va poi tralasciato il fatto che i criminali informatici stanno trasformando l’IA in un’arma. Ne sono un esempio concreto i sofisticati strumenti utilizzati dai cyber criminali cinesi per violare il CPS in una base militare statunitense a Guam nel maggio 2023. Secondo un recente rapporto del DHS (Department of Homeland Security) degli Stati Uniti, l’incidente di Guam è la dimostrazione della tendenza di sfruttare le tecnologie emergenti, come l’intelligenza artificiale, impiegate all’interno del CPS per sferrare attacchi informatici.

La stessa Gartner stima che entro il 2025 gli attacchi che sfruttano l’IA costringeranno le organizzazioni ad abbassare le soglie per il rilevamento di attività sospette, generando più falsi allarmi. Al tempo stesso, però, si prevede che entro il 2027 l’IA generativa contribuirà a una riduzione del 30% dei tassi di falsi positivi per i test di sicurezza delle applicazioni e il rilevamento delle minacce, perfezionando i risultati nell’individuazione di eventi dannosi. Possiamo affermare, quindi, che l’IA generativa migliorerà la resilienza informatica e operativa dei CPS. Questo permetterà, inoltre, di contrastare la velocità e la sofisticazione con le quali i malintenzionati stanno armando l’IA contro i CPS. L’automazione dei principali flussi di lavoro operativi e di sicurezza, la preventiva visibilità sull’intera superficie di attacco XIoT e la possibilità di prevenire eventuali attacchi sono solo alcuni degli ambiti nei quali l’IA potrà guidare la resilienza di questi asset e dei sistemi critici verso il futuro.

— a cura di Domenico Dominoni, Director of Sales South Europe di Claroty