Le infrastrutture di tecnologia operativa (OT) e di sistemi di controllo industriale (ICS) obsolete continuano a creare grandi problemi di sicurezza per le organizzazioni industriali. Molti sistemi obsoleti non sono mai stati progettati per gli ambienti connessi di oggi, eppure continuano a supportare operazioni critiche nei settori manifatturiero, dei servizi pubblici, dei trasporti e dell'energia.

Di seguito sono riportati 11 percorsi di attacco OT nascosti comunemente creati da ambienti obsoleti e i controlli pratici che le organizzazioni possono implementare per ridurre rapidamente il rischio.

1. Sistemi operativi non supportati collegati agli ambienti di produzione

Molti ambienti industriali si affidano ancora a sistemi operativi non supportati che non ricevono più aggiornamenti di sicurezza. Spesso questi sistemi rimangono profondamente integrati nei processi produttivi perché la loro sostituzione richiederebbe costosi arresti operativi o la riconvalida dei sistemi critici.

Gli attori delle minacce prendono attivamente di mira queste risorse perché le vulnerabilità sono ben documentate e gli strumenti di exploit sono ampiamente disponibili. Una volta compromessi, questi sistemi possono fornire agli aggressori un punto di appoggio stabile negli ambienti operativi.

Le organizzazioni industriali dovrebbero dare priorità all'isolamento della rete per i sistemi non supportati, implementare politiche di segmentazione rigorose e utilizzare il patching virtuale quando gli aggiornamenti diretti non sono operativamente possibili. Anche il monitoraggio continuo del traffico da e verso gli asset legacy può aiutare a identificare precocemente le attività sospette.

2. Accesso remoto non protetto da parte dei fornitori

L'accesso remoto di terze parti è diventato uno dei punti di intrusione più comuni negli ambienti OT. I fornitori spesso richiedono l'accesso per la diagnostica, la manutenzione e l'assistenza, ma gli ambienti più vecchi si affidano spesso a connessioni VPN persistenti, credenziali condivise o servizi di desktop remoto scarsamente monitorati.

Gli aggressori prendono sempre più di mira fornitori e appaltatori perché spesso forniscono un accesso fidato agli ambienti critici, aggirando i controlli di sicurezza standard.

Le organizzazioni industriali dovrebbero implementare la gestione degli accessi privilegiati, applicare l'MFA su tutte le connessioni remote e utilizzare sessioni di accesso a tempo limitato con registrazione completa delle attività. I percorsi di accesso remoto dovrebbero inoltre essere segmentati, ove possibile, lontano dai sistemi operativi critici.

3. Convertitori da seriale a Ethernet dimenticati

Molti sistemi di controllo industriale preesistenti sono stati originariamente costruiti sulla base di comunicazioni seriali prima che l'Ethernet diventasse comune negli ambienti operativi. Con la modernizzazione delle organizzazioni, sono stati introdotti convertitori da seriale a Ethernet per collegare le vecchie e le nuove infrastrutture.

Nel corso del tempo, molti di questi dispositivi sono stati dimenticati o esclusi dagli inventari formali di sicurezza. Poiché spesso si trovano silenziosamente all'interno dell'ambiente, possono creare percorsi di attacco nascosti direttamente ai controllori industriali e ai dispositivi di campo.

L'individuazione completa degli asset e la mappatura delle reti OT sono fondamentali per identificare i ponti di comunicazione legacy. Una volta identificati, questi dispositivi devono essere isolati in zone di rete strettamente controllate e monitorati per rilevare comportamenti anomali nel traffico.

4. Architettura di rete OT piatta

Molti ambienti OT obsoleti operano ancora con una segmentazione interna minima. Storicamente, queste reti sono state progettate per l'affidabilità e la semplicità operativa piuttosto che per la resilienza della sicurezza informatica.

Il risultato è che una volta che gli aggressori ottengono l'accesso a un singolo dispositivo, il movimento laterale attraverso l'ambiente operativo può diventare relativamente semplice. Ciò aumenta significativamente la superficie di attacco e l'esposizione alle minacce negli ambienti OT.

Una forte segmentazione rimane uno dei modi più efficaci per ridurre il rischio operativo. La separazione degli ambienti OT da quelli IT, l'isolamento dei sistemi critici e la limitazione del traffico est-ovest possono ridurre drasticamente la capacità degli aggressori di muoversi attraverso le reti industriali.

5. Postazioni di lavoro ingegneristiche legacy

Le workstation di progettazione rappresentano spesso alcuni dei sistemi più preziosi all'interno degli ambienti industriali. In genere contengono privilegi elevati, accesso diretto al PLC e configurazioni operative sensibili.

Purtroppo, questi sistemi sono spesso esclusi dai regolari cicli di manutenzione perché i tempi di inattività limitano le opportunità di patch. Alcuni continuano a funzionare con software antivirus obsoleti, accesso USB illimitato e monitoraggio minimo.

La priorità per i sistemi di ingegneria deve essere data all'elenco delle applicazioni, al monitoraggio degli endpoint e alle politiche di restrizione dei supporti rimovibili. Le organizzazioni dovrebbero inoltre ridurre al minimo la connettività a Internet da queste postazioni di lavoro, ove possibile.

6. Supporti rimovibili non gestiti

I dispositivi USB rimangono ampiamente utilizzati negli ambienti industriali per la diagnostica, gli aggiornamenti e il trasferimento di file operativi. Tuttavia, i supporti rimovibili continuano a rappresentare uno dei meccanismi più facili di diffusione delle minacce informatiche negli ambienti OT.

In molti vecchi ambienti mancano ancora una governance coerente dei supporti rimovibili, controlli di scansione o procedure di trasferimento tra sistemi IT e OT.

Stazioni di sanificazione USB dedicate, criteri per i dispositivi autorizzati e procedure di trasferimento rigorose possono ridurre significativamente il rischio che le minacce informatiche entrino negli ambienti di produzione attraverso i supporti rimovibili.

7. Sistemi HMI esposti a Internet

I sistemi di interfaccia uomo-macchina vengono occasionalmente esposti a Internet durante la risoluzione di problemi remoti, accordi di accesso temporaneo da parte di fornitori o modifiche operative mal gestite.

Gli attori delle minacce cercano attivamente i sistemi HMI esposti perché possono fornire visibilità diretta sulle operazioni industriali e, in alcuni casi, la possibilità di manipolare i processi.

Il monitoraggio della superficie di attacco esterna e le valutazioni regolari dell'esposizione sono essenziali per identificare le risorse OT rivolte a Internet prima che gli aggressori le scoprano.

8. Credenziali predefinite deboli nei dispositivi embedded

Molti dispositivi industriali continuano a funzionare per anni utilizzando le credenziali predefinite del produttore, perché la loro modifica potrebbe avere un impatto sugli accordi di supporto del fornitore o interrompere le integrazioni legacy.

Queste credenziali sono spesso disponibili pubblicamente online e vengono spesso utilizzate durante gli attacchi che mirano alle vulnerabilità dei sistemi di controllo industriale.

Le organizzazioni industriali dovrebbero implementare processi strutturati di gestione delle credenziali, ruotare regolarmente gli account privilegiati e monitorare costantemente l'attività di autenticazione negli ambienti OT.

9. Firmware PLC non patchato

La gestione del ciclo di vita delle risorse e delle patch rimane una delle maggiori sfide per la cybersicurezza delle tecnologie operative. Molti PLC e controllori funzionano continuamente con finestre di manutenzione limitate, rendendo difficile programmare gli aggiornamenti del firmware in modo sicuro.

Di conseguenza, le organizzazioni industriali spesso continuano a utilizzare sistemi con vulnerabilità note e sfruttabili per lunghi periodi.

Piuttosto che tentare ampi programmi di patch su tutti gli asset, le organizzazioni dovrebbero dare priorità agli sforzi di rimedio in base alla sfruttabilità, alla criticità operativa e ai percorsi di esposizione.

10. Protocolli industriali non sicuri

Protocolli come Modbus, DNP3 e le vecchie implementazioni OPC non sono mai stati progettati tenendo conto dei moderni requisiti di sicurezza informatica. La maggior parte di essi manca completamente di crittografia, autenticazione e controlli di integrità.

Gli aggressori in grado di accedere a questi canali di comunicazione possono intercettare i comandi, manipolare il traffico industriale o interrompere i processi operativi senza essere rilevati.

I sistemi di rilevamento delle intrusioni industriali, la deep packet inspection e il monitoraggio della rete OT-aware possono migliorare la visibilità delle attività di protocollo sospette e delle comunicazioni anomale.

11. Risorse OT ombra al di fuori della governance

Molti ambienti industriali contengono sistemi non documentati, implementazioni temporanee e risorse non gestite che si trovano al di fuori dei processi di governance formali. Queste risorse ombra spesso sfuggono completamente alla gestione delle vulnerabilità, al monitoraggio e alle verifiche di sicurezza.

Senza una visibilità completa, le organizzazioni non possono valutare con precisione le vulnerabilità dei sistemi di controllo industriale o comprendere la reale portata dei problemi di gestione del rischio dei sistemi legacy.

Il rilevamento continuo degli asset e la visibilità centralizzata dei sistemi OT sono essenziali per identificare i sistemi non gestiti prima che gli aggressori li sfruttino.

Come può aiutare Integrity360

La sicurezza degli ambienti tecnologici operativi richiede competenze specialistiche in grado di comprendere sia le operazioni industriali sia le moderne minacce alla cybersecurity. I servizi di sicurezza OT di Integrity360 aiutano le organizzazioni a identificare le esposizioni nascoste, a rafforzare la segmentazione, a migliorare la visibilità e a ridurre il rischio operativo in ambienti OT e ICS complessi.

Dagli audit Industrial 360 e dai test di penetrazione OT alla risposta agli incidenti OT, al supporto ingegneristico e alle valutazioni di resilienza ransomware, Integrity360 fornisce servizi su misura progettati specificamente per le operazioni industriali.

Con oltre 40 consulenti di sicurezza OT, più di 250 test di penetrazione OT condotti ogni anno e un'esperienza di supporto alle organizzazioni in cinque continenti, Integrity360 aiuta le organizzazioni industriali a scoprire percorsi di attacco nascosti prima che lo facciano gli aggressori.

Se la vostra organizzazione è preoccupata per gli asset dei sistemi di controllo industriale obsoleti e per il rischio di sicurezza OT, è il momento di agire.

Contattate Integrity360 per valutare il vostro ambiente OT, identificare le esposizioni critiche e rafforzare la resilienza delle vostre operazioni.