Un nuovo rapporto mostra che le anomalie e gli attacchi di rete sono le minacce più comuni per gli ambienti OT e IoT, soprattutto nell’area delle infrastrutture critiche. Le vulnerabilità nelle aree di produzione critiche sono aumentate del 230%.
Nozomi Networks ha pubblicato il suo ultimo rapporto sulla sicurezza OT e IoT di Networks Labs. L'analisi degli esperti mostra che le anomalie e gli attacchi di rete rappresentano la minaccia più grande per gli ambienti OT e IoT. Un altro motivo di preoccupazione: le vulnerabilità nelle aree di produzione critiche sono aumentate del 230%. Pertanto, i criminali informatici hanno molte più opportunità di accedere alle reti e causare queste anomalie.
Dati di telemetria raccolti da 25 paesi
Nozomi Networks Labs raccoglie dati di telemetria unici in ambienti OT e IoT in 25 paesi, coprendo una varietà di casi d'uso e settori. L’analisi di questi dati ha rivelato che le anomalie e gli attacchi di rete hanno rappresentato la quota maggiore (38%) di minacce nella seconda metà del 2023. Le anomalie di rete, che rappresentano una delle principali preoccupazioni, sono aumentate del 19% rispetto al periodo di riferimento precedente. Ciò a sua volta indica che qui lavorano criminali che dispongono di molto know-how.
La scansione della rete è in cima alla lista degli avvisi per anomalie e attacchi di rete, seguita da vicino dagli attacchi TCP Flood. Grandi quantità di dati vengono inviate ai sistemi per paralizzarli o renderli inaccessibili. Di conseguenza, gli alert TCP Flood e i pacchetti anomali sono aumentati notevolmente negli ultimi sei mesi, sia in termini di alert totali che di valori medi per cliente, rispettivamente più che raddoppiati e sestuplicati.
Aumento degli avvisi del 123%.
Il numero di avvisi relativi al controllo degli accessi e alle minacce all'autorizzazione è aumentato del 123% rispetto al periodo di riferimento precedente. In questa categoria, gli avvisi per accessi multipli non riusciti sono cresciuti del 71% e gli attacchi di forza bruta sono cresciuti del 14%. Questa tendenza evidenzia le sfide continue poste dai tentativi di accesso non autorizzati e mostra che la gestione dell’identità e degli accessi in OT, così come altre sfide relative alle password degli utenti, continuano.
Negli ultimi sei mesi, gli esperti Nozomi hanno osservato queste cinque attività di minaccia critica più frequentemente in ambienti reali:
- Anomalie e attacchi di rete: il 38% di tutti gli avvisi
- Problemi di autenticazione e password: il 19% di tutti gli avvisi
- Problemi di controllo degli accessi e di autorizzazione: il 10% di tutti gli avvisi
- Minacce legate alla tecnologia operativa specifica (OT): 7% di tutti gli avvisi
- Comportamento di rete sospetto o inaspettato: il 6% di tutti gli avvisi
Vulnerabilità dell'ICS
Dato questo insieme di anomalie di rete, Nozomi Networks Labs ha identificato i settori che dovrebbero essere in massima allerta sulla base di un’analisi di tutti gli avvisi di sicurezza ICS emessi da CISA negli ultimi sei mesi. In cima alla lista c’è l’industria manifatturiera. Qui il numero di CVE (Common Vulnerabilities and Exposures) è salito a 621, un aumento drammatico del 230% rispetto al periodo di riferimento precedente.
L’industria manifatturiera, l’energia e l’acqua/acque reflue hanno continuato a essere i settori più vulnerabili per il terzo periodo di riferimento consecutivo. Nel settore energetico, invece, il numero complessivo delle vulnerabilità segnalate è diminuito del 46% e nel settore idrico/acque reflue del 16%. Gli immobili commerciali e le comunicazioni sono entrati nella top five, sostituendo il settore alimentare, agricolo e chimico (entrambi usciti dalla top 5). In particolare, nella top 10 figurano l’assistenza sanitaria, la pubblica amministrazione, i trasporti e i servizi di emergenza. Nella seconda metà dello scorso anno:
- CISA ha pubblicato 196 nuovi avvisi ICS su 885 vulnerabilità ed esposizioni comuni (CVE), con un aumento del 38% rispetto alla metà dell'anno precedente.
- Sono stati colpiti 74 fornitori, ovvero un aumento del 19%.
- Le vulnerabilità Out-of-Bounds-Read e Out-of-Bounds-Write sono rimaste tra le principali CVE per il secondo anno consecutivo: entrambe sono vulnerabili a vari attacchi, inclusi gli attacchi di buffer overflow.
Dati provenienti dagli honeypot IoT
Nozomi Networks Labs ha inoltre analizzato una grande quantità di dati sulle attività dannose contro i dispositivi IoT e ha identificato alcune tendenze degne di nota che i settori citati dovrebbero prendere in considerazione. I risultati mostrano che le botnet IoT dannose rimangono attive quest’anno e che i criminali continuano a utilizzare queste botnet per accedere ai dispositivi IoT utilizzando credenziali standard.
Da luglio a dicembre 2023, Nozomi Networks è riuscita a determinare tutta una serie di numeri interessanti attraverso l'uso degli honeypot:
- Una media di 712 attacchi unici al giorno (una diminuzione del 12% rispetto alla media giornaliera nel periodo di riferimento precedente): il giorno con il maggior numero di attacchi è stato il 6 ottobre con 1.860 attacchi.
- Gli indirizzi IP degli aggressori con elevata attività provengono da Cina, Stati Uniti, Corea del Sud, India e Taiwan.
- I tentativi di forza bruta rimangono una tecnica popolare per ottenere l’accesso ai sistemi: le credenziali standard rimangono uno dei principali modi in cui gli aggressori ottengono l’accesso all’IoT. Anche la Remote Code Execution (RCE) rimane una tecnica popolare, spesso utilizzata per attacchi mirati e per la distribuzione di vari tipi di malware.
Il report sulla sicurezza OT e IoT di Nozomi Networks Labs fornisce ai professionisti della sicurezza gli approfondimenti più recenti di cui hanno bisogno per rivalutare i modelli di rischio e le iniziative di sicurezza, nonché consigli di facile implementazione per proteggere le infrastrutture critiche.
Altro su NozomiNetworks.com
Informazioni sulle reti Nozomi Nozomi Networks accelera la trasformazione digitale proteggendo le infrastrutture critiche, le organizzazioni industriali e governative dalle minacce informatiche. La soluzione di Nozomi Networks offre un'eccezionale visibilità della rete e delle risorse, rilevamento delle minacce e approfondimenti per gli ambienti OT e IoT. I clienti fanno affidamento su di esso per ridurre al minimo il rischio e la complessità, massimizzando al contempo la resilienza operativa.