Rapporto: aumentano gli attacchi informatici contro il settore energetico e dei servizi pubblici all'interno delle reti IT aziendali

Vectra ha annunciato oggi che, sebbene i sistemi di controllo industriale siano nel mirino, la maggior parte degli attacchi informatici contro le aziende energetiche e di servizi pubblici avviene e ha successo all'interno delle reti IT aziendali, non nelle infrastrutture critiche.

Pubblicati nel rapporto Spotlight Report on Energy and Utilities 2018 di Vectra, questi e altri risultati chiave sottolineano l'importanza di individuare comportamenti minacciosi nascosti all'interno delle reti IT aziendali prima che i cybercriminali abbiano la possibilità di spiare, diffondere e rubare. Questi comportamenti minacciosi rivelano che campagne di attacchi accuratamente orchestrate si verificano nell'arco di molti mesi.

Da anni i criminali informatici lanciano campagne di attacchi accuratamente orchestrate contro le reti energetiche e dei servizi pubblici. Queste missioni di ricognizione, spesso della durata di diversi mesi, prevedono l'osservazione dei comportamenti degli operatori e l'elaborazione di un piano di attacco unico nel suo genere.

"Quando gli aggressori si muovono lateralmente all'interno di una rete, espongono una superficie di attacco più ampia che aumenta il rischio di acquisizione e sottrazione dei dati", ha affermato Branndon Kelley, CIO di American Municipal Power, un'azienda elettrica senza scopo di lucro che fornisce energia elettrica a comuni in nove stati che possiedono un proprio sistema elettrico. "È fondamentale monitorare tutto il traffico di rete per rilevare tempestivamente e in modo coerente questi e altri comportamenti degli aggressori".

Gli aggressori remoti in genere ottengono un punto d'appoggio nelle reti energetiche e dei servizi pubblici utilizzando malware phishing rubare le credenziali amministrative. Una volta all'interno, utilizzano connessioni e protocolli amministrativi per eseguire ricognizioni e diffondersi lateralmente alla ricerca di dati riservati sui sistemi di controllo industriale.

"L'uso improprio delle credenziali amministrative fornisce agli aggressori un accesso illimitato ai sistemi e ai dati delle infrastrutture critiche", ha affermato David Monahan, direttore della ricerca sulla sicurezza e la gestione dei rischi presso Enterprise Management Associates. "Si tratta di una delle aree di rischio più critiche nel ciclo di vita degli attacchi informatici".

Altri risultati chiave contenuti nel Rapporto Spotlight 2018 su energia e servizi pubblici includono:

• Durante la fase di comando e controllo dell'attacco, sono stati rilevati 194 comportamenti di accesso remoto esterno ogni 10.000 dispositivi host e carichi di lavoro.
• Sono stati rilevati 314 comportamenti di attacco con movimento laterale ogni 10.000 dispositivi host e carichi di lavoro.
• Nella fase di esfiltrazione del ciclo di vita dell'attacco informatico, sono stati rilevati 293 comportamenti di contrabbando di dati ogni 10.000 dispositivi host e carichi di lavoro.

Il rapporto Spotlight 2018 di Vectra si basa sulle osservazioni e sui dati contenuti nell'edizione 2018 della Black Hat Conference dell'Attacker Behavior Industry Report, che rivela i comportamenti e le tendenze degli aggressori nelle reti di oltre 250 organizzazioni aziendali che hanno aderito volontariamente nel settore dell'energia e dei servizi pubblici, nonché in altri otto settori industriali.

Da gennaio a giugno 2018, la piattaforma Cognito di rilevamento e ricerca delle minacce di Vectra ha monitorato il traffico di rete e raccolto metadati da oltre 4 milioni di dispositivi e carichi di lavoro provenienti da cloud, data center e ambienti aziendali dei clienti. L'analisi di questi metadati fornisce una migliore comprensione dei comportamenti e delle tendenze degli aggressori, nonché dei rischi aziendali, consentendo ai clienti di Vectra di evitare violazioni dei dati catastrofiche.

La piattaforma Cognito di Vectra consente alle aziende di rilevare e individuare automaticamente gli attacchi informatici in tempo reale. Cognito utilizza l'intelligenza artificiale per eseguire una ricerca automatizzata e continua delle minacce con modelli comportamentali in costante apprendimento, al fine di individuare in modo rapido ed efficiente gli aggressori nascosti e sconosciuti prima che possano causare danni. Cognito offre una visibilità completa sui comportamenti dei cyber-aggressori, dai carichi di lavoro cloud dei data center agli utenti e ai dispositivi IoT, senza lasciare agli aggressori alcun nascondiglio.

Cognito Detect e la sua controparte AI, Cognito Recall, sono i pilastri della piattaforma Cognito. Cognito Detect automatizza il rilevamento in tempo reale degli aggressori nascosti, fornendo a Cognito Recall punto di partenza logico per eseguire la ricerca delle minacce assistita dall'intelligenza artificiale e condurre indagini conclusive sugli incidenti.