Vectra ha annunciato oggi che, sebbene i sistemi di controllo industriale siano nel mirino degli hacker, la maggior parte degli attacchi informatici contro le aziende del settore energetico e dei servizi pubblici avviene e va a buon fine all'interno delle reti IT aziendali, non nelle infrastrutture critiche.
Pubblicati nel rapporto "Spotlight Report on Energy and Utilities" di Vectra del 2018, questi e altri risultati chiave sottolineano l'importanza di individuare comportamenti minacciosi nascosti all'interno delle reti IT aziendali prima che i cyber-aggressori abbiano la possibilità di spiare, diffondere e rubare. Questi comportamenti minacciosi rivelano che le campagne di attacco, orchestrate con cura, si protraggono per molti mesi.
Da anni ormai i criminali informatici lanciano campagne di attacchi meticolosamente pianificate contro le reti dei settori energetico e dei servizi pubblici. Queste missioni di ricognizione, lente e silenziose, che spesso durano diversi mesi, consistono nell'osservare i comportamenti degli operatori e nell'elaborare un piano d'attacco su misura.
«Quando gli hacker si spostano lateralmente all’interno di una rete, si crea una superficie di attacco più ampia che aumenta il rischio di acquisizione ed esfiltrazione dei dati», ha affermato Branndon Kelley, CIO di American Municipal Power, un’azienda elettrica senza scopo di lucro che fornisce energia ai comuni di nove stati dotati di una propria rete elettrica. «È fondamentale monitorare tutto il traffico di rete per individuare tempestivamente e in modo costante questi e altri comportamenti degli hacker».
Gli hacker che agiscono da remoto riescono solitamente a infiltrarsi nelle reti dei settori energetico e dei servizi pubblici ricorrendo a malware phishing sottrarre credenziali amministrative. Una volta all'interno, utilizzano connessioni e protocolli amministrativi per effettuare ricognizioni e muoversi lateralmente alla ricerca di dati riservati relativi ai sistemi di controllo industriale.
«L'uso improprio delle credenziali amministrative offre agli hacker un accesso illimitato ai sistemi e ai dati delle infrastrutture critiche», ha affermato David Monahan, direttore responsabile della ricerca in materia di sicurezza e gestione dei rischi presso Enterprise Management Associates. «Si tratta di una delle aree di rischio più critiche nel ciclo di vita di un attacco informatico».
Tra gli altri risultati salienti del Rapporto Spotlight 2018 su energia e servizi pubblici figurano:
- Durante la fase di comando e controllo dell'attacco, sono stati rilevati 194 tentativi di accesso remoto esterno ogni 10.000 dispositivi host e carichi di lavoro.
- Sono stati rilevati 314 comportamenti di attacco di tipo "movimento laterale" ogni 10.000 dispositivi host e carichi di lavoro.
- Nella fase di esfiltrazione del ciclo di vita di un attacco informatico, sono stati rilevati 293 comportamenti tipici dei trafficanti di dati ogni 10.000 dispositivi host e carichi di lavoro.
Il rapporto Spotlight 2018 di Vectra si basa sulle osservazioni e sui dati contenuti nell'edizione 2018 della conferenza Black Hat dell'Attacker Behavior Industry Report, che illustra i comportamenti e le tendenze degli autori degli attacchi nelle reti di oltre 250 aziende del settore energetico e dei servizi pubblici che hanno aderito volontariamente all'iniziativa, oltre che in altri otto settori.
Da gennaio a giugno 2018, la piattaforma Cognito di Vectra per il rilevamento e la ricerca delle minacce ha monitorato il traffico di rete e raccolto metadati da oltre 4 milioni di dispositivi e carichi di lavoro provenienti cloud, dai data center e dagli ambienti aziendali dei clienti. L'analisi di questi metadati offre una comprensione più approfondita dei comportamenti e delle tendenze degli autori degli attacchi, nonché dei rischi aziendali, consentendo ai clienti di Vectra di evitare violazioni dei dati con conseguenze catastrofiche.
La piattaforma Cognito di Vectra consente alle aziende di rilevare e individuare automaticamente gli attacchi informatici in tempo reale. Cognito utilizza l'intelligenza artificiale per eseguire un monitoraggio continuo e automatizzato delle minacce, avvalendosi di modelli comportamentali in costante apprendimento, al fine di individuare in modo rapido ed efficiente gli autori degli attacchi nascosti e sconosciuti prima che possano causare danni. Cognito offre una visibilità completa sui comportamenti dei cyber-aggressori, dai carichi di lavoro cloud nei data center fino agli utenti e ai dispositivi IoT, senza lasciare loro alcun nascondiglio.
Cognito Detect e la sua controparte basata sull'intelligenza artificiale, Cognito Recall, sono i pilastri della piattaforma Cognito. Cognito Detect automatizza il rilevamento in tempo reale di aggressori nascosti, fornendo al contempo a Cognito Recall punto di partenza logico per eseguire la ricerca delle minacce assistita dall'intelligenza artificiale e condurre indagini approfondite sugli incidenti.
