Cyber war: è possibile creare barriere digitali per i sistemi di controllo industriali? (parte seconda)
Pillar 5 – Monitoraggio
È evidente che si dovrebbe conoscere con esattezza quali dati passano nella propria rete. A causa del livello di sofisticazione delle minacce Cyber e del tempo necessario per individuare nuove minacce (zero day vulnerablities) è molto importante tenere sotto controllo la propria rete.
Un Security Operation Center (SOC), sia interno all’Azienda che esterno, acquisito come servizio, può aiutare molto nella battaglia contro i pericoli in agguato nell’ombra, individuandoli e bloccandoli addirittura prima che possano cominciare a colpire. Un SOC esterno avrà il vantaggio di essere più efficiente ed efficace perché alimentato in “real time” di tutte le minacce Cyber conosciute nel mondo in quel momento. Le minacce Cyber già sofferte da aziende diverse verranno diffuse e messe a disposizione del mondo Cyber, con i relativi “antidoti”.
Una volta individuato un malware nella propria rete, è consigliato contattare un CERT (organizzazioni nazionali ed internazionali incaricate di raccogliere le segnalazioni di incidenti informatici e potenziali vulnerabilità nei software, che provengono dalla comunità degli utenti) per meglio identificare l’attacco e capire come agire per rimuoverlo.
Un “Forensics Team” potrà poi stabilire quali dati sono stati compromessi, chi si nasconde dietro l’attacco, perché è stata attaccata quell’azienda, quando è stato scoperto l’attacco e come si è sviluppato. Queste analisi dovrebbero essere effettuate su dati (Log files, etc) che dovrebbero essere salvati e protetti, in tempo reale, da possibili manipolazioni da parte degli “attaccanti” al fine di eliminare le proprie “tracce digitali”.
A tale scopo, come già detto per la parte di backup, l’utilizzo di una soluzione “one way” è particolarmente indicata.
Fig. 1 – Protezione log e backup da manipolazioni
Queste sono domande cruciali, alle quali bisogna dare una risposta per evitare altri attacchi simili ed eventualmente predisporsi per azioni legali contro i Cyber criminali.
Quanto sono protette le cosiddette “Infrastrutture Critiche” ?
Per cercare di capire il panorama di minacce nel mondo delle Infrastrutture Critiche, possiamo prendere ad esempio il settore Idrocarburi (Oil & Gas); un’indagine di “Oil & Gas IQ” (www.oilandgasiq.com), comunità online con circa 209.000 membri attivi nel settore, ha rilevato risultati non molto confortanti.
Infatti il sondaggio effettuato nel 2016, ha evidenziato che il 39% di tutti coloro che hanno risposto non credono che la loro azienda sia in grado di gestire un assalto Cyber. Nel caso di APT (Advanced Persistent Threat), il 65% non crede che la propria azienda sia in grado di difendersi. Inoltre, il 74% di coloro che hanno risposto dichiara che hanno subito uno o più attacchi. Il 17% dichiara che la propria azienda non sta monitorando le reti.
E’ sorprendente che il 22% addirittura non sappia se viene effettuato il monitoraggio. Altri risultati sono collegati ai rimedi sugli attacchi, i servizi CERT e Forensics. I servizi CERT non sono usati, come dichiarato dal 22% ed i servizi Forensics non lo sono dal 61% delle aziende.
Insomma, c’è molto da fare.
Quali “Bonifiche Digitali” dobbiamo implementare?
È evidente che stiamo perdendo la guerra Cyber contro nemici sempre più sofisticati e persistenti, sempre un “passo avanti”. Nelle pratiche per una “Bonifica Digitale” le misure più urgenti dovrebbero essere rivolte alla prevenzione, alla rilevazione, al monitoraggio ed alla reazione contro quelle minacce latenti, nascoste e sempre in agguato, prima che possano centrare il bersaglio.
L’utilizzo di queste poche e semplici linee guida possono aiutare ad alzare una barriera per contrastare e, se possibile, prevenire questa nuova frontiera del Crimine.
di Maurizio Corti, CEO di Heimdall Consulting
Per approfondimenti e contatti con l’autore:
www.heimdall-consulting.com
info@heimdall-consulting.com
