Cybersecurity per i sistemi industriali tramite Honeypot
Gli Honeypot – strumenti di sicurezza informatica pensati per attrarre il traffico malevolo su una determinata rete – ultimamente sono tornati a far parlare di sé, in ragione del loro possibile impiego a protezione di infrastrutture industriali sempre più spesso sotto attacco.
I limiti delle attuali strategie difensive
Tra le principali tendenze di cyber risk osservate negli ultimi anni spiccano infatti le crescenti minacce rivolte all’industria, che nel 2022 si conferma uno dei comparti più colpiti.
Dai data breach accidentali ai ransomware mirati, fino a campagne di sabotaggio e cyber espionage frequentemente imputabili a dipendenti infedeli o altre tipologie di Insider Threat, le industrie contemporanee fronteggiano un panorama di rischio estremamente articolato.
Nel corso del tempo l’aumento dei pericoli ha dato impulso al diffuso utilizzo degli Industrial Control Systems (ICS) e degli strumenti di Supervisory Control and Data Acquisition (SCADA) per potenziare le funzioni di monitoraggio, gestione e controllo negli impianti industriali complessi.
Eppure, qui come altrove, i vari sistemi di rilevamento e prevenzione (Intrusion Detection and Prevention System o IDPS) basati sul controllo degli accessi e/o delle anomalie mostrano diversi lati “deboli”. Aumentando i punti d’ingresso alle reti, la protezione delle infrastrutture – critiche o meno – esige strumenti e prassi di sicurezza informatica che sappiano abbracciare l’intero ecosistema, per poter contenere con successo anche minacce difficilmente prevedibili quali, tipicamente, gli attacchi zero-day.
Ciò rende necessario l’impiego di ulteriori meccanismi di sicurezza, soprattutto per l’Industrial Internet of Things (IIoT) dove la proliferazione di dispositivi connessi e la crescente automazione dei processi hanno progressivamente sfumato i confini da proteggere, sollevando problemi anche in termini di comunicazione e interoperabilità tra diverse tecnologie.
Le specificità della cybersecurity industriale
Vigilare su ambienti complessi, nei quali vengono elaborate e gestite ingenti quantità di dati, non è mai un compito semplice. Tanto più in settori massicciamente interessati da prescrizioni normative e standard internazionali vincolanti, che per tenere il passo delle minacce vengono frequentemente integrati o modificati imponendo alle aziende anche significativi sforzi di compliance.
Inoltre, nel comparto industriale, la continuità operativa è uno degli asset principali da difendere; ma se in passato i grandi impianti produttivi contavano su infrastrutture centralizzate, oggi la Smart Factory vive nelle molteplici articolazioni cyber-fisiche di produzioni sempre più specializzate, rendendo particolarmente arduo il compito di chi debba pianificarne la difesa.
Come è noto la formazione dei dipendenti, una supervisione globale sulla sicurezza delle catene di fornitura, il costante monitoraggio e aggiornamento di software e dispositivi, la gestione degli accessi e il rapido rilevamento di ogni anomalia (anche rispetto alle attività di utenti “privilegiati”, per non lasciare fuori radar possibili minacce interne) sono tutte attività necessarie a contenere e mitigare il rischio informatico, insieme ad adeguati piani di Incident Response da implementare quando un attacco riesca comunque ad andare a segno.
L’utilità degli Honeypot
Laddove ciò non bastasse, una preziosa risorsa aggiuntiva può venire dall’impiego degli Honeypot.
Non a caso citati anche dal Framework for Improving Critical Infrastructure Cybersecurity del NIST, tali strumenti di Deception Technology – se ben congegnati e inseriti in una più ampia strategia – possono rendere l’approccio alla difesa realmente proattivo, anticipando le minacce e sfruttandole a scopo di threat intelligence.
Previsti lato Client o Server (o ancora con una collocazione ibrida) e debitamente offuscati, attirano gli attaccanti in ambienti predisposti ad hoc entro cui osservarne comportamenti ed errori: al riguardo si distingue tra Low-Interaction Honeypots (LIHP), Medium-Interaction Honeypots (MIHP) e High-Interaction Honeypots (HIHP), in base ai crescenti livelli d’interazione concessi al “nemico”.
A testimonianza del rinnovato interesse per questi strumenti si può citare HoneyPlant, la proposta di framework per l’implementazione degli honeypot nei contesti ICS recentemente elaborata da un gruppo di ricercatori della Lancaster University (UK) per contribuire agli sforzi regolatori in materia e alla sicurezza operativa del settore.
Particolarmente utili nella ricerca di vulnerabilità – sono infatti in grado di individuare attacchi zero-day e altre minacce ignote – gli Honeypot consentono, più in generale, di analizzare il malware da una prospettiva sicura.
Sebbene in campo industriale siano storicamente utilizzati soprattutto per raccogliere dati a scopi di ricerca, risulta infatti sempre più opportuno fare ricorso agli Honeypot anche a protezione di sistemi ICS e OT.