L'M1A2 Abrams è cyber protetto?

Si, secondo il GVSC.

Facciamola semplice: i veicoli sono suscettibili agli attacchi cyber. Se pensate ad un veicolo moderno vi renderete conto che non è altro che una manciata di computer su ruote o cingoli... 

Queste in sostanza, al netto della traduzione, le parole di Jeffery Jaczkowski, direttore associato per la cyber engineering dei i sistemi terrestri del Ground Vehicle Systems Center (GVSC, vedi video).

Se vi state chiedendo cosa sia il GVSC, dovete sapere che si tratta del centro di ricerca e sviluppo per le tecnologie avanzate dei sistemi terrestri dell'esercito degli Stati Uniti d'America. Il centro ha come missione lo sviluppo, l'integrazione, la dimostrazione e sostegno delle capacità dei sistemi dei veicoli terrestri a favore delle priorità definite per la modernizzazione dell'esercito e per migliorarne la prontezza. 

Compito arduo, che vede al centro della esercitazione Cyber Cyclone il carro armato statunitense M1A2 Abrams. 

L'esercitazione Cyber Cyclone, condotta lo scorso settembre 2021 presso il Yuma Proving Ground, ha dimostrato le funzionalità di un dispositivo studiato appositamente per la difesa cyber del carro chiamato Bus Defender, della Peraton Labs. 

Il dispositivo testato è un intrusion detection and prevention system (IDPS) creato per resistere a cyber attacchi condotti contro dispositivi che fanno uso di data bus MIL-STD-1553. Il progetto è stato sviluppato dalla Direzione Ground Systems Cyber Engineering (GSCE) del GVSC come parte del progetto Vehicle Systems Security (VSS).

Secondo un articolo di Brett Tingley (Thedrive.com) dell'otto febbraio scorso, l'esercito statunitense ha iniziato da qualche anno a studiare come rafforzare le difese cyber dei propri veicoli, non solo il carro Abrams, ma anche i veicoli corazzati della famiglia Stryker 8x8, che sembra siano stati oggetto di un attacco cyber. 

L'esercito americano continua a lavorare incessantemente sulla protezione cyber di veicoli e piattaforme, aiutato da società americane esperte del settore. Non è un segreto infatti che i due principali contendenti statunitensi al mondo, Russia e Cina, hanno sviluppato enormemente le loro capacità cyber.

Ci sembra lecito chiedersi cosa stiano facendo in merito i paesi europei. L'appartenenza alla Alleanza Atlantica non ci assicura da possibili attacchi cyber contro sistemi e piattaforme militari di vecchia concezione e la mancanza di difese cyber nel mondo civile (dimostrata dai continui attacchi contro infrastrutture critiche, organizzazioni statali e industrie) non lascia presagire niente di buono.

E' forse arrivato il momento di mettere da parte rivalità e gelosie ataviche e cercare di sviluppare capacità militari cyber in ambito europeo? 

Alessandro Rugolo

Per approfondire:

- M1 Abrams Tank Tested With New System That Prevents It From Being Hacked (thedrive.com)

- Ground Vehicle Systems Center - US Army | Ground Vehicle Systems Center (usarmygvsc.com)

- Bus Defender - Peraton Labs

- DVIDS - Video - Cyber Cyclone Demonstrates Ground Vehicle Cyber Resiliency (dvidshub.net)

- M1 Abrams Tank Tested With New System That Prevents It From Being Hacked - News07trends (universalpersonality.com)

- MILSTD1553.com | Complete Online Reference for MIL-STD-1553

- DVIDS - News - GVSC Cyber Cyclone Demonstrates Ground Vehicle Cyber Resiliency (dvidshub.net)

La nuova rivoluzione digitale, il deep learning

Riconoscere una foto, una canzone, un’abitudine di un utente. Con l’intelligenza artificiale è già possibile. Ma perché è importante, e come sta influenzando il nostro modo di vivere?

Prima di rispondere a questa domanda dobbiamo fare un passo indietro per spiegare la differenza tra Artificial Intelligence (AI), Machine Learning (ML) e Deep Learning (DL), termini spesso confusi ma dal significato ben preciso.

Per spiegare l’idea di base serviamoci di un’immagine presa dal sito di NVIDIA:

Dall’immagine appare evidente come la nozione di AI sia un concetto generale di ML che a sua volta è un concetto più generale del DL. Ma non solo. Infatti come vediamo i primi algoritmi di deep learning sono nati poco più di 10 anni fa a differenza dell’Intelligenza artificiale che nasce intono agli anni ‘50 con i primi linguaggi come LISP e PROLOG con l’intento di imitare le capacità dell’intelligenza umana.

I primi algoritmi di intelligenza artificiale si limitavano a eseguire un certo numero possibile di azioni secondo una certa logica definita dal programmatore (come nel gioco di dama o scacchi).

Attraverso il machine learning, l’intelligenza artificiale si è evoluta attraverso i cosiddetti algoritmi di apprendimento supervisionato e non supervisionato con l’obiettivo di creare modelli matematici di apprendimento automatico basandosi su una grossa mole di dati in input che costituiscono “l’esperienza” dell’intelligenza artificiale.

Nell’apprendimento supervisionato, per poter creare il modello, è necessario addestrare (training) l’AI assegnando a ogni elemento un’etichetta: ad esempio se voglio classificare la frutta, farò foto di tante mele diverse e assegnerò al modello l’etichetta “mela” così per pera, banana, etc.

Nell’apprendimento non supervisionato il processo sarà inverso: si dovrà creare un modello a partire da immagini differenti di frutta, e il modello dovrà estrarre le etichette secondo caratteristiche che accomunano le mele, le pere e le banane.

I modelli di machine learning supervisionati sono già utilizzati da antivirus, filtri per lo spam, ma anche nel campo del marketing come i prodotti suggeriti da amazon.

L’esempio del filtro antispam

L’idea alla base di un filtro antispam per la posta elettronica è quella di addestrare un modello che “apprenda” da centinaia di migliaia (se non milioni) di email, etichettando ogni mail come spam o legittima. Una volta addestrato il modello, l’operazione di classificazione prevede:

1. Estrazione delle caratteristiche peculiari (chiamate features) come, ad esempio, le parole del testo, il mittente della mail, indirizzo ip sorgente, etc.

2. Considerare un “peso” per ogni feature estratta (ad esempio se nel testo ci sono 1000 parole, alcune di esse potranno essere più discriminanti di altre come ad esempio la parola “viagra”, “porn”, etc. avranno un peso diverso da buongiorno, università, etc.)

3. Eseguire una funzione matematica, che prendendo in input delle features (parole, mittente, etc.) e i loro rispettivi pesi restituiscano un valore numerico

4. Verificare se tale valore è al di sopra o al di sotto di una certa soglia per determinare se la mail è legittima o da considerare spam (classificazione)

Neuroni artificiali

Come detto, il Deep learning è una branca del machine learning. La differenza col machine learning è la complessità computazionale che mette in gioco enormi quantità di dati con una struttura di apprendimento “a strati” fatta di reti neurali artificiali. Per comprendere questo concetto si parta dall’idea di replicare il singolo neurone umano come nella figura sotto.

Come visto in precedenza per il machine learning abbiamo una serie di segnali di input (a sinistra dell’immagine) a cui associamo dei pesi (W_k) differenti, aggiungiamo un “bias” congnitivo (b_k) cioè una sorta di distorsione, applichiamo infine una funzione di attivazione cioè una funzione matematica come una funzione sigmoidea, tangente iperbolica, ReLU, etc. che prendendo una serie di input pesati e tenendo conto di un bias, resituisce un output (y_k).

Questo è il singolo neurone artificiale. Per creare una rete neurale si collegano gli output del singolo neurone a uno degli input del neurone successivo formando una fitta rete di collegamenti come mostrato nella figura in basso che rappresenta la vera e propria Deep Neural Network.

Il Deep Learning

Come possiamo vedere dalla figura sopra abbiamo un insieme di input da fornire alla rete neurale (input layer), poi dei livelli intermedi chiamati layer nascosti (hidden layers) che rappresentano gli “strati” del modello e infine un livello di output in grado di discriminare (o riconoscere) un oggetto rispetto a un altro. Possiamo pensare a ogni livello nascosto (hidden layers) come alla capacità di apprendimento: più alto è il numero di strati intermedi (cioè più profondo è il modello), più accurata sarà la comprensione ma anche più complessi i calcoli da svolgere.

Da notare che l’output layer rappresenta un insieme di valori in uscita con un certo grado di probabilità, ad esempio al 95% una mela, al 4,9% una pera e allo 0,1% una banana e così via.

Immaginiamo un modello DL nel campo della computer vision: il primo strato è in grado di riconoscere i bordi dell’oggetto, il secondo strato a partire dai bordi può riconoscere le forme, il terzo strato a partire dalle forme può riconoscere oggetti complessi composti da più forme, il quarto strato a partire da forme complesse può riconoscere dettagli e così via. Nel definire un modello non c’è un numero preciso di hidden layer, ma il limite è imposto dalla potenza richiesta per addestrare il modello in un certo tempo.

Senza entrare troppo nello specifico l’addestramento di una rete neurale ha come obiettivo il calcolo di tutti i pesi e bias da applicare a tutti i singoli neuroni presenti nel modello: risulta quindi evidente come la complessità aumenti esponenzialmente all’aumentare degli strati intermedi (hidden layer). Per questo motivo ormai da anni si utilizzano processori di schede grafiche (GPU) per il training: queste schede sono adatte a carichi di lavoro più impegnativi in quanto, a differenza delle CPU, sono in grado di svolgere migliaia di operazioni in parallelo utilizzando architetture SIMD (Single Instruction Multiple Data) oltre a moderne tecnologie come i Tensor Core che consentono operazioni matriciali in hardware.

Applicazioni del Deep Learning

Processando enormi quantità di dati, questi modelli hanno un’alta tolleranza ai guasti e al rumore nonostante dati incompleti o imprecisi. Forniscono quindi un supporto ormai fondamentale in ogni campo della scienza. Vediamone qualcuno.

Classificazione delle immagini e sicurezza

In caso di crimini permette il riconoscimento di un volto a partire dall’immagine catturata da una videocamera di sorveglianza e confrontandolo con database di milioni di volti: tale operazione se fatta manualmente dall’uomo potrebbe impiegare giorni se non mesi o addirittura anni. Inoltre, attraverso la ricostruzione di immagini alcuni modelli permettono di colorare parti mancanti delle stesse, con accuratezza ormai prossima al 100% del colore originale.

Natural Language Processing

La capacità di un computer di capire testo scritto e parlato nello stesso modo di come farebbe l’uomo. Tra i sistemi più famosi Alexa e Siri in grado non solo di capire ma di rispondere a domande di diversa natura.

Altri modelli sono in grado di fare sentiment analysis, utilizzando sempre sistemi di estrazione ed opinioni dal testo o dalle parole.

Diagnosi mediche

In campo medico questi modelli vengono ormai utilizzati per eseguire diagnosi, inclusa l’analisi di TAC o risonanze magnetiche. I risultati che nell’output layer hanno una confidenza del 90-95%, in alcuni casi, possono prevedere una terapia per il paziente senza l’intervento umano. Capaci di lavorare 24 ore al giorno, tutti i giorni, possono dare supporto anche nella fase di triage dei pazienti diminuendo notevolmente i tempi di attesa in un pronto soccorso.

Guida autonoma

Sistemi a guida autonoma necessitano di monitoraggio continuo in tempo reale. Modelli più evoluti prevedono veicoli in grado di gestire ogni situazione di guida indipendentemente da un conducente la cui presenza a bordo non è prevista, prevedendo la presenza di soli passeggeri trasportati.

Previsioni e Profilazione

Modelli di deep learning finanziario permettono di avanzare ipotesi sull’andamento dei mercati nel futuro o conoscere il rischio di insolvenza di un istituto in maniera più accurata di quanto oggi può fare l’uomo con interviste, studi, questionari e calcoli manuali.

Questi modelli utilizzati nel marketing permettono di conoscere i gusti delle persone per proporre ad esempio prodotti nuovi basandosi su associazioni fatte con altri utenti che hanno una storia di acquisti simile.

Evoluzioni adattive

In base alle “esperienze” caricate, il modello è in grado di adattarsi a situazioni che si verificano nell’ambiente o dovute all’input di un utente. Gli algoritmi adattivi causano un aggiornamento di tutta la rete neurale in base alle nuove interazioni col modello. Ad esempio immaginiamo a come Youtube propone video di un certo tema a seconda del periodo, adattandosi giorno dopo giorno e mese dopo mese a nostri nuovi gusti personali e interessi.

Per concludere, il Deep Learning è un campo di ricerca ancora in forte espansione. Anche le università stanno aggiornando i propri programmi di insegnamento su questa materia che richiede comunque solide basi di matematica.

Sono indubbi i vantaggi dati dall’applicazione del DL all’industria, alla ricerca, alla salute e alla vita di tutti i giorni.

Non dobbiamo però dimenticare che questo deve fornire un supporto all’uomo e che solo in alcuni casi ristretti e ben specifici ciò può sostituire l’uomo. Ad oggi, infatti, non esistono modelli “general purpose” ovvero in grado di risolvere qualunque tipo di problema.

Un altro aspetto è l’utilizzo di questi modelli per fini non leciti come ad esempio creare video DeepFake (vedi articolo), cioè tecniche usate per sovrapporre altre immagini e video con immagini o video originali con lo scopo di creare fake news, truffe o revenge porn.

Un altro modo illecito di usare questi modelli è quello di creare una serie di tecniche volte a compromettere un sistema informatico come l’adversarial machine learning. Attraverso tali tecniche è possibile causare la classificazione errata del modello (e quindi indurre il modello a prendere una scelta sbagliata), ricavare informazioni sul set di dati usato (introducendo problemi di privacy) o clonare il modello (causando problemi di copyright).

Andrea Piras

Riferimenti

https://blogs.nvidia.com/blog/2016/07/29/whats-difference-artificial-intelligence-machine-learning-deep-learning-ai/

https://it.wikipedia.org/wiki/Lisp

https://it.wikipedia.org/wiki/Prolog

https://it.wikipedia.org/wiki/Apprendimento_supervisionato

https://www.enjoyalgorithms.com/blog/email-spam-and-non-spam-filtering-using-machine-learning

https://foresta.sisef.org/contents/?id=efor0349-0030098

https://towardsdatascience.com/training-deep-neural-networks-9fdb1964b964

https://hemprasad.wordpress.com/2013/07/18/cpu-vs-gpu-performance/

https://it.wikipedia.org/wiki/Analisi_del_sentiment

https://www.ai4business.it/intelligenza-artificiale/auto-a-guida-autonoma-cosa-sono-e-come-funzionano/

https://www.linkedin.com/posts/andrea-piras-3a40554b_deepfake-leonardodicaprio-deepfacelab-activity-6886983215253336065-2VMu

https://arxiv.org/abs/1712.03141

La NATO ha bisogno di un Comando Cyber?

L'ambiente di sicurezza definito dalla NATO nel documento "Strategic Concept"  del 2010, già sottolineava che il livello della minaccia nel settore cyber era elevato sia per gli aspetti della vita civile, sia nei confronti delle operazioni militari e di sicurezza. 

Nello stesso documento è riportato che la NATO deve "aumentare gli sforzi per rispondere al pericolo di attacchi informatici...".

Ora, guardando agli ultimi 10 anni, è chiaro che la situazione è peggiore di quanto immaginato nel 2010. 
Ecco perchè, tra le richieste avanzate dalla policy planning unit del segretario generale della NATO agli studiosi riunitisi per il "West Point Strategic Concept Seminar" - organizzato dal Social Sciences Research Lab - si trova :

"NATO has added two new domains of operations (cyber, space) over the last decade. What strategic choices does the integration of these new domains pose? How should NATO’s strategic posture change in response to current and foreseeable technological evolutions?".

Nello studio da noi presentato, siamo partiti da una semplice domanda: "cosa possiamo fare per il prossimo Concetto Strategico per il Cyber e lo Spazio?" e abbiamo cercato di analizzare le necessità dell'alleanza NATO per i prossimi 10 anni. 

Lo studio è stato sviluppato attorno ad alcune domande che a nostro avviso sono fondamentali:

Cosa hanno in comune i nuovi domini Cyber e Spazio? E cosa, al contrario, li differenzia? 

Cosa può accadere se un'infrastruttura critica di un membro della NATO dovesse essere compromessa? 

Cosa può accadere se un'infrastruttura critica della NATO venisse compromessa? E, in questo caso, è chiaro come agire per assicurare il Comando e il Controllo sui processi dell'Alleanza? 

La nostra idea è che includere una forte visione dei domini Spazio e Cyber nel nuovo Concetto Strategico della NATO, aiuterà i membri dell'Alleanza Atlantica a sviluppare e attuare studi coordinati sulla resilienza e a sviluppare collaborazioni all'interno di aziende private e centri di ricerca.

Un'altra domanda interessante che ci siamo posti riguarda il possibile impiego della "Cyber Power" come misura di deterrenza. 

La Cyber deterrence nella forma "by denial", a nostro avviso sembra difficilmente raggiungibile, a meno che non si ipotizzino rivoluzioni tecnologiche che permettano a uno degli attori di fare un salto di qualità sostanziale.

Anche la cyber deterrence nella forma "by punishment" sembra impraticabile. 

In definitiva ciò significa che la Cyber deterrence ha qualche possibilità di funzionare solo se supportata da una grande capacità di intelligence (impiegata al fine di individuare il colpevole di un cyber attack con certezza quasi assoluta) e se incorporata in una "strategia di deterrenza" complessiva.

Altra domanda interessante cui abbiamo cercato di rispondere è la seguente: "la NATO ha bisogno di un Cyber Command?". 

Se guardiamo all'organizzazione della NATO, come descritto nella scheda informativa sulla cyber defense dell'Alleanza, possiamo vedere che l'organizzazione di difesa è per lo più incentrata sull'Information Technology (IT) e in particolare su "Communication and Information Sistems" (CIS). Se questo tipo di approccio poteva essere valido vent'anni fa, è chiaro che oggi non è sufficiente. IT e CIS rappresentano solo una parte del dominio Cyber che coinvolge oggigiorno sistemi e piattaforme di ogni tipo, non solo militari ma anche civili e industriali. 

Se guardiamo alle missioni e alle operazioni effettive della NATO possiamo renderci conto che una Forza impiegata in teatro di operazione è solitamente una forza mista in cui ogni nazione partecipa con i propri sistemi e piattaforme militari al fine di creare il livello di Forza necessario. Ciò significa che è necessaria un'elevata interoperabilità. Ma elevata interoperabilità è più o meno sinonimo di alto rischio informatico a causa del basso livello di barriere tra le diverse forze, sistemi e piattaforme. 

A titolo di esempio consideriamo un'operazione terrestre della NATO, guidata da una nazione leader che fornisce una divisione carri e il principale sistema CIS e C2 (Comando e Controllo). Altre due nazioni alleate forniscono due battaglioni carri e sistemi anticarro nazionali. Supponiamo ora che l'operazione sia condotta in un ambiente ad altissimo rischio dal punto di vista cyber. Possiamo supporre che a livello di Land Component Command (LCC - Comando responsabile dell'operazione a predominanza terrestre) venga attivata una cellula di difesa cyber o qualcosa di simile, con personale fornito almeno dalla nazione leader. 

La domanda è: il Comandante della Componente Terrestre ha gli strumenti giusti per proteggere la Forza e per condurre operazioni in questo contesto? 

Dalla nostra analisi la risposta è NO. Questo perché il Comandante manca di informazioni sulle vulnerabilità dei sistemi e delle piattaforme dei battaglioni provenienti dalle forze alleate.

Dalla nostra analisi, sarà difficile che in un contesto simile a quello ipotizzato si abbiano informazioni sulle vulnerabilità degli strumenti e piattaforme militari di tutte le componenti della Forza. 

Ciò che oggi manca è, a nostro parere, il giusto livello di "Fiducia" tra i membri dell'Alleanza. 

Sarebbe interessante uno studio sul livello raggiunto finora tra i membri della NATO su questo fronte: quanto e in che misura le componenti militari possono essere trasparenti tra loro quando operano in un ambiente NATO, in settori che sono strategici a livello nazionale?

Se all'esempio sopra si aggiunge la dimensione spaziale, trasformando l'operazione terrestre in qualcosa di più complesso, tenendo conto dell'impiego dei satelliti di comunicazione o di intelligence, si può capire quanto sia complesso l'ambiente operativo e quanto le stesse considerazioni siano valide anche per il dominio spaziale.

 

La politica strategica, in campo militare, scientifico e di sviluppo di una nazione, non sempre coincide con la visione della NATO e un'attenta valutazione e il raggiungimento di un compromesso è essenziale prima di iniziare qualsiasi operazione che coinvolga i domini cyber e spaziali.

In questo contesto la NATO deve essere un attore primario nel sostenere e gestire questa evoluzione tra i suoi membri, in particolare facendo si che cresca la "fiducia" tra i membri stessi.

Nella nostra visione un Cyber Command della NATO consentirebbe all'Alleanza di seguire meglio l'evoluzione della guerra nei domini Cyber e Space e di sviluppare i collegamenti con settori come Electronic Warfare, Targeting, Info Ops e STRATCOM ma, se sviluppato adeguatamente, potrebbe essere soprattutto uno strumento per migliorare la fiducia reciproca tra Alleati.

Per tornare al convegno, è stata l'occasione di conoscere studiosi del dominio Cyber e Spazio che, anche in funzione del diverso background e provenienza, hanno spiegato la loro visione dei domini in funzione della futura Alleanza Atlantica. 

Il convegno è stato l'occasione di discutere delle nostre idee su questi argomenti con la signora Rose Gottemoeller, ex vice segretario generale della NATO tra il 2016 e il 2019 e con studiosi della materia quali il Dottor Paul Poast (University of Chicago), il Maggiore Kathryn Hedgecock (United States Military Academy in West Point), il Maggiore Justin Magula (US Army War College), il Sergent Major Denver Dill (West Point Band and United States Military Academy), la Dottoressa Erica Borghard Lonergan (Army Cyber Institute), la Dottoressa Katarzyna Kubiak (European Leadership Network), la Dottoressa Margaret Kosal (Georgia Tech), il Dottor Simon Smith (Staffordshire University), la dottoressa Sylvia Mishra (European Leadership Network).  

Nella discussione del panel è emerso il potere di deterrenza che i due domini possono avere a fronte di una supremazia tecnologica ad essi associata. 

Interessante il parallelismo tra la deterrenza in ambito nucleare e la necessità di un reale maggior coinvolgimento tra gli Stati membri per una visione comune, laddove tutti siamo convinti della sempre maggiore importanza strategica dei domini Cyber e Spazio.

Infine, da sottolineare la necessità di lavorare per una cultura strategica comune, da porre alla base dell'accrescimento della fiducia tra Alleati. 

Alessandro Rugolo e Alberto Monici

Per approfondire:

- Sosh Research Lab | United States Military Academy West Point;

- West Point Strategic Concept Seminar: a febbraio si comincia a rispondere ai tanti quesiti - Difesa Online;

- NATO Strategic Concept: comincia il processo di rinnovo - Difesa Online;

- NATO - Homepage;

- 20120214_strategic-concept-2010-eng.pdf (nato.int);

- Army War College Homepage;

- Army Cyber Institute (ACI) Home;

- Building better security for wider Europe | European Leadership Network;

- Georgia Tech (gatech.edu);

- The University of Chicago (uchicago.edu).

L'INGEGNERIA SOCIALE: UNA MINACCIA SUBDOLA DA CONTRASTARE CON "ATTENZIONE"

Leggevo qualche tempo fa dell'aumento dei casi di "vishing":  il furto di credenziali attuato tramite una telefonata pretestuosa in cui un impostore (o una segreteria telefonica appositamente predisposta allo scopo illecito) si finge l'amministratore di un sistema informativo, ad esempio di una banca online.

La notizia già di per sè fa scalpore perché le vittime, spesso pensionati e bassi redditi, si sono ritrovati con il conto corrente prosciugato da imbroglioni in possesso di codici utente e password carpiti durante le telefonate; ma balza ulteriormente agli occhi perché il medesimo articolo evidenziava che l'Abf - l'Arbitro Bancario Finanziario a cui ci si può rivolgere per la risoluzione delle controversie tra i clienti e gli istituti di credito -  avrebbe dato ragione alle banche, che accuserebbero i clienti di essere troppo creduloni.

Indubbiamente gli attacchi di social engineering - definiti dall’esperto statunitense Christopher Hadnagy come "ogni atto tendente a influenzare una persona, per spingerla ad intraprendere un'azione che non necessariamente è nel suo migliore interesse" - sono una minaccia attuale e pericolosa. Essa è favorita da tre aspetti in particolare: la diffusione delle tecnologie dell'informazione e dei servizi on-line; lo stato di analfabetismo tecnologico generale e la leggerezza nel condividere dati personali online; ed infine dalla generale non inclusività delle interfacce utente software che pone serie barriere tecnologiche ad anziani, bambini e disabili.

Ma d'altra parte va detto che non si tratta di minacce nuove: le truffe nelle case degli anziani da parte di sedicenti funzionari dell'ENEL, ad esempio, sono figlie delle medesime tecniche manipolative. E lo stesso Hadnagy, nel suo libro “Social Engineering: the science of human hacking”, fa osservare che sono tecniche antiche come il mondo, citando come prima fonte storica di attacco di ingegneria sociale il passo di Genesi 27, in cui Giacobbe, travestendosi e impersonando suo fratello Esau, raggira il padre cieco ed anziano - Isacco - carpendone la benedizione.

Ma vediamo di approfondire due aspetti di particolare interesse: cosa c'è di nuovo e cosa di vecchio negli odierni attacchi di ingegneria sociale.

Gli aspetti di novità sono il portato dello stato della tecnica: computer, smartphone e tablet hanno creato un universo parallelo e le attività sociali si sono traferite nel mondo virtuale. Sono nati nuovi vettori di attacco e le procedure offensive si sono evolute. Ecco allora che, oltre al già menzionato vishing, sono nati il "phishing" - cioè l'attacco realizzato con una email truffaldina, finalizzato al furto di identità del malcapitato o all'infezione del suo client con virus informatici - e lo "smishing", l'equivalente del primo, attuato però tramite un SMS sul telefonino della vittima.

Di vecchio c'è la vulnerabilità sfruttata: il naturale processo di rilassatezza, di minor presenza a sé stessi, che caratterizza la maggior parte delle ore di veglia del nostro cervello e che è fisiologicamente messo in atto per ragioni di economicità dei processi cognitivi. Quando siamo in una situazione normale, che non consideriamo di pericolo, la mente va in "eco-mode", in automatico, e reagisce agli stimoli secondo una risposta preconfezionata, figlia dell'esperienza fatta in casi analoghi: in sostanza, si risparmiano energie mentali per quando, invece, ci si troverà in una situazione inconsueta, percepita come pericolo, ed in cui servirà il massimo dell'attenzione e dell'energia - "adaptive mode" - per rispondere alla minaccia secondo un comportamento stavolta non pre-confezionato, ma adattato al contesto specifico.

Tutta qui l'arte del truffatore, dell'ingegnere sociale: la capacità di presentare alla vittima un contesto informativo che non venga percepito inusuale, pericoloso, anormale; che anzi gli ricordi similitudini con esperienze ampiamente vissute o con nozioni acquisite nel passato; e su cui la risposta comportamentale possa essere "automatica", inconsapevole.

Su questo aspetto gli psicologi sociali hanno scritto pagine di considerazioni e prodotto migliaia di ricerche. La psicologa statunitense Ellen Langer, in particolare, ha presentato gli esiti di un famoso laboratorio - noto in bibliografia come l'esperimento della fotocopiatrice (Langer 1978) - in cui ha parlato di "insensatezza delle azioni riflessive". Ed ha dimostrato che, nelle interazioni sociali, sia verbali, che scritte, la mente umana agisce di norma con una azione riflessiva del tutto slegata dal significato sostanziale della richiesta; e legata alla sola rispondenza formale, strutturale del paradigma comunicativo.

Più precisamente, la scienziata ha dimostrato che, quando siamo tranquilli ed assorti nei nostri pensieri, rispondiamo ad una richiesta che ci viene fatta analizzando semplicemente la struttura formale, stilistica della frase: se questa ci pare "convenzionale" e non ci allarma, entriamo in uno stato di acquiescenza, di fatto spalancando le porte alla persuasione e, purtroppo, anche alla manipolazione.

Ora, sarebbe troppo semplice e scontato limitarsi ad esclamare: "bisogna prestare attenzione" o "non bisogna essere creduloni". Chi afferma così, non sta tenendo conto dei meccanismi mentali sopracitati. Ciò che bisogna fare invece è porre in essere una articolata politica sociale e di sicurezza che si muova su almeno tre capisaldi principali.

Anzitutto spingere l'acceleratore sull'abbattimento del "divario digitale" che caratterizza larghe fasce di popolazione e segnatamente attraverso mirate e reiterate campagne informative che inducano automatismi comportamentali di sicurezza, non ultima l'educazione alla riservatezza online.

Investire, inoltre, su tecnologie e applicazioni software che richiamino l'attenzione dell'utente in caso di elementi di inaffidabilità dell'interlocutore o di compromissione dei dispositivi.

Infine incentivare l'industria ed il mercato dei servizi informatici allo sviluppo di interfacce utente più inclusive che consentano l'accesso sicuro alla tecnologia anche agli utenti più fragili nelle relazioni sociali.

Orazio Danilo Russo

Per approfondire:

https://www.repubblica.it/economia/2021/07/26/news/sembra_la_banca_ma_e_un_truffatore_occhio_al_vishing_c_e_chi_ha_perso_migliaia_di_euro-311160470/

https://www.social-engineer.org/framework/general-discussion/social-engineering-defined/#:~:text=We%20define%20social%20engineering%20this%20way.%20%E2%80%9C%20Any,aspects%20of%20social%20engineering%20implement%20the%20same%20principles.

https://www.researchgate.net/publication/232505985_The_mindlessness_of_ostensibly_thoughtful_action_The_role_of_placebic_information_in_interpersonal_interaction

https://www.difesaonline.it/evidenza/cyber/diversity-inclusion-la-cyber-tutela-delle-fasce-deboli 

Pensieri lenti e veloci - Daniel Kahneman | Oscar Mondadori

West Point Strategic Concept Seminar: a febbraio si comincia!

Tra pochi giorni si terrà l'atteso "West Point Strategic Concept Seminar" organizzato dal Social Sciences Research Lab, guidato dal direttore, il tenente colonnello Jordan Becker.

L'iniziativa, lanciata lo scorso settembre, ricade sotto gli auspici della policy planning unit del segretario generale della NATO, Stoltenberg.

Con questa iniziativa gli Stati Uniti d'America si preparano alla definizione del nuovo NATO Strategic Concept .

La prima riunione si terrà in modalità mista il 3 e 4 febbraio 2022 e vedrà la partecipazione di studiosi di tutto il mondo, chiamati a dare il proprio contributo in merito.

Di cosa si parlerà ?

Le due giornate di studio saranno articolate in dieci panels che toccheranno i principali aspetti legati alla possibile evoluzione dell'Alleanza Atlantica.

Di particolare interesse il panel 4: "NATO has added two new domains of operations (cyber, space) over the last decade. What strategic choices does the integration of these new domains pose? How should NATO’s strategic posture change in response to current and foreseeable technological evolutions?"

Gli studiosi partecipanti cercheranno di rispondere ad alcune domande legate all'evoluzione della minaccia cyber e alla rapida crescita del dominio spaziale ma anche e soprattutto alle mutue relazioni tra i due nuovi domini.

Cosa dovrà contenere il nuovo NATO Strategic Concept per affrontare l'attuale contesto strategico, politico e tecnologico?

Negli ultimi dieci anni la NATO è cambiata, così come è cambiato il contesto socio-politico e in particolate tecnologico. Sono stati aggiunti due nuovi domini delle operazioni, il Cyber Space e lo Spazio.

Cos'altro fare per ridisegnare una NATO più vicina ai Paesi membri?

E' chiaro a tutti che i domini Cyber e Spazio hanno subito, negli ultimi dieci anni, una crescita esponenziale. 

Nuovi concetti, nuovi attori e nuove minacce, non solo di origine statuale ma anche privata, che includono le grandi industrie mondiali dell'informatica e delle tecnologie spaziali e aeronautiche.

Cos'hanno in comune i due nuovi domini? Quali invece le differenze?  

Il primo punto che accomuna i due domini è evidente a tutti ed è legato alla assenza di confini. A ben guardare questa affermazione è intrinsecamente in contrasto con il proposito della NATO di proteggere gli Alleati e i loro confini. 

E' realistico pensare che la NATO possa rispondere militarmente a seguito di un attacco ransomware di difficile se non impossibile attribuzione certa? Valgono ancora i riferimenti agli altri domini? Se si, con quali armi la NATO dovrebbe rispondere? Ad un attacco cyber contro un satellite si può rispondere con un'azione terrestre? 

Singoli stati l'hanno fatto, ma è ipotizzabile un tale comportamento da parte della NATO?

Se osserviamo il dominio spaziale potremmo pensare che quanto meno l'attribuzione di un attacco è più semplice. Ma ne siamo poi così certi?

A ben guardare non è sempre così. Il dominio spaziale infatti è talmente interconnesso al dominio cyber che tutti i problemi di attribuzione di quest'ultimo sono molto spesso applicabili per estensione al primo. Pensiamo alle comunicazioni satellitari, all'identificazione e georeferenziazione, alla identificazione automatica.

Poniamoci la domanda: cosa potrebbe accadere se un gruppo criminale (appoggiato o meno da uno stato) riuscisse ad ottenere il controllo di un satellite o, peggio, di una costellazione?

Di domande simili ne esistono decine, e nessuna ha una risposta semplice.

Ecco perché è necessario che il nuovo concetto strategico della NATO includa una chiara visione dei domini Cyber e Space. 

Una forte indicazione in questo senso dovrebbe spingere gli stati membri a focalizzare meglio i due nuovi domini militari e a collaborare per garantire la sicurezza comune, a sviluppare e realizzare studi coordinati per migliorare la resilienza dell'Alleanza nel suo complesso oltre che dei singoli stati e, in definitiva dovrebbe aiutare a sviluppare una vera cultura strategica comune.

  

Alessandro Rugolo e Alberto Monici

Per approfondire:

- NATO Strategic Concept: comincia il processo di rinnovo - Difesa Online

- NATO - Homepage

- 20120214_strategic-concept-2010-eng.pdf (nato.int)

- Sosh Research Lab | United States Military Academy West Point

- Defence spending, burden-sharing and strategy in NATO’s Black Sea littoral states: domestic, regional, and international systemic factors: Southeast European and Black Sea Studies: Vol 21, No 3 (tandfonline.com)

- (PDF) Chapter 17: Strategic and Military Culture (researchgate.net)

L'exploit dei Mastri Birrai

Il mondo decadente di un futuro prossimo, una famosa fabbrica di birra, una serie di strani omicidi, una bravissima hacker...

Cos'hanno in comune questi elementi?

Apparentemente niente.

Apparenza... "apparènza s. f. [dal lat. tardo apparentia, der. di apparere «apparire»]. – 1. Ciò che appare, che si mostra alla vista; quindi aspetto, e anche contegno, comportamento esteriore [..] Per lo più si contrappone alla sostanza, a ciò che è in realtà: l’a. inganna; lasciarsi guidare dalle a.; tutte le a. (cioè tutti gli indizî esteriori) sono contro di lui; tenere molto alle a., alle manifestazioni esterne e convenzionali..."

Eppure, al di la delle apparenze, il legame esiste e si chiama Leda - alias Hop(e)!

Kyber, la città in cui è cresciuta Leda, era solo l'ombra di ciò che doveva essere stata un tempo. 

Il "Copper Mug", il locale di Scorch, era diventato in breve tempo la "scuola" di Leda e il suo posto di lavoro. Scuola, perché li aveva appreso cosa si potesse fare con la conoscenza del mondo digitale, lavoro, come cameriera tuttofare. Il suo mentore si chiamava Lady Rigger, L@r@ per gli amici.

La storia si svolge attorno a pochi personaggi e ad un attacco cyber: v-ransomware, ai danni della Kyros, una delle più antiche fabbriche di birra al mondo, nota per la sua Cervogy e per la leggendaria Ninkasi Ale...

Potrei continuare a raccontarvi il romanzo ma preferisco lasciarvi il gusto di leggerlo. 

Una sola avvertenza: il romanzo può essere letto almeno in due modi diversi, e forse il miglior modo non è il più apparente. 

A piè pagina trovate note e link utili al lettore per intraprendere un percorso parallelo, quello che conduce ad approfondire gli aspetti reali degli attacchi e delle tecnologie impiegate nel romanzo.

Così, se si vuole, sarà possibile scoprire un mondo che in buona parte già esiste e il cui limite risiede solo nella capacità immaginativa dell'uomo. Allora provate a seguire le indicazioni e non stupitevi se il mondo reale è più complesso di quanto avreste potuto mai immaginare.

Grazie agli autori, Marco Rottigni (RoarinPenguin) e Andrea Danesi Visconti (TheF001), per averci portato per mano in questo mondo in cui realtà e fantasia si intrecciano senza sosta... sperando che "L'exploit dei Mastri Birrai" sia solo il primo di una lunga serie di romanzi a sfondo cyber.

Alessandro Rugolo   

Non solo protezione dell’IT

(una reale visione d’insieme nella protezione di un ecosistema aziendale)

Scenario

Verkada, Triton, Colonial Pipeline… non sono parole misteriose di un gioco a quiz, ma semplicemente lo specchio della realtà che stiamo affrontando in cui sia il confine tra digitale e reale sia la protezione da minacce di malintenzionati sono sempre più labili.

Scenari di attacchi digitali a dispositivi industriali, chiamati anche OT o IoT, sono sempre più all’ordine del giorno; con un impatto importante sulla nostra privacy, le nostre imprese o ancor peggio la vita di ognuno di noi se parliamo di infrastrutture critiche quali oleodotti, ospedali, ecc.

• Verkada – Marzo 2021 – “un gruppo di hacker afferma di aver violato un'enorme quantità di dati delle telecamere di sicurezza raccolti dalla startup della Silicon Valley Verkada Inc., ottenendo l'accesso ai feed live di 150.000 telecamere di sorveglianza all'interno di ospedali, aziende, dipartimenti di polizia, carceri e scuole.”

• Triton – 2017 e 2019 – “hacker utilizzano il malware Triton per bloccare impianti e sistemi industriali, Il malware è stato progettato per colpire sistemi industriali e infrastrutture critiche”.

• Colonial Pipeline – Giugno 2021 – “l’hacking che ha bloccato il più grande gasdotto degli Stati Uniti e ha portato a carenze in tutta la costa orientale è stato il risultato di un'unica password compromessa. Gli hacker sono entrati nelle reti di Colonial Pipeline Co. attraverso un account di rete privata virtuale, che consentiva ai dipendenti di accedere in remoto alla rete informatica dell'azienda. L'account non era più in uso al momento dell'attacco, ma poteva ancora essere utilizzato per accedere alla rete di Colonial”

In questo contesto è con grande speranza che vediamo affermarsi sempre più nel mondo IT e Cybersecurity concetti quali “Zero Trust”, “Continuità Operativa”, “Protezione dispositivi industriali”, ecc. Tuttavia, spiegare alle realtà aziendali come proteggere dispositivi industriali, che spesso e volentieri hanno una media di 30/40 anni di anzianità, in un edificio isolato sia fisicamente che digitalmente, non è sempre cosa semplice.

Questo articolo vuole cercare di aprire uno spaccato su questo scenario e aiutare a comprendere come le logiche di protezione dei dispositivi industriali (spesso e volentieri chiamati dispositivi Operation Technology – OT, o i più recenti dispositivi Internet of Thing - IoT) possano intersecarsi con le classiche logiche dei dispositivi appartenenti al mondo IT che la maggior parte di noi conosce, evidenziando come sia possibile applicare concetti quali Zero Trust anche ad un mondo legacy come quello industriale.

Quali dispositivi?

Innanzitutto definiamo cosa intendiamo con Dispositivi OT/IoT, utilizzando per semplicità la seguente nomenclatura:

Va da sé che in una realtà operante ad esempio nel mondo manifatturiero, dove magari abbiamo una prevalenza di dispositivi in ambito industriale (OT), si possano trovare tre ecosistemi ben precisi:

1. Un ambiente IT con hardware tra i 5 ed i 10 anni, che utilizza protocolli quali TCP/IP, HTTPS e dove vengono applicati (o almeno dovrebbero essere applicati) concetti di protezione di base dell’identità quali Multi Factor Authenthication (MFA), di protezione della posta da spam/phishing, di protezione da antimalware, ecc;

2. Un ambiente OT, con hardware datato a piacere, che utilizza protocolli strettamente specifici e - come logiche di sicurezza - utilizza prettamente un criterio di “isolamento”;

3. Un ambiente Cloud, utilizzato sia per estendere la capacità del proprio datacenter
   on-premise sia per applicazioni/servizi che per motivi di scalabilità, tempo o banalmente di costi, è più efficiente avviare dal cloud.

Dispositivi OT

Focalizziamo l’attenzione di questo articolo sul secondo punto : gli ambienti OT. Generalmente troviamo dispositivi OT legacy (più vecchi) e Industrial IoT, dispositivi di impronta più recente: questi controllano le apparecchiature fisiche - quindi la tecnologia comune come i sistemi di riscaldamento, ventilazione e condizionamento dell'aria (HVAC) - nonché le apparecchiature specifiche del settore per la produzione - cioè gli impianti petroliferi e del gas, i servizi pubblici, i trasporti, le infrastrutture civili e altro ancora.

Questi sistemi OT sono spesso monitorati dall'ambiente IT per fornire analisi aziendali e altri approfondimenti sulle operazioni aziendali fisiche. Sebbene le piattaforme informatiche e le reti IP sottostanti siano simili all'IT, gli ambienti OT sono diversi per diversi aspetti:

• l'insieme di misure e strumenti atti a prevenire o ridurre gli eventi accidentali è la principale voce di sicurezza OT (Safety); questo è in netto contrasto con il mondo IT che si concentra sull'insieme delle azioni e degli strumenti in risposta ad una minaccia in atto, organizzata proprio allo scopo di arrecare danni ai sistemi informatici (Security).

Questa differenza è dovuta al fatto che un guasto del sistema OT potrebbe causare direttamente danni fisici o morte: ad esempio ai dipendenti che lavorano su, o vicino a, macchinari pesanti; clienti che utilizzano/consumano un prodotto, cittadini che vivono/lavorano vicino a una struttura fisica, ecc.

• Come abbiamo già anticipato l'hardware/software OT è molto più vecchio rispetto ai sistemi IT perché le apparecchiature fisiche hanno cicli di vita operativi molto più lunghi rispetto ai sistemi IT tipici (in molti casi fino a 10 volte più lungo). Non è raro trovare apparecchiature vecchie di 50 anni che sono state modernizzate ai sistemi di controllo elettronico.

• L’approccio di sicurezza dei sistemi OT è diverso dal mondo IT perché questi sistemi spesso non sono stati creati tenendo conto delle minacce e dei protocolli moderni (e spesso si basano su cicli di software portati fino a "fine vita"). Molte best practice consolidate di sicurezza IT come l'applicazione di patch software non sono pratiche o sono completamente inefficaci in un ambiente OT e anche se fossero applicate selettivamente avrebbero un effetto sicurezza comunque limitato.

Abbiamo accennato al criterio di “isolamento” dei dispositivi OT, per applicare il quale si possono implementare diverse logiche:

• Hard Boundary: completa disconnessione del traffico, spesso dispositivi scollegati fisicamente (“air gap”);

• Soft Boundary - basato su un firewall o un altro filtro del traffico di rete, come qualsiasi limite di sicurezza, un confine “soft” richiede monitoraggio e manutenzione per rimanere efficace nel tempo. Sfortunatamente, vediamo molti casi in cui le organizzazioni impostano regole firewall per bloccare il traffico, senza un approccio completo di persone/processi/tecnologie per integrare la sicurezza nella gestione delle modifiche, monitorare attentamente le anomalie, verificare continuamente le modifiche, testare il confine con simulazioni di attacco, ecc.

• Segmentazione interna: isolando gruppi di sistemi OT l'uno dall'altro come ulteriore impedimento agli attacchi. Questa pratica richiede che i modelli di comunicazione/traffico siano compatibili con questo approccio ed una manutenzione continua sia verso il controllosia verso la gestione delle eccezioni.

Queste pratiche di sicurezza applicano bene i principi di zero trust, sebbene siano vincolate a configurazioni statiche e controlli di rete a causa dell'età dei sistemi OT.

L’Ambiente Industriale ed il “mondo esterno”

Dal 1990, la Purdue Enterprise Reference Architecture (PERA), alias Purdue Model, è stato il modello standard per l'organizzazione e segregazione, delle misure di sicurezza del sistema di controllo aziendale e industriale (ICS) e delle funzioni di rete, indicando i seguenti Livelli operativi:

• Livello 0 — Il processo fisico — Definisce i processi fisici effettivi.

• Livello 1 — Dispositivi intelligenti — Rilevamento e manipolazione dei processi fisici (Sensori di processo, analizzatori, attuatori e relativa strumentazione)

• Livello 2 — Sistemi di controllo — Supervisione, monitoraggio e controllo dei processi fisici (Controlli e software in tempo reale; DCS, interfaccia uomo-macchina (HMI); software di controllo di supervisione e acquisizione dati (SCADA)).

• Livello 3 — Sistemi operativi di produzione — Gestione del flusso di lavoro di produzione per produrre i prodotti desiderati. Gestione dei lotti; sistemi di gestione dell'esecuzione e delle operazioni di produzione (MES/MOMS); sistemi di gestione delle prestazioni di laboratorio, manutenzione e impianto; storici dei dati e relativo middleware.

• Livello 4 — Sistemi logistici aziendali — Gestione delle attività relative all'operazione di produzione. Ad esempio l’ERP ne è il sistema principale; stabilisce il programma di produzione di base dell'impianto, l'uso dei materiali, la spedizione e i livelli di inventario.

Dalla definizione del PURDUE Model i livelli 0-3 (OT Environment) sono cambiati poco rispetto alla restante architettura cioè il livello 4, che riflette un approccio più moderno grazie ai principi di zero trust e l’avvento della tecnologia mobile e cloud.

L’ avvento della trasformazione digitale, la cosiddetta Industria 4.0, ha richiesto delle analitiche volte ad efficientare gli aspetti business: aumentando la correlazione del volume sempre maggiore di dati di produzione con un mondo IT ed un mondo Cloud. Grazie alla raccolta dei dati provenienti dai dispositivi OT/IoT con servizi ad esso dedicati e la potenza di calcolo a disposizione, l’ approccio cloud ha permesso l'applicazione di logiche di analisi predittiva e prescrittiva.

Ma, come abbiamo visto inizialmente, sappiamo che gli attacchi alla sicurezza informatica si estendono sempre più agli ambienti IT, IoT, OT richiedendo che i processi di risposta agli incidenti (e le strategie di prevenzione) convergano verso un approccio unificato, che si estenda a tali ambienti pur dovendo adattarli alle capacità e ai limiti di ciascuno.

Ecco quindi che un’arma utile per fronteggiare questi attacchi sempre più diversificati consiste nell’adottare soluzioni di protezione OT/IoT.

Esistono molteplici soluzioni di protezione del mondo industriale, cioè di dispositivi OT/IoT, alcune delle quali basate su un approccio a livello di rete chiamato monitoraggio passivo o Network Detection and Response (NDR) - che ha un impatto zero sulle reti industriali: viene implementato un sensore di rete in sede (appliance fisica o virtuale), che si connette alla porta SPAN di uno switch. Tale sensore identifica attività anomale o non autorizzate utilizzando analisi comportamentali e informazioni sulle minacce specifiche per IoT/OT, senza alcun impatto sulle prestazioni dei dispositivi.

A prescindere dalle singole funzionalità delle soluzioni, queste sono le quattro caratteristiche fondamentali:

1. Possibilità di asset management dei dispositivi OT/IoT: spesso e volentieri una realtà aziendale non è a conoscenza di tutti i dispositivi presenti al suo interno. Il primo obiettivo di tali soluzioni è realizzare un inventario completo di tutti gli asset IoT/OT, analizzare protocolli industriali proprietari, visualizzare la topologia di rete ed i percorsi di comunicazione, identificare i dettagli delle apparecchiature (produttore, tipo di dispositivo, numero di serie, livello di firmware e layout backplane);

2. Identificare le vulnerabilità dei dispositivi: patch mancanti, porte aperte, applicazioni non autorizzate e connessioni non autorizzate; rilevare le modifiche alle configurazioni del dispositivo, alla logica del controller e al firmware;

3. Rilevare attività anomale o non autorizzate utilizzando l'analisi comportamentale e l' artificial intelligence sulle minacce compatibili con IoT/OT, ad esempio rilevando immediatamente l'accesso remoto non autorizzato e i dispositivi non autorizzati o compromessi. Analizzare il traffico cronologicamente e catturare minacce come malware zero-day o esplorare le acquisizioni di pacchetti (PCAP) per un'analisi più approfondita;

4. Per raggiunger una visione olistica occorre poter riportare tali alert e minacce verso un SIEM/SOAR monitorato dal Security Operation Center (SOC); garantendo sia una più alta interoperabilità con altri strumenti di service ticketing sia una riduzione del tempo di riconoscimento e remediation (MTTA, MTTR) dei Security Analyst verso una potenziale minaccia.

E’ possibile applicare logiche di Zero Trust ad ambienti OT/IoT? Assolutamente sì ed è un punto fondamentale nella visione olistica di protezione che stiamo fornendo:

Questo perché anche in un ambiente industriale è fondamentale mantenere delle solide linee guida:

• Sull’identità forte per autenticare i dispositivi - Registrare i dispositivi aziendali di qualsiasi tipo, valutare le vulnerabilità e le password non sicure, utilizzare autenticazione passwordless ove possibile, fornire accessi meno privilegiati per ridurre la superficie di impatto di un eventuale attacco ed i relativi danni che può arrecare.

• Sull’integrità del dispositivo - per bloccare l'accesso ai non autorizzati o identificare i dispositivi che necessitano di una remediation per vari motivi, monitorando le minacce in modalità proattiva per identificare comportamentali anomali.

• Utilizzare una configurazione centralizzata ed un solido meccanismo di aggiornamento - per garantire che i dispositivi siano aggiornati e in buono stato.

A volte pensare ad attacchi in ambito dispositivi IoT sembra fantascienza o molto lontano dal nostro quotidiano ma gli attacchi citati inizialmente sono un buon punto di partenza per farci cambiare idea, inoltre di seguito, vorrei farvi riflettere su un ulteriore esempio non molto lontano da ciò che potrebbe capitare in ogni contesto lavorativo:

Conclusione

E’ essenziale per le realtà aziendali valutare la sicurezza dei propri sistemi IoT e OT con lo stesso rigore applicato ai sistemi IT: mentre ai PC, ad esempio, viene normalmente richiesto di disporre di certificati aggiornati, i dispositivi IoT vengono spesso distribuiti con password predefinite di fabbrica e tenuti in quella configurazione per decenni.

Se è vero che in una catena di attacco l’anello umano è certamente l’anello più debole, e qui la “formazione/educazione” è la prima vera attività che occorre avviare, è altresì vero che la sicurezza della catena da un punto di vista tecnico dipende dall'elemento più debole che purtroppo, nel mondo OT, è quasi sempre presente.

La tecnologia è qui per aiutarci e supportarci ma soprattutto deve essere in grado di fronte alle minacce citate di ridurre il possibile impatto e consentire una rapida ripresa della produzione e/o continuità aziendale, dopo un potenziale attacco.

A tal fine più che le singole funzionalità, comunque rilevanti, è importante l’integrazione che si riesce ad ottenere con tali soluzioni perché i malintenzionati agiscono senza regole e senza confini di dispositivi, identità, reti, ecc.

L’unico modo di proteggersi è proprio favorire una “visione d’insieme” in modo da rendere più semplice l’analisi, la rilevazione e la remediation.

Simone Peruzzi

Riferimenti

• Verkada Breach Demonstrates Danger of Overprivileged Users (darkreading.com)

• Tesla (TSLA), Cloudfare (NET) Breached in Verkada Security Camera Hack - Bloomberg

• Hackers use Triton malware to shut down plant, industrial systems | ZDNet

• Triton hackers return with new, covert industrial attack | ZDNet

• One password allowed hackers to disrupt Colonial Pipeline, CEO tells senators | Reuters

• Architetture di riferimento per la sicurezza informatica Microsoft - Security documentation | Microsoft Docs

• Purdue Enterprise Reference Architecture - Wikipedia

• How to apply a Zero Trust approach to your IoT solutions - Microsoft Security Blog

• IoT security: How to protect your IoT devices in OT systems (trendmicro.com)

• Learn how Microsoft strengthens IoT and OT security with Zero Trust - Microsoft Security Blog