Trend Micro: fermare il fenomeno degli Hosting Underground per colpire il cybercrime

La comprensione delle motivazioni e dei modelli di business degli hacker è la chiave per smantellare l’industry dei cosidetti «hosting antiproiettile», che costituisce le fondamenta del cybercrimine

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Trend Micro rende pubblico un white paper per spiegare come identificare e fermare le operazioni all’interno dei mercati cybercriminali. Il report, dal titolo «The Hacker Infrastructure and Underground Hosting: Cybercrime Modus Operandi and OpSec» è la terza e ultima parte di uno studio che ha interessato i mercati cybercriminali underground. All’interno del report, i ricercatori delineano gli approcci business degli hacker per aiutare i team di security e le Forze dell’Ordine a riconoscerli, per potersi difendere al meglio. Comprendere le operazioni criminali, le motivazioni e i modelli di business è la chiave per smantellare l’industry dei cosidetti «hosting antiproiettile», che rappresenta le fondamenta del cybercrimine globale.

A certi livelli di sofisticazione, è indispensabile capire come i criminali operano per difendersi in maniera strategica dagli attacchi. Speriamo che questo studio fornisca quei dettagli sulle operazioni cybercriminali che permettano alle organizzazioni di reagire e ai provider di hosting di perdere profitto.  

Gli hosting antiproiettile (BPH – Bulletproof Hoster), costituiscono le fondamenta dell’infrastruttura cybercriminale e utilizzano un sofisticato modello di business per sopravvivere ai tentativi di rimozione. Questo include caratteristiche di flessibilità, professionalità e l’offerta di una vasta gamma di servizi che soddisfino le esigenze più disparate.

Il report fornisce i dettagli sui diversi metodi efficaci che possono aiutare a identificare gli hoster underground. Tra gli altri:

  • Identificare quali intervalli di IP sono contrassegnati nelle liste pubbliche, o quelli associati a un gran numero di abusi, questi potrebbero celare dei BPH
  • Analizzare i comportamenti dei sistemi autonomi e i modelli di informazione di peering per contrassegnare attività che potrebbero essere associate a dei BPH
  • Una volta che un host BPH è stato rilevato, utilizzare il fingerprint rilevato per identificarne altri, che potrebbero essere collegati allo stesso provider

Il report elenca anche dei metodi per fermare il business degli hosting underground, senza necessariamente aver bisogno di identificare o spegnere i loro server. Tra questi possiamo citare:

  • Inviare istanze di abusi opportunamente documentati all’underground hosting provider sospettato, compresa la cronologia dei collegamenti.
  • Aggiungere i parametri di rete BHP per stabilire una lista di divieto di accesso ben delineata
  • Aumentare i costi operativi del BPH per compromettere la stabilità del business
  • Minare la reputazione del BPH nell’underground cybercriminale, magari attraverso account nascosti che mettono in dubbio la security del provider di hosting o che discutono di una possibile collaborazione con le autorità

Ulteriori informazioni sono disponibili a questo link

Il report completo è disponibile a questo link

Trend Micro protegge le Smart Factory con il primo IPS Array industriale

Grazie alla segmentazione avanzata delle reti è possibile contenere le minacce business critical

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Siamo felici di presentare la soluzione IPS array intelligente per gli ambienti industriali, prima del suo genere, creata per proteggere le grandi reti industriali dagli attacchi critici, riducendo allo stesso tempo i parametri OPEX e CAPEX.

Il nuovo EdgeIPS Pro, sviluppato da TXOne Networks, è stato progettato specificatamente per soddisfare le esigenze delle grandi smart factory, come ad esempio quelle nei settori automotive o semiconduttori, caratterizzate da impianti ad alta automatizzazione gestita centralmente, con molteplici linee di produzione.

EdgeIPS Pro entra a far parte della suite di security Trend Micro focalizzata sulla protezione delle smart factory, che offre protezione multi-livello, dal perimetro cloud all’IT corporate, passando per i layer di controllo e arrivando fino ai siti di produzione.

La convergenza dell’IT e dell’OT nelle smart factory ha portato enormi benefici alla produttività, ma ha anche aumentato i rischi di subire infezioni malware o accessi non autorizzati. Queste minacce potrebbero fermare la produzione, nel momento in cui gli asset sono altamente connessi in un’unica architettura di rete, che per questo motivo è vulnerabile agli attacchi. I responsabili di queste aziende devono adottare la giusta soluzione di security che includa la segmentazione della rete, in grado di coniugare la produttività del business con operazioni di sicurezza efficienti.


Le tradizionali soluzioni di security per le reti IT non raggiungono il livello di adattabilità richiesto dagli ambienti OT, in particolar modo riguardo il supporto ai protocolli di rete industriale. Le soluzioni di security per le reti industriali esistenti, invece, faticano a ottenere una gestione centralizzata delle operazioni di manutenzione, in quanto le appliance di sicurezza devono essere distribuite e gestite individualmente per centinaia di risorse e reti esistenti negli impianti di produzione.

Il panorama digitale è in continua evoluzione e il successo della convergenza tra IT e OT è ora un fattore critico per il business. L’introduzione di EdgeIPS Pro nella suite di security Trend Micro per le smart factory, è una pietra miliare per la protezione delle grandi reti industriali negli impianti di produzione. L’installazione e la gestione IT-friendly permettono alle organizzazioni di continuare a svolgere le consuete operazioni e di tenere a bada le minacce.

EdgeIPS Pro è un IPS array industriale intelligente, trasparente e intent-based, costruito con la tecnologia TXOne one-pass Deep Packet Inspection (TXODI™), che permette la segmentazione della rete attraverso capacità di filtro firewall/IPS/protocollo con un supporto più ampio e profondo dei protocolli di rete industriale. Non è necessario cambiare le impostazioni di configurazione delle reti esistenti e questo rende ulteriormente minimo l’impatto del costo iniziale di deployment. La soluzione abilita anche una gestione centralizzata ed efficiente nelle grandi reti industriali supportando 48 o 96 porte di rete con bypass hardware Gen3 e un form-factor che ne facilita una semplice introduzione su rack IT.

La mancanza di una segmentazione della rete che inibisca la propagazione dei malware è la criticità più comune negli ambienti ICS, poiché richiede un supporto ai protocolli di reti industriali più ampio e profondo. EdgeIPS Pro permette agli amministratori di organizzare la segmentazione delle reti in accordo con gli obiettivi di business.

  • Ulteriori informazioni sulle soluzioni di sicurezza Trend Micro per le smart factory sono disponibili a questo link
  • Ulteriori informazioni su EdgeIPS Pro sono disponibili a questo link

L’Italia continua a essere bersagliata da malware e ransomware

Trend Micro presenta il report semestrale delle minacce, il nostro Paese è l’ottavo al mondo più colpito dai malware e l’undicesimo (secondo in Europa) per quanto riguarda gli attacchi ransomware

A cura di Gastone Nencini, Country Manager Trend Micro Italia

I malware e i ransomware continuano ad abbattersi sull’Italia, che risulta ai primi posti delle classifiche mondiali per questo genere di attacchi. Il nostro Paese è infatti l’ottavo al mondo più colpito dai malware e l’undicesimo (secondo in Europa) per quanto riguarda le incursioni ransomware. Il dato emerge da “Securing the Pandemic-Disrupted Workplace”, il report sulle minacce informatiche del primo semestre 2020, a cura di Trend Micro Research.

Le minacce a tema pandemia imperversano in tutto il mondo.

A livello globale il tema più utilizzato dai cybercriminali è stato quello legato alla pandemia. Trend Micro ha infatti bloccato 8,8 milioni di minacce in sei mesi, di cui il 92% via e-mail.

Tra le minacce più rilevate le truffe Business Email Compromise (BEC), che hanno cercato di capitalizzare al meglio le pratiche di smart working introdotte negli ultimi mesi e i ransomware, che hanno visto le nuove famiglie crescere del 45%. Anche le vulnerabilità sono aumentate e la Trend Micro Zero Day Initiative (ZDI) ha pubblicato un totale di 786 avvisi, ovvero il 74% in più rispetto alla seconda metà del 2019, e con un particolare focus sui sistemi di controllo industriali.

Italia: i numeri della prima metà del 2020

  • Malware – Il numero totale di malware intercettati in Italia nella prima metà del 2020 è di 6.955.764. L’Italia è l’ottavo Paese più colpito al mondo
  • Ransomware – Nel primo semestre 2020 l’Italia è l’undicesimo Paese più colpito al mondo con una percentuale di attacchi del’1,33%. In Europa è seconda solo alla Germania con il 18,67% di attacchi subiti
  • Le minacce arrivate via mail sono state151.884.242, tra cui 107.684 erano messaggi spam a tema COVID
  • Gli URL maligni visitati sono stati 6.064.101
  • Il numero di app maligne scaricate nella prima metà del 2020 è di 127.690
  • Nella prima metà del 2020 sono stati 2.907 i malware di online banking che hanno colpito l’Italia

In tutto il mondo, Trend Micro ha bloccato nel primo semestre un totale di 28 miliardi di minacce (27.823.212.959), quasi un miliardo in più rispetto allo stesso periodo dell’anno precedente. Il 93% di queste minacce è arrivato via mail.

  • Il report completo è disponibile a questo link
  • Ulteriori informazioni sono disponibili all’interno del sito Trend Micro

Un dipendente italiano su tre utilizza il dispositivo personale per accedere ai documenti aziendali

Il lavoro da remoto cambia il modo in cui si gestiscono i dati business e obbliga a rivedere le policy aziendali

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

Il 37% dei dipendenti italiani utilizza i dispositivi personali per accedere ai documenti aziendali, spesso via cloud, ma questi device sono meno sicuri di quelli corporate e sono esposti anche alle vulnerabilità dei gadget smart connessi alla stessa rete domestica. Inoltre, il 32% dei dipendenti italiani (36% a livello globale) non utilizza una password per proteggere il proprio dispositivo.

Il dato emerge dalla ricerca «Head in the Clouds» di Trend Micro. Lo studio ha approfondito le abitudini dei lavoratori da remoto durante l’instabile situazione sanitaria che stiamo vivendo, che vede il confine tra vita privata e lavorativa diventare sempre più sottile.

La Dottoressa Linda K. Kaye, Cyber Psicologa Accademica all’Università Edge Hill afferma: “Il fatto che molti lavoratori da remoto utilizzino il proprio dispositivo per accedere ai dati e ai servizi aziendali suggerisce l’assenza di consapevolezza dei rischi associati a questo tipo di comportamento. Corsi di formazione di cybersecurity, che tengano in considerazione le differenze tra gli utenti, i livelli di conoscenza e l’attitudine al rischio, aiuterebbero a mitigare le minacce”.

Il 47% dei lavoratori da remoto italiani (52% a livello globale), possiede dei dispositivi IoT connessi alla rete domestica, il 7% (10% a livello globale) utilizza prodotti di marchi poco conosciuti. Molti di questi dispositivi hanno punti deboli e vulnerabilità che potrebbero permettere ai cyber criminali di inserirsi nella rete per poi infiltrarsi in un dispositivo personale non adeguatamente protetto e passare alla rete aziendale alla quale è connesso questo dispositivo.

Lo studio ha rivelato anche che il 63% dei lavoratori da remoto italiani (70% a livello globale), connette il laptop aziendale alla rete domestica. Questi dispositivi dovrebbero essere protetti adeguatamente dall’IT, ma si creano dei rischi nel caso vengano installate applicazioni non approvate, per accedere magari ai dispositivi IoT personali.

L’IoT ha dotato semplici dispositivi di capacità di computing e di connettività, ma non ha pensato alla security. La vita dei cybercriminali è oggi più semplice grazie alle backdoor, che se aperte permettono di compromettere le reti aziendali. Questa minaccia è maggiore nel momento in cui milioni di lavoratori in tutto il mondo si connettono da remoto alle reti, rendendo la separazione tra vita privata e lavorativa sempre più debole. Ora più che mai, è importante che l’individuo si assuma le proprie responsabilità nei confronti della cybersecurity e che l’azienda continui a formare i dipendenti attraverso le best practise. 

Trend Micro raccomanda alle organizzazioni di assicurarsi che i lavoratori da remoto operino in conformità alle policy di sicurezza esistenti o, se necessario, di perfezionare le regole per riconoscere le minacce che provengono da dispositivi e dalle applicazioni BYOD e IoT.

Le aziende dovrebbero anche rivalutare le soluzioni di security messe a disposizione dei dipendenti che utilizzano le reti domestiche per accedere ai dati corporate. Un modello di security cloud-based può mitigare i rischi introdotti dalla forza lavoro da remoto in maniera efficace ed economicamente conveniente.

Metodologia e campione della ricerca

La ricerca è stata commissionata da Trend Micro e condotta da Sapio Research a maggio 2020 e ha coinvolto 13.200 lavoratori da remoto in 27 Paesi. In Italia il campione è stato di 506 persone, impiegate presso aziende di diverse dimensioni e industry.

Ulteriori informazioni e il white paper della ricerca sono disponibili a questo link.

La compromissione dei server, sia on-premise che in cloud, è un’importante fonte di guadagno cybercriminale

La nuova ricerca Trend Micro sui mercati underground sottolinea gli ultimi servizi e attività illegali dei cyber criminali

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Trend Micro ha pubblicato oggi una ricerca secondo la quale un elevato numero di server on-premise e basati su cloud delle aziende sono compromessi, in quanto utilizzati in modo improprio o affittati come parte di un sofisticato ciclo di vita della monetizzazione criminale.

Il dato emerge dalla seconda parte del report di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime dal titolo “The Hacker Infrastructure and Underground Hosting: Services used by criminals”. Lo studio evidenzia come le attività di mining delle criptovalute dovrebbero essere un indicatore di allarme per i team di security

Sebbene il cryptomining da solo non possa causare interruzioni o perdite finanziarie, il software di mining viene solitamente implementato per monetizzare i server compromessi che rimangono inattivi mentre i criminali tracciano schemi di guadagno più ampi. Questi includono l’esfiltrazione di dati sensibili, la vendita dell’accesso al server per ulteriori abusi o la preparazione per un attacco ransomware mirato. Qualsiasi server compromesso con un cryptominer dovrebbe essere immediatamente bonificato e andrebbe condotta un’indagine immediata per verificare eventuali falle di sicurezza all’interno dell’infrastruttura aziendale.

Il mercato cybercriminale underground offre una gamma sofisticata di infrastrutture in grado di supportare qualsiasi genere di campagna, dai servizi che garantiscono l’anonimato alla fornitura di nomi dominio, passando per la compromissione di asset. L’obiettivo di Trend Micro è accrescere la consapevolezza e la comprensione dell’infrastruttura cyber criminale per aiutare le Forze dell’Ordine, i clienti e più in generale altri ricercatori a fermare le autostrade del cybercrime e le loro fonti di guadagno.

Lo studio di Trend Micro elenca i principali servizi di hosting underground disponibili oggi, fornendo dettagli tecnici su come funzionano e su come vengono utilizzati dai cybercriminali. Questo include la descrizione dettagliata del tipico ciclo di vita di un server compromesso, dall’inizio all’attacco finale.

I server cloud sono particolarmente esposti perché potrebbero non avere la stessa protezione degli ambienti on-premise. Asset aziendali legittimi ma compromessi possono essere infiltrati nelle infrastrutture sia on-premise che in cloud. Una buona regola da tenere presente è che qualsiasi asset esposto può essere compromesso.

I cybercriminali potrebbero sfruttare vulnerabilità nei software server, compromettere credenziali, sottrarre log-in e inoculare malware attraverso attacchi di phishing. Potrebbero prendere di mira anche i software di infrastructure management, che permetterebbe loro di creare nuove istanze di macchine virtuali o altre risorse. Una volta compromessi, questi asset di server cloud possono essere venduti nei forum underground, nei marketplace e addirittura nei social network, per essere poi utilizzati per diversi tipi di attacchi.

La ricerca Trend Micro approfondisce anche i trend emergenti per quanto riguarda i servizi di infrastrutture underground, incluso l’abuso di servizi di telefonia e satellitari o il computing parassitario «in affitto», inclusi  RDP nascosti e VNC.


Ulteriori informazioni sono disponibili a questo link

Il report completo è disponibile a questo link

WESTPOLE mette al sicuro i propri sistemi e quelli dei clienti con Trend Micro

La scelta è avvenuta in seguito a valutazioni sia dal punto di vista tecnico che della flessibilità

A cura di Carlo Strangis, Channel Account Manager Trend Micro Italia

Il System Integrator e Service & Solution Provider WESTPOLE decide di affidarsi a un unico partner per la gestione della security propria e dei clienti e sceglie Trend Micro, leader globale di cybersecurity.

La scelta di WESTPOLE è avvenuta in seguito a valutazioni sia dal punto di vista tecnico che della flessibilità, quest’ultima in termini sia di modulabilità delle soluzioni, e conseguente possibilità di maggior customizzazione per i clienti all’interno del proprio cloud, che di fruibilità delle licenze in ottica di gestione MSP e pay per use. Fondamentale anche il virtual patching Trend Micro, che consente di mettere al sicuro le infrastrutture legacy, evitando importanti costi per il rinnovamento dell’intero parco macchine.

WESTPOLE protegge quindi la propria parte Endpoint con Apex One e i data center con Deep Security, che mette al sicuro anche i clienti ospitati all’interno del proprio cloud. Ai clienti esterni ai data center offre invece la protezione delle reti attraverso TippingPoint e Deep Discovery Inspector.

Michele Onorato, Security Office Manager di WESTPOLE afferma: “Un punto importante dell’avere un unico fornitore è sicuramente la razionalizzazione data dal dover gestire e specializzarsi su un’unica piattaforma. Per quanto riguarda il lato WESTPOLE interno, sono risultati fondamentali l’usabilità e la leggerezza dei prodotti, che permette di non dover allocare ulteriori risorse influendo negativamente sulle prestazioni. I clienti, invece, rimangono piacevolmente sorpresi quando vengono a conoscenza di tutta una serie di anomalie che le soluzioni che avevano installato in precedenza non avevano rilevato”.

Apex One è la nuova soluzione all-in-one che automatizza il rilevamento e la risposta fornendo una visibilità completa all’IT e ai team di security. Rispetto alle precedenti soluzioni tradizionali di antimalware, Apex One si presenta come una piattaforma unificata per la gestione di diversi servizi, ridefinendo in questo modo la sicurezza degli Endpoint, grazie alle sue vaste capacità offerte attraverso un singolo agente, sia negli ambienti SaaS che nei deployment on-premise. 

Deep Security è una piattaforma integrata e modulabile di nuova generazione per la protezione completa dei data center dinamici che comprendono server fisici, virtuali e in-the-cloud, nonché desktop virtuali. Progettata per difendere il data center dalle violazioni dei dati e dalle interruzioni delle attività, Trend Micro Deep Security è la prima e unica piattaforma di sicurezza agentless che aiuta a semplificare la gestione della sicurezza e accelerare il ritorno degli investimenti IT. 

Deep Discovery Inspector è un dispositivo di rete che consente un controllo a 360 gradi su tutto il traffico per rilevare qualsiasi aspetto di un attacco mirato

TippingPoint offre la migliore prevenzione delle intrusioni, per essere protetti contro tutti i tipi di minacce che viaggiano a grande velocità in qualsiasi punto della rete.

Un approccio integrato al tema security: scopri di più su Westpole e Trend Micro

Italia quinto Paese al mondo più colpito dai Macro Malware

Pubblicati i dati dei laboratori Trend Micro di giugno

A cura di Gastone Nencini, Country Manager Trend Micro Italia

L’Italia è il quinto Paese al mondo più colpito da macro malware. Il dato emerge dal report di giugno di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime.

Nel mese di giugno, sono stati 20.728 gli attacchi macro malware bloccati da Trend Micro, con Powload che si conferma il macro malware di maggior rilievo. In Italia sono stati 675, dato che fa segnare una crescita del 3.3% rispetto al mese di maggio. Il nostro Paese è preceduto solo da Giappone, che si conferma essere il Paese con il maggior numero di attacchi macro malware, Cina e Stati Uniti.

Questi numeri sono stati rilevati dalla Smart Protection Network, la rete intelligente e globale di Trend Micro che individua e analizza le minacce e aggiorna costantemente il database online relativo agli incidenti cyber, per bloccare gli attacchi in tempo reale grazie alla migliore intelligence disponibile sul mercato. La Smart Protection Network è costituita da oltre 250 milioni di sensori e blocca una media di 65 miliardi di minacce all’anno.

A giugno la Smart Protection Network ha gestito 319 miliardi di query e fermato 5,2 miliardi di minacce, di cui 4,8 miliardi arrivava via e-mail.

Ulteriori informazioni sulla Trend Micro Smart Protection Network sono disponibili a questo link

Trend Micro Research scopre vulnerabilità negli apparati di traduzione dei protocolli industriali

I gateway industriali mettono a rischio i moderni ambienti industriali 4.0

A cura di Marco Balduzzi, Senior Research Scientist di Trend Micro Research

Trend Micro rivela una nuova classe di vulnerabilità nei gateway industriali che potrebbe esporre gli ambienti Industry 4.0 ad attacchi critici. Il dato emerge dalla ricerca “Lost in Translation: When Industrial Protocol Translation Goes Wrong”.

Conosciuti anche come traduttori di protocolli, i gateway industriali permettono ai macchinari, ai sensori e ai computer che operano nelle fabbriche di comunicare tra di loro e con i sistemi IT, sempre più connessi a questi ambienti. 

“I gateway industriali danno poco nell’occhio, ma hanno un’importanza significativa per gli ambienti Industry 4.0 e potrebbero essere identificati dai cyber criminali come un punto debole dell’infrastruttura”. Ha affermato Bill Malik, vice president of infrastructure strategy di Trend Micro. “Trend Micro ha scoperto una decina di vulnerabilità zero-day in questo settore ed è in prima fila per rendere gli ambienti OT più sicuri”.

Trend Micro Research ha analizzato cinque gateway industriali popolari focalizzati sulla traduzione di Modbus, uno dei protocolli per sistemi di controllo industriale (ICS) maggiormente utilizzati al mondo.

Come dettagliato nel report, le vulnerabilità e le debolezze identificate in questi dispositivi includono:

  • Vulnerabilità nelle autenticazioni che permettono accessi non autorizzati
  • Crittografia debole che permette di avere accesso alle configurazioni dei dispositivi
  • Deboli meccanismi di confidenzialità dei dati che danno accesso a informazioni sensibili
  • Condizioni di denial of service
  • Difetti nelle funzioni di traduzione che possono essere utilizzati per operazioni di sabotaggio

Gli attacchi che sfruttano queste problematiche potrebbero permettere di ottenere dati sensibili (ad esempio sulla produzione), sabotare o manipolare importanti processi industriali, attraverso messaggi di attacco che vengono appositamente camuffati in modo da apparire come legittimi, e quindi più difficilmente identificabili dai tradizionali sistemi di detection.

La ricerca fornisce anche una serie di importanti raccomandazioni per venditori, installatori e gli utilizzatori dei gateway industriali industriali:

  • Considerare con attenzione il design del prodotto e assicurarsi che abbia adeguate funzionalità di sicurezza, in modo che i dispositivi non siano soggetti a errori di traduzione o denial of service
  • Non fare affidamento su un unico punto di controllo per la sicurezza della rete. Combinare firewall ICS con il monitoraggio del traffico
  • Dedicare tempo a configurare e proteggere i gateway, utilizzando credenziali forti, togliendo i servizi non necessari e abilitando la crittografia dove supportata
  • Applicare la gestione della security ai gateway industriali e a tutti gli asset OT critici. Per esempio, svolgere valutazioni sulle errate configurazioni o vulnerabilità e provvedere a un patching regolare

I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA.

Ulteriori informazioni sono disponibili a questo link

Industria 4.0: gli ambienti di programmazione per robotica industriale nascondono pericolosi difetti e vulnerabilità

Il settore dell’automazione è impreparato a gestire queste criticità. Trend Micro e il Politecnico di Milano rivelano nuovi rischi e rilasciano una guida pratica per lo sviluppo sicuro di infrastrutture OT.

A cura di Federico Maggi, Senior Threat Researcher di Trend Micro

Trend Micro e il Politecnico di Milano presentano una nuova ricerca che rivela alcune pericolose funzionalità nei linguaggi di programmazione per robotica industriale e una guida pratica per ridurre la superficie di attacco grazie a un codice più sicuro, riducendo così le interruzioni di business negli ambienti OT.

Trend Micro

La ricerca, dal titolo “Rogue Automation: Vulnerable and Malicious Code in Industrial Programming”, mi vede come autore principale ed è stata condotta in collaborazione con Marcello Pogliani del gruppo di sicurezza informatica del Politecnico di Milano. La ricerca descrive come alcune caratteristiche — poco discusse nel mondo della cybersecurity — dei linguaggi di programmazione per robotica industriale possano portare a programmi di automazione vulnerabili e, d’altra parte, possono permettere a un aggressore di creare nuove tipologie di malware persistente. Questi punti deboli possono consentire agli attaccanti di prendere il controllo dei robot industriali e simili macchinari al fine di danneggiare linee di produzione o impossessarsi di proprietà intellettuale. In base alla ricerca, il mondo dell’automazione potrebbe essere impreparato a rilevare e prevenire queste criticità, perché finora non sono mai state affrontate. Inoltre, è fondamentale che il settore inizi ad adottare e seguire le best practice, per mettere in sicurezza il codice, che sono state condivise con gli industry leader come risultato di questa ricerca.

“Una volta che i sistemi OT sono collegati alla rete, applicare patch o aggiornamenti è quasi impossibile ed è per questo che una sicurezza a priori diventa un fattore critico”. Ha affermato Bill Malik, vice president of infrastructure strategies for Trend Micro. “Al giorno d’oggi, la spina dorsale dell’automazione industriale si basa su tecnologie legacy che troppo spesso contengono vulnerabilità latenti come Urgent/11 e Ripple20, o varietà di difetti nell’architettura come ad esempio Y2K. Non vogliamo limitarci a sottolineare queste sfide, ma ancora una volta assumere la guida della security nell’Industry 4.0, offrendo una guida concreta per la progettazione, la scrittura del codice, la verifica e la manutenzione attraverso strumenti in grado di scansionare e bloccare codici maligni e vulnerabilità”.

Linguaggi di programmazione che possiamo considerare “legacy”—in quanto cuore delle moderne catene di produzione — come ad esempio RAPID, KRL, AS, PDL2 e PacScript sono stati progettati senza considerare un aggressore attivo. Sviluppati decenni fa, sono ora diventati essenziali per le attività critiche di automazione nei settori automotive come nelle filiere alimentari e nell’industria farmaceutica, ma non possono essere messi al sicuro facilmente.

Le vulnerabilità non sono l’unica preoccupazione nei programmi di automazione che utilizzano questi linguaggi. I ricercatori hanno dimostrato come una nuova tipologia di malware in grado di auto-propagarsi potrebbe essere creata utilizzando uno di questi linguaggi come esempio.

Trend Micro Research ha lavorato a stretto contatto con il Robotic Operating System (ROS) Industrial Consortium — un’autorità internazionale in campo di robotica industriale — per proporre delle raccomandazioni con l’obiettivo di ridurre l’impatto delle criticità identificate .

“Molti robot industriali sono progettati per reti di produzione isolate e utilizzano linguaggi di programmazione legacy”. Ha affermato Christoph Hellmann Santos, Program Manager, ROS-Industrial Consortium Europe. “Possono essere vulnerabili agli attacchi nel momento in cui sono connessi a una rete IT. Per questa ragione, ROS-Industrial e Trend Micro hanno collaborato per sviluppare delle line guida per un corretto e sicuro settaggio delle reti per il controllo dei robot idustriali, attraverso il Robotic Operating System”.

“Lavorare con questi sistemi è un po’ come fare un tuffo nel passato: vulnerabilità adesso rare nei tradizionali sistemi IT (come le applicazioni web, ad esempio), si ripresentano attraverso questi linguaggi di programmazione, poco conosciuti ma estremamente critici. Nei prossimi anni il mondo dell’automazione industriale dovrà affrontare le sfide delle vulnerabilità che il mondo IT ha gestito negli ultimi 20 anni.”

Come dimostrano le linee guida, i programmi di automazione industriale, seppur basati su linguaggi “legacy”, possono essere scritti in diversi modi per ridurne i rischi.
Di seguito la checklist essenziale che Trend Micro e Politecnico di Milano propongono per la scrittura di programmi di automazione industriale sicuri:

  • Trattare i macchinari industriali come se fossero computer e i task program come codice sorgente potenzialmente pericoloso
  • Autenticare ogni comunicazione
  • Implementare policy per il controllo degli accessi
  • Eseguire sempre la validazione degli input
  • Eseguire sempre la sanificazione degli output
  • Implementare una gestione degli errori senza esporre i dettagli
  • Implementare una configurazione appropriata e procedure di deployment

Inoltre, Trend Micro Research e Politecnico di Milano hanno sviluppato uno strumento per rilevare codice maligno o vulnerabilità all’interno dei task program, prevenendo eventuali danni al momento della loro esecuzione.

Come risultato di questa ricerca, sono state identificate feature critiche per la sicurezza nelle principali otto piattaforme di programmazione di robot industriali e un totale di 40 istanze di vulnerabilità di codice open source. Un vendor ha rimosso il proprio programma di automazione vulnerabile e altri due sono stati avvisati, dando il via a discussioni per migliorare i propri strumenti. I dettagli delle vulnerabilità sono stati condivisi anche dal ICS-CERT alla propria community, attraverso un alert .

I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA e verranno illustrati anche alla conferenza ACM AsiaCCS conference a Taipei nel mese di ottobre.

Eva Chen è tra i 100 leader IT più importanti del mondo

La CEO di Trend Micro è stata inserita nella prestigiosa lista annuale di CRN dedicata ai Top 100 Tech Executive

A cura di Lisa Dolcini, Marketing Manager Trend Micro Italia

Siamo felici di comunicare che CRN®, brand di The Channel Company, ha inserito la co-founder e CEO Eva Chen nella lista 2020 dei Top 100 Executive. Questa prestigiosa lista annuale rende omaggio ai manager visionari del settore tech, in grado di guidare e innovare in maniera significativa sia il canale che l’intero settore tecnologico. Identifica gli executive alla guida delle principali aziende IT che hanno “dimostrato una leadership esemplare e idee innovative” in un mercato in continuo cambiamento.

La vision e la leadership di Eva Chen hanno rafforzato la posizione di Trend Micro come leader globale nella cloud security. Nell’ultimo anno l’azienda ha presentato Trend Micro Cloud OneTM, la piattaforma per la sicurezza cloud progettata per le esigenze delle aziende moderne che trasformano i propri data center nel cloud, che garantisce protezione per i workload, i container e gli interi ambienti. Questa piattaforma leader include anche la gestione della corretta postura e configurazione della security e degli ambienti cloud, in seguito all’acquisizione di Cloud Conformity. Questi sforzi hanno permesso a Trend Micro di mantenere la leadership nel mercato della hybrid cloud security, con un market share tre volte superiore a quello del primo competitor, secondo IDC[1].

“Vorrei accettare questo riconoscimento e condividerlo con tutte le persone che fanno parte di quella storia di successo innovativa e focalizzata sui clienti, che è oggi l’azienda, e anche con i nostri partner che sono fondamentali”. Ha affermato Eva Chen. “In momenti di incertezza e disuguaglianza come questi, è importante che i responsabili aziendali si distinguano come portavoce dell’innovazione e della diversity. Continuerò a utilizzare la mia posizione come CEO per dare vita al cambiamento che il mondo ha bisogno per diventare un posto più tollerante ed equo”.

In Trend Micro Eva enfatizza continuamente i valori dell’azienda e si impegna per una cittadinanza globale responsabile, attraverso una serie di attività filantropiche e la creazione di un ambiente di lavoro rispettoso ed empatico.

Grazie alla sua leadership e alla sua vision, l’azienda ha incorporato “agilità” in tutte le sue pratiche, dallo sviluppo del prodotto, alle operazioni e alla gestione. Eva ha anche sottolineato in più occasioni quelli che sono i due pilastri principali della trasformazione di Trend Micro in un’organizzazione agile: avere una “risposta rapida” ed essere “centrati sul cliente”.

Eva Chen è appassionata nella ricerca di una maggiore diversità nel settore IT, attraverso iniziative come Close the Gap™, che coinvolge donne e talenti di ogni genere e trova loro opportunità per far progredire la propria carriera tecnologica.

L’obiettivo di questa vision è costruire una cultura e un ambiente inclusivi, facendo crescere leader in grado di condividere questi valori, creando e incoraggiando opportunità e confronto rispetto alle tematiche relative a diversità, uguaglianza e inclusività.