Archivi categoria: Ricerche

La digital transformation cresce, ma all’insegna dell’insicurezza

Uno studio di Trend Micro rivela che l’88% delle aziende ha accelerato la migrazione al cloud, ma solo il 55% ha implementato strumenti di protezione

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

L’88% delle aziende di tutto il mondo ha accelerato la digital transformation a causa della pandemia di COVID-19, ma questo rischia di far aumentare la mancanza di protezione e di sicurezza degli asset corporate. Il dato emerge da “Misconceptions and missteps: The challenges to successful cloud migration”, l’ultimo studio di Trend Micro, leader globale di cybersecurity.

È molto positivo che la maggior parte delle organizzazioni in tutto il mondo stia abbracciando la trasformazione digitale e adottando il cloud. Ma i risultati del nostro studio evidenziano che esistono anche delle sfide da affrontare per quanto riguarda la security in cloud. L’adozione del cloud non è un processo che si esaurisce premendo un pulsante, richiede una gestione continua e una configurazione strategica per poter prendere le migliori decisioni relative alla sicurezza.

Lo studio conferma un semplice malinteso che può portare a gravi conseguenze per la sicurezza: nonostante l’infrastruttura cloud sia sicura, i clienti sono responsabili della protezione dei propri dati. Questo concetto è la base del modello di responsabilità condivisa per il cloud.

Quasi tutti gli intervistati (92%) affermano di aver compreso la propria responsabilità in materia di sicurezza del cloud, ma il 97% ritiene che il proprio fornitore di servizi cloud (CSP) offra una protezione dei dati sufficiente.

Solo il 55% del campione utilizza strumenti di terze parti per proteggere i propri ambienti cloud. Questo suggerisce che potrebbero esserci significative lacune e conferma che il modello di responsabilità condivisa non è compreso fino in fondo. Una ricerca dei laboratori Trend Micro Research ha confermato che le configurazioni errate sono il rischio numero uno per gli ambienti cloud, e questo può accadere quando le aziende non conoscono la propria parte di modello di responsabilità condivisa.

Le organizzazioni intervistate hanno fiducia nella propria postura di cybersecurity cloud:

  • Il 51% afferma che l’accelerazione della migrazione al cloud ha aumentato la propria attenzione verso le migliori pratiche di sicurezza
  • L’87% ritiene di avere il pieno controllo, o la maggior parte, sulla protezione del proprio ambiente di lavoro remoto
  • L’83% ritiene che sarà in grado di garantire la sicurezza del proprio ambiente di lavoro ibrido futuro

Nonostante la fiducia, sono diverse le sfide di security:

  • Il 45% afferma che la sicurezza è un ostacolo “molto significativo” o “significativo” all’adozione del cloud
  • L’impostazione di policy coerenti (35%), l’applicazione di patch (33%) e la protezione dei flussi di traffico (33%) sono stati citati come i primi tre grattacapi operativi quotidiani, per la protezione dei workload in cloud
  • La privacy dei dati (43%), la formazione del personale (37%) e la compliance (36%) sono stati segnalati come ostacoli significativi alla migrazione a strumenti di sicurezza basati su cloud

La buona notizia è che utilizzando strumenti di sicurezza intelligenti e automatizzati, le organizzazioni possono migrare al cloud senza problemi, garantendo la privacy e la sicurezza dei dati e superando eventuali carenze di competenze.

Per quanto riguarda le soluzioni di sicurezza per gli ambienti cloud ritenute le più importanti dalle organizzazioni che hanno partecipato allo studio, si possono indicare quelle per la protezione della rete (28%), gli strumenti di Cloud Security Posture Management (26%) e quelli di Cloud Access Security Broker (19%).

Metodologia e campione dello studio

Trend Micro ha commissionato a Sapio Research di intervistare 2.565 decision maker in 28 Paesi, in diversi mercati e provenienti da aziende di ogni dimensione, con focus sulle organizzazioni enterprise.

Ulteriori informazioni sono disponibili a questo link

Italia quarta al mondo e prima in Europa per attacchi Malware

I laboratori Trend Micro pubblicano i dati relativi alle minacce cyber di ottobre. L’Italia continua anche a essere quinta per attacchi Macro Malware

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

Nel mese di ottobre l’Italia scala la classifica globale dei Paesi più colpiti dai malware e si posiziona al quarto posto, prima in Europa, inoltre si conferma per il secondo mese di fila il quinto Paese al mondo più attaccato dai Macro Malware. Il dato emerge dall’ultimo report di Trend Micro Research, la divisione di Trend Micro, leader globale di cybersecurity, specializzata in ricerca&sviluppo e lotta al cybercrime.

I malware che hanno colpito l’Italia a ottobre sono stati 2.855.691. La top five dei Paesi più attaccati è guidata dagli Stati Uniti (15.011.796 attacchi), seguiti da Giappone (14.854.207 attacchi) e India (3.185.024 attacchi). Quinta la Francia con 2.622.199 attacchi.

A ottobre Il malware maggiormente rilevato è stato EMOTET, tra i banking malware più pericolosi per le sue capacità altamente sofisticate di entrare in possesso di dati e credenziali sensibili. I settori più colpiti sono stati il manufacturing, la PA, il settore educativo, sanitario e le telco.

Per quanto riguarda i Macro Malware invece, a ottobre il fenomeno ha registrato una decrescita del 49,9% rispetto al mese precedente. L’Italia rimane però quinta in classica preceduta da Giappone, che si conferma la nazione con il maggior numero di attacchi subiti, Stati Uniti, Australia e Cina. Anche per quanto riguarda i Macro Malware, l’Italia rimane il Paese più colpito in Europa.

Questi numeri sono stati rilevati dalla Smart Protection Network, la rete di intelligence globale di Trend Micro che individua e analizza le minacce e aggiorna costantemente il database online relativo agli incidenti cyber, per bloccare gli attacchi in tempo reale grazie alla migliore tecnologia disponibile sul mercato. La Smart Protection Network è costituita da oltre 250 milioni di sensori e blocca una media di 65 miliardi di minacce all’anno.

A ottobre la Smart Protection Network di Trend Micro ha gestito 384 miliardi di query e fermato 6,57 miliardi di minacce, di cui il 90% arrivava via e-mail.

Ulteriori informazioni sulla Trend Micro Smart Protection Network sono disponibili a questo link

Intelligenza Artificiale e Cybercrime: non solo Deep Fake

Europol, UNICRI e Trend Micro pubblicano una ricerca sulle minacce presenti e future legate all’intelligenza artificiale e su come combatterle

A cura di Vincenzo Ciancaglini, Senior Threat Researcher di Trend Micro

L’intelligenza artificiale può essere sfruttata sia come vettore che come superficie di attacco e le minacce che si basano su questa tecnologia si stanno evolvendo, da “semplici” Deep Fake ad attacchi sempre più complessi. Il dato emerge dal report “Malicious Uses and Abuses of Artificial Intelligence”, realizzato da EuropolUnited Nations Interregional Crime and Justice Research Institute (UNICRI) e Trend Micro, leader globale di cybersecurity. Lo studio approfondisce il presente e i possibili scenari futuri dell’utilizzo dell’intelligenza artificiale in ambito cybercriminale e si propone come uno strumento per aiutare le organizzazioni pubbliche, private e le Forze dell’Ordine a mitigare i rischi.

“La promessa dell’intelligenza artificiale è quella di una grande efficienza, automazione e autonomia. Nel momento in cui il grande pubblico è sempre più preoccupato sull’utilizzo di questa tecnologia, però, dobbiamo essere completamente trasparenti circa le possibili minacce, non focalizzarci solo sui benefici che ci può portare”. Ha affermato Edvardas Šileris, Head of Europol’s Cybercrime Centre. “Questo studio ci aiuterà ad anticipare i possibili utilizzi malevoli dell’intelligenza artificiale ma anche a prevenire e mitigare le minacce in maniera proattiva. In questo modo possiamo sfruttare il potenziale dell’intelligenza artificiale e trarre benefici”.

I cybercriminali utilizzeranno l’intelligenza artificiale sia come vettore che come superficie di attacco. I Deep Fake sono al momento l’esempio più famoso dell’utilizzo dell’IA come vettore di attacco, e presto, sempre basate su questa tecnologia, verranno progettate nuove campagne di disinformazione ed estorsione che renderanno necessari nuovi strumenti di screening.

L’intelligenza artificiale, inoltre, potrebbe essere utilizzata per:

  • Realizzare attacchi di ingegneria sociale su larga scala
  • Progettare malware per il furto di documenti con lo scopo di rendere gli attacchi più efficaci
  • Evitare il riconoscimento facciale o biometrico
  • Lanciare attacchi ransomware che sfruttano una profilazione intelligente
  • Inquinare i dati, identificando falle nelle regole di rilevamento

“Nel momento in cui le applicazioni dell’intelligenza artificiale iniziano ad avere un impatto maggiore nel mondo reale, appare chiaro come questa sarà una tecnologia fondamentale per il futuro”. Ha dichiarato Irakli Beridze, Head of the Centre for AI and Robotics at UNICRI. “Ma non sono solo i benefici dell’IA ad essere reali, purtroppo lo sono anche i rischi. Siamo orgogliosi di essere partner di Europol e Trend Micro nel portare un po’ di luce nel lato oscuro dell’IA, stimolando ulteriori discussioni sull’argomento”. 

Lo studio avverte anche che i sistemi di intelligenza artificiale sono sviluppati per migliorare l’efficacia dei malware e per bloccare i sistemi anti-malware o di riconoscimento facciale.

I cybercriminali sono sempre stati early adopter di tecnologie e l’intelligenza artificiale è una di queste. Come sottolinea lo studio è già utilizzata per indovinare password, rompere CAPTCHA e clonare le voci, ma altri utilizzi sono in via di definizione. Siamo molto soddisfatti di fare squadra con Europol e UNICRI per aumentare il livello di consapevolezza su queste minacce, creando un futuro digitale più sicuro per tutti.

Alcune raccomandazioni per approcciarsi al meglio all’intelligenza artificiale:

  • Utilizzare il potenziale dell’intelligenza artificiale come uno strumento per combattere il crimine e per rendere la cybersecurity e le Forze dell’Ordine a prova di futuro
  • Investire nella ricerca per sviluppare tecnologie di difesa
  • Promuovere e sviluppare framework di progettazione IA sicuri
  • Ridurre la retorica politica dell’utilizzo dell’intelligenza artificiale per scopi di cybersecurity
  • Sfruttare partnership pubblico-privato e creare gruppi di lavoro multidisciplinari

Ulteriori informazioni sono disponibili a questo link

Il report completo è disponibile a questo link

I cybercriminali utilizzano i log cloud per sferrare attacchi più potenti e con una velocità senza precedenti

I laboratori Trend Micro hanno scoperto che terabyte di dati rubati rivenduti tramite accesso a log cloud permettono al cybercrime di colpire in maniera molto più efficace e in tempi ancora più ridotti, da settimane a ore

A cura di Alessandro Fontana Head of Sales Trend Micro Italia

I cybercriminali utilizzano i servizi e la tecnologia cloud per rendere gli attacchi più veloci e questo riduce il tempo che le aziende hanno a disposizione per identificare una violazione e rispondere. La nuova tecnica criminale è descritta all’interno di “Cybercriminal Cloud of Logs”, l’ultimo studio realizzato da Trend Micro Research, la divisione di Trend Micro, leader globale di cybersecurity, specializzata in ricerca&sviluppo e lotta al cybercrime.

Lo studio svela come terabyte di dati business interni e login di servizi popolari come Amazon, Google, Twitter, Facebook e PayPal siano in vendita all’interno del dark web. I dati vengono venduti tramite l’accesso ai log cloud in cui sono archiviati. Questo consente una monetizzazione maggiore degli account rubati e riduce drasticamente il tempo che trascorre dal furto iniziale dei dati all’utilizzo delle informazioni per compiere l’attacco contro un’organizzazione: da settimane a poche ore.

Il nuovo mercato degli accessi ai log cloud assicura che le informazioni rubate possano essere utilizzate più velocemente e in maniera più efficace dalla comunità cybercriminale e questa è una brutta notizia per le aziende e i team di security. Questo nuovo mercato cyber criminale mostra come sia cresciuto l’utilizzo maligno di tecnologie cloud e anche come un’azienda che utilizzi solo tecnologie on-premise non sia comunque al sicuro. Tutte le organizzazioni devono raddoppiare la prevenzione e assicurarsi di avere la visibilità e i controlli necessari per reagire in maniera veloce a qualsiasi tipo di incidente.

Come funziona la nuova tecnica di attacco

Una volta acquistato l’accesso per i log dei dati rubati basati su cloud, l’acquirente utilizzerà le informazioni per un attacco secondario.

Ad esempio, le credenziali Remote Desktop Protocol (RDP) possono essere contenute all’interno di questi log e sono un facile punto di entrata per i cybercriminali che vogliono attaccare le aziende con un ransomware.

L’archiviazione di terabyte di dati rubati in ambienti cloud affascina le aziende criminali allo stesso modo delle organizzazioni legittime. Lo storage in cloud offre la scalabilità e la velocità che forniscono maggiore potenza di calcolo e di banda per ottimizzare le operazioni.

L’accesso a questi log di dati in cloud è spesso venduto tramite abbonamento mensile di circa 1.000 dollari. Un singolo log può contenere milioni di record e i prezzi possono salire in caso di set di dati aggiornati frequentemente o la promessa di esclusività.

I cybercriminali, attraverso un accesso diretto a questi dati, possono ingegnerizzare e accelerare l’esecuzione di attacchi ed espandere il numero di obiettivi. Il risultato è un’ottimizzazione del cybercrime, poiché i criminali specializzati nelle diverse aree, come il furto di cryptocurrency o le frodi e-commerce, possono accedere in modo facile e relativamente economico ai dati di cui hanno bisogno.

Il report Trend Micro lancia il segnale che in futuro questo tipo di attività potrebbero determinare anche la nascita di una nuova figura cybercriminale: un esperto in data mining che utilizza il machine learning per migliorare l’estrazione delle informazioni e massimizzare l’utilità per gli acquirenti. In generale, man mano che il settore matura e si professionalizza, si assisterà sicuramente a una standardizzazione dei prezzi e dei servizi.

Ulteriori informazioni sono disponibili a questo link

Trend Micro: fermare il fenomeno degli Hosting Underground per colpire il cybercrime

La comprensione delle motivazioni e dei modelli di business degli hacker è la chiave per smantellare l’industry dei cosidetti «hosting antiproiettile», che costituisce le fondamenta del cybercrimine

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Trend Micro rende pubblico un white paper per spiegare come identificare e fermare le operazioni all’interno dei mercati cybercriminali. Il report, dal titolo «The Hacker Infrastructure and Underground Hosting: Cybercrime Modus Operandi and OpSec» è la terza e ultima parte di uno studio che ha interessato i mercati cybercriminali underground. All’interno del report, i ricercatori delineano gli approcci business degli hacker per aiutare i team di security e le Forze dell’Ordine a riconoscerli, per potersi difendere al meglio. Comprendere le operazioni criminali, le motivazioni e i modelli di business è la chiave per smantellare l’industry dei cosidetti «hosting antiproiettile», che rappresenta le fondamenta del cybercrimine globale.

A certi livelli di sofisticazione, è indispensabile capire come i criminali operano per difendersi in maniera strategica dagli attacchi. Speriamo che questo studio fornisca quei dettagli sulle operazioni cybercriminali che permettano alle organizzazioni di reagire e ai provider di hosting di perdere profitto.  

Gli hosting antiproiettile (BPH – Bulletproof Hoster), costituiscono le fondamenta dell’infrastruttura cybercriminale e utilizzano un sofisticato modello di business per sopravvivere ai tentativi di rimozione. Questo include caratteristiche di flessibilità, professionalità e l’offerta di una vasta gamma di servizi che soddisfino le esigenze più disparate.

Il report fornisce i dettagli sui diversi metodi efficaci che possono aiutare a identificare gli hoster underground. Tra gli altri:

  • Identificare quali intervalli di IP sono contrassegnati nelle liste pubbliche, o quelli associati a un gran numero di abusi, questi potrebbero celare dei BPH
  • Analizzare i comportamenti dei sistemi autonomi e i modelli di informazione di peering per contrassegnare attività che potrebbero essere associate a dei BPH
  • Una volta che un host BPH è stato rilevato, utilizzare il fingerprint rilevato per identificarne altri, che potrebbero essere collegati allo stesso provider

Il report elenca anche dei metodi per fermare il business degli hosting underground, senza necessariamente aver bisogno di identificare o spegnere i loro server. Tra questi possiamo citare:

  • Inviare istanze di abusi opportunamente documentati all’underground hosting provider sospettato, compresa la cronologia dei collegamenti.
  • Aggiungere i parametri di rete BHP per stabilire una lista di divieto di accesso ben delineata
  • Aumentare i costi operativi del BPH per compromettere la stabilità del business
  • Minare la reputazione del BPH nell’underground cybercriminale, magari attraverso account nascosti che mettono in dubbio la security del provider di hosting o che discutono di una possibile collaborazione con le autorità

Ulteriori informazioni sono disponibili a questo link

Il report completo è disponibile a questo link

La compromissione dei server, sia on-premise che in cloud, è un’importante fonte di guadagno cybercriminale

La nuova ricerca Trend Micro sui mercati underground sottolinea gli ultimi servizi e attività illegali dei cyber criminali

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Trend Micro ha pubblicato oggi una ricerca secondo la quale un elevato numero di server on-premise e basati su cloud delle aziende sono compromessi, in quanto utilizzati in modo improprio o affittati come parte di un sofisticato ciclo di vita della monetizzazione criminale.

Il dato emerge dalla seconda parte del report di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime dal titolo “The Hacker Infrastructure and Underground Hosting: Services used by criminals”. Lo studio evidenzia come le attività di mining delle criptovalute dovrebbero essere un indicatore di allarme per i team di security

Sebbene il cryptomining da solo non possa causare interruzioni o perdite finanziarie, il software di mining viene solitamente implementato per monetizzare i server compromessi che rimangono inattivi mentre i criminali tracciano schemi di guadagno più ampi. Questi includono l’esfiltrazione di dati sensibili, la vendita dell’accesso al server per ulteriori abusi o la preparazione per un attacco ransomware mirato. Qualsiasi server compromesso con un cryptominer dovrebbe essere immediatamente bonificato e andrebbe condotta un’indagine immediata per verificare eventuali falle di sicurezza all’interno dell’infrastruttura aziendale.

Il mercato cybercriminale underground offre una gamma sofisticata di infrastrutture in grado di supportare qualsiasi genere di campagna, dai servizi che garantiscono l’anonimato alla fornitura di nomi dominio, passando per la compromissione di asset. L’obiettivo di Trend Micro è accrescere la consapevolezza e la comprensione dell’infrastruttura cyber criminale per aiutare le Forze dell’Ordine, i clienti e più in generale altri ricercatori a fermare le autostrade del cybercrime e le loro fonti di guadagno.

Lo studio di Trend Micro elenca i principali servizi di hosting underground disponibili oggi, fornendo dettagli tecnici su come funzionano e su come vengono utilizzati dai cybercriminali. Questo include la descrizione dettagliata del tipico ciclo di vita di un server compromesso, dall’inizio all’attacco finale.

I server cloud sono particolarmente esposti perché potrebbero non avere la stessa protezione degli ambienti on-premise. Asset aziendali legittimi ma compromessi possono essere infiltrati nelle infrastrutture sia on-premise che in cloud. Una buona regola da tenere presente è che qualsiasi asset esposto può essere compromesso.

I cybercriminali potrebbero sfruttare vulnerabilità nei software server, compromettere credenziali, sottrarre log-in e inoculare malware attraverso attacchi di phishing. Potrebbero prendere di mira anche i software di infrastructure management, che permetterebbe loro di creare nuove istanze di macchine virtuali o altre risorse. Una volta compromessi, questi asset di server cloud possono essere venduti nei forum underground, nei marketplace e addirittura nei social network, per essere poi utilizzati per diversi tipi di attacchi.

La ricerca Trend Micro approfondisce anche i trend emergenti per quanto riguarda i servizi di infrastrutture underground, incluso l’abuso di servizi di telefonia e satellitari o il computing parassitario «in affitto», inclusi  RDP nascosti e VNC.


Ulteriori informazioni sono disponibili a questo link

Il report completo è disponibile a questo link

Italia quinto Paese al mondo più colpito dai Macro Malware

Pubblicati i dati dei laboratori Trend Micro di giugno

A cura di Gastone Nencini, Country Manager Trend Micro Italia

L’Italia è il quinto Paese al mondo più colpito da macro malware. Il dato emerge dal report di giugno di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime.

Nel mese di giugno, sono stati 20.728 gli attacchi macro malware bloccati da Trend Micro, con Powload che si conferma il macro malware di maggior rilievo. In Italia sono stati 675, dato che fa segnare una crescita del 3.3% rispetto al mese di maggio. Il nostro Paese è preceduto solo da Giappone, che si conferma essere il Paese con il maggior numero di attacchi macro malware, Cina e Stati Uniti.

Questi numeri sono stati rilevati dalla Smart Protection Network, la rete intelligente e globale di Trend Micro che individua e analizza le minacce e aggiorna costantemente il database online relativo agli incidenti cyber, per bloccare gli attacchi in tempo reale grazie alla migliore intelligence disponibile sul mercato. La Smart Protection Network è costituita da oltre 250 milioni di sensori e blocca una media di 65 miliardi di minacce all’anno.

A giugno la Smart Protection Network ha gestito 319 miliardi di query e fermato 5,2 miliardi di minacce, di cui 4,8 miliardi arrivava via e-mail.

Ulteriori informazioni sulla Trend Micro Smart Protection Network sono disponibili a questo link

Trend Micro Research scopre vulnerabilità negli apparati di traduzione dei protocolli industriali

I gateway industriali mettono a rischio i moderni ambienti industriali 4.0

A cura di Marco Balduzzi, Senior Research Scientist di Trend Micro Research

Trend Micro rivela una nuova classe di vulnerabilità nei gateway industriali che potrebbe esporre gli ambienti Industry 4.0 ad attacchi critici. Il dato emerge dalla ricerca “Lost in Translation: When Industrial Protocol Translation Goes Wrong”.

Conosciuti anche come traduttori di protocolli, i gateway industriali permettono ai macchinari, ai sensori e ai computer che operano nelle fabbriche di comunicare tra di loro e con i sistemi IT, sempre più connessi a questi ambienti. 

“I gateway industriali danno poco nell’occhio, ma hanno un’importanza significativa per gli ambienti Industry 4.0 e potrebbero essere identificati dai cyber criminali come un punto debole dell’infrastruttura”. Ha affermato Bill Malik, vice president of infrastructure strategy di Trend Micro. “Trend Micro ha scoperto una decina di vulnerabilità zero-day in questo settore ed è in prima fila per rendere gli ambienti OT più sicuri”.

Trend Micro Research ha analizzato cinque gateway industriali popolari focalizzati sulla traduzione di Modbus, uno dei protocolli per sistemi di controllo industriale (ICS) maggiormente utilizzati al mondo.

Come dettagliato nel report, le vulnerabilità e le debolezze identificate in questi dispositivi includono:

  • Vulnerabilità nelle autenticazioni che permettono accessi non autorizzati
  • Crittografia debole che permette di avere accesso alle configurazioni dei dispositivi
  • Deboli meccanismi di confidenzialità dei dati che danno accesso a informazioni sensibili
  • Condizioni di denial of service
  • Difetti nelle funzioni di traduzione che possono essere utilizzati per operazioni di sabotaggio

Gli attacchi che sfruttano queste problematiche potrebbero permettere di ottenere dati sensibili (ad esempio sulla produzione), sabotare o manipolare importanti processi industriali, attraverso messaggi di attacco che vengono appositamente camuffati in modo da apparire come legittimi, e quindi più difficilmente identificabili dai tradizionali sistemi di detection.

La ricerca fornisce anche una serie di importanti raccomandazioni per venditori, installatori e gli utilizzatori dei gateway industriali industriali:

  • Considerare con attenzione il design del prodotto e assicurarsi che abbia adeguate funzionalità di sicurezza, in modo che i dispositivi non siano soggetti a errori di traduzione o denial of service
  • Non fare affidamento su un unico punto di controllo per la sicurezza della rete. Combinare firewall ICS con il monitoraggio del traffico
  • Dedicare tempo a configurare e proteggere i gateway, utilizzando credenziali forti, togliendo i servizi non necessari e abilitando la crittografia dove supportata
  • Applicare la gestione della security ai gateway industriali e a tutti gli asset OT critici. Per esempio, svolgere valutazioni sulle errate configurazioni o vulnerabilità e provvedere a un patching regolare

I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA.

Ulteriori informazioni sono disponibili a questo link

Industria 4.0: gli ambienti di programmazione per robotica industriale nascondono pericolosi difetti e vulnerabilità

Il settore dell’automazione è impreparato a gestire queste criticità. Trend Micro e il Politecnico di Milano rivelano nuovi rischi e rilasciano una guida pratica per lo sviluppo sicuro di infrastrutture OT.

A cura di Federico Maggi, Senior Threat Researcher di Trend Micro

Trend Micro e il Politecnico di Milano presentano una nuova ricerca che rivela alcune pericolose funzionalità nei linguaggi di programmazione per robotica industriale e una guida pratica per ridurre la superficie di attacco grazie a un codice più sicuro, riducendo così le interruzioni di business negli ambienti OT.

Trend Micro

La ricerca, dal titolo “Rogue Automation: Vulnerable and Malicious Code in Industrial Programming”, mi vede come autore principale ed è stata condotta in collaborazione con Marcello Pogliani del gruppo di sicurezza informatica del Politecnico di Milano. La ricerca descrive come alcune caratteristiche — poco discusse nel mondo della cybersecurity — dei linguaggi di programmazione per robotica industriale possano portare a programmi di automazione vulnerabili e, d’altra parte, possono permettere a un aggressore di creare nuove tipologie di malware persistente. Questi punti deboli possono consentire agli attaccanti di prendere il controllo dei robot industriali e simili macchinari al fine di danneggiare linee di produzione o impossessarsi di proprietà intellettuale. In base alla ricerca, il mondo dell’automazione potrebbe essere impreparato a rilevare e prevenire queste criticità, perché finora non sono mai state affrontate. Inoltre, è fondamentale che il settore inizi ad adottare e seguire le best practice, per mettere in sicurezza il codice, che sono state condivise con gli industry leader come risultato di questa ricerca.

“Una volta che i sistemi OT sono collegati alla rete, applicare patch o aggiornamenti è quasi impossibile ed è per questo che una sicurezza a priori diventa un fattore critico”. Ha affermato Bill Malik, vice president of infrastructure strategies for Trend Micro. “Al giorno d’oggi, la spina dorsale dell’automazione industriale si basa su tecnologie legacy che troppo spesso contengono vulnerabilità latenti come Urgent/11 e Ripple20, o varietà di difetti nell’architettura come ad esempio Y2K. Non vogliamo limitarci a sottolineare queste sfide, ma ancora una volta assumere la guida della security nell’Industry 4.0, offrendo una guida concreta per la progettazione, la scrittura del codice, la verifica e la manutenzione attraverso strumenti in grado di scansionare e bloccare codici maligni e vulnerabilità”.

Linguaggi di programmazione che possiamo considerare “legacy”—in quanto cuore delle moderne catene di produzione — come ad esempio RAPID, KRL, AS, PDL2 e PacScript sono stati progettati senza considerare un aggressore attivo. Sviluppati decenni fa, sono ora diventati essenziali per le attività critiche di automazione nei settori automotive come nelle filiere alimentari e nell’industria farmaceutica, ma non possono essere messi al sicuro facilmente.

Le vulnerabilità non sono l’unica preoccupazione nei programmi di automazione che utilizzano questi linguaggi. I ricercatori hanno dimostrato come una nuova tipologia di malware in grado di auto-propagarsi potrebbe essere creata utilizzando uno di questi linguaggi come esempio.

Trend Micro Research ha lavorato a stretto contatto con il Robotic Operating System (ROS) Industrial Consortium — un’autorità internazionale in campo di robotica industriale — per proporre delle raccomandazioni con l’obiettivo di ridurre l’impatto delle criticità identificate .

“Molti robot industriali sono progettati per reti di produzione isolate e utilizzano linguaggi di programmazione legacy”. Ha affermato Christoph Hellmann Santos, Program Manager, ROS-Industrial Consortium Europe. “Possono essere vulnerabili agli attacchi nel momento in cui sono connessi a una rete IT. Per questa ragione, ROS-Industrial e Trend Micro hanno collaborato per sviluppare delle line guida per un corretto e sicuro settaggio delle reti per il controllo dei robot idustriali, attraverso il Robotic Operating System”.

“Lavorare con questi sistemi è un po’ come fare un tuffo nel passato: vulnerabilità adesso rare nei tradizionali sistemi IT (come le applicazioni web, ad esempio), si ripresentano attraverso questi linguaggi di programmazione, poco conosciuti ma estremamente critici. Nei prossimi anni il mondo dell’automazione industriale dovrà affrontare le sfide delle vulnerabilità che il mondo IT ha gestito negli ultimi 20 anni.”

Come dimostrano le linee guida, i programmi di automazione industriale, seppur basati su linguaggi “legacy”, possono essere scritti in diversi modi per ridurne i rischi.
Di seguito la checklist essenziale che Trend Micro e Politecnico di Milano propongono per la scrittura di programmi di automazione industriale sicuri:

  • Trattare i macchinari industriali come se fossero computer e i task program come codice sorgente potenzialmente pericoloso
  • Autenticare ogni comunicazione
  • Implementare policy per il controllo degli accessi
  • Eseguire sempre la validazione degli input
  • Eseguire sempre la sanificazione degli output
  • Implementare una gestione degli errori senza esporre i dettagli
  • Implementare una configurazione appropriata e procedure di deployment

Inoltre, Trend Micro Research e Politecnico di Milano hanno sviluppato uno strumento per rilevare codice maligno o vulnerabilità all’interno dei task program, prevenendo eventuali danni al momento della loro esecuzione.

Come risultato di questa ricerca, sono state identificate feature critiche per la sicurezza nelle principali otto piattaforme di programmazione di robot industriali e un totale di 40 istanze di vulnerabilità di codice open source. Un vendor ha rimosso il proprio programma di automazione vulnerabile e altri due sono stati avvisati, dando il via a discussioni per migliorare i propri strumenti. I dettagli delle vulnerabilità sono stati condivisi anche dal ICS-CERT alla propria community, attraverso un alert .

I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA e verranno illustrati anche alla conferenza ACM AsiaCCS conference a Taipei nel mese di ottobre.

Trend Micro svela l’infrastruttura di business del cybercrime

Le organizzazioni criminali hanno bisogno di servizi hosting, ma anche di cybersecurity

A cura di Gastone Nencini, Country Manager Trend Micro Italia

I servizi di hosting sono la spina dorsale delle organizzazioni cybercriminali, indipendentemente dalle attività svolte che possono spaziare dallo spam ai ransomware. Capire come funziona il mercato underground relativo a questi servizi è quindi fondamentale ed è stato l’oggetto di studio dell’ultimo report in tre parti di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime. Il report si intitola “The Hacker Infrastructure and Underground Hosting: An Overview of the Cybercriminal Market”.

Negli ultimi cinque anni il mercato ha avuto molte evoluzioni ed esistono diverse tipologie di hosting underground e relativi servizi, che includono bulletproof hosting, virtual private networks (VPN), anonymizer e protezione da attacchi Distributed Denial of Service (DDoS). Questi servizi possono essere utilizzati per proteggere, mantenere l’anonimato, depistare le indagini, occultare la sede fisica e abilitare l’IP spoofing, ad esempio.

Per oltre un decennio, Trend Micro Research ha approfondito il modo in cui pensano i criminali informatici, invece di concentrarsi solo su ciò che fanno, e questo è fondamentale quando si tratta di proteggersi. Oggi pubblichiamo il primo di una serie di tre approfondimenti su come i cybercriminali gestiscono le proprie esigenze infrastrutturali e sui mercati dedicati a questi prodotti. Speriamo che fornire alle Forze dell’Ordine uno studio su questo argomento possa contribuire a supportare la nostra missione di rendere il mondo digitale un posto più sicuro.

Il cybercrime è un settore altamente professionale, con compra-vendite e annunci che sfruttano tecniche e piattaforme di marketing legittime. Ad esempio, è stata trovata una pubblicità che prometteva server dedicati e compromessi con sede negli Stati Uniti a partire da soli $3, che diventavano $6 nel caso di disponibilità garantita per 12 ore. Molti di questi servizi sono scambiati all’interno di forum underground, alcuni dei quali sono solo su invito, ma altri sono chiaramente pubblicizzati e venduti tramite social media e piattaforme di messaggistica legittime come Twitter, VK e Telegram.

La linea tra business legittimo e criminalità è sempre più difficile da distinguere. Alcuni provider di hosting hanno una clientela legittima e pubblicizzano apertamente su internet, ma possono esserci dei rivenditori focalizzati solo sul cybercrime, senza che il provider lo sappia.

Nel caso di bulletproof hoster, legati al cybercrime in maniera più definita, si tratta di hosting provider generalmente regolari che cercano di diversificare il proprio business per soddisfare le esigenze di un cliente specifico. Per un sovrapprezzo, si possono spingere ai limiti consentiti dalla legge.

Comprendere dove, come e a quale prezzo sono venduti questi servizi, è la migliore strategia per contrastare questo fenomeno.

  • Ulteriori informazioni sono disponibili a questo link
  • Il report completo è disponibile a questo link