Archivi categoria: Sicurezza informatica

Trend Micro presenta la nuova Network Security Cloud-Ready

Novità per la piattaforma Cloud One, la soluzione diventa l’ideale per la migrazione dei server in cloud senza criticità

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Siamo felici di presentare Trend Micro Cloud One – Network Security, la soluzione per la sicurezza della rete nativa per il cloud che entra a far parte della piattaforma di sicurezza cloud Trend Micro Cloud One. La nuova soluzione permetterà di mettere in sicurezza i cloud virtuali privati su larga scala, rispettando i requisiti di compliance e senza alcun disservizio alle applicazioni o al traffico.

Le organizzazioni che muovono i primi passi nel cloud hanno bisogno di una soluzione di network security efficiente, per motivi di business, di compliance e di governance. Le soluzioni attualmente in commercio non soddisfano però i requisiti e sono anche difficili da implementare, a causa delle basse velocità di ispezione e altre inefficienze che a volte richiedono ulteriori strumenti per ispezionare il traffico in ingresso e in uscita.

Trend Micro Cloud One – Network Security, frutto anche dei numerosi anni di esperienza di Trend Micro nella protezione di ambienti cloud come Microsoft Azure, Google Cloud e AWS, è stata sviluppata appositamente per risolvere queste criticità.

Gartner afferma che “Le aziende migreranno a un nuovo modello che le vedrà consolidare i servizi di network security relativi al multicloud con un solo vendor, con l’obiettivo di ridurre la complessità”. Le aziende che adottano modelli di cloud ibrido hanno diverse esigenze. Trend Micro Cloud One permette di soddisfarle, fornendo un approccio semplificato alla hybrid cloud security che include una visibilità completa sull’infrastruttura cloud grazie a una singola piattaforma che riunisce diversi strumenti di sicurezza.

Sappiamo che molte soluzioni di network security non sono progettate per il cloud. Sono impossibili o molto difficili da distribuire, danneggiano i processi chiave di business e possono esporre le organizzazioni alle minacce. Gli utenti possono implementare la nostra network security cloud-based in pochi minuti, ottenendo così una protezione semplice che permette di soddisfare gli obiettivi di business rispettando i requisiti di compliance.

Highlights della soluzione:

  • Protezione cloud integrata a livello di rete per supportare la compliance, inclusi il virtual patching, capacità IPS, filtro di rete in uscita. Caratteristiche sostenute dall’intelligence sulle minacce della Trend Micro Zero Day Initiative
  • Rilevamento delle minacce in esecuzione, per la protezione di una serie diversificata di servizi (da EC2 a Lambda) e ispezione del traffico di rete che passa dai gateway Internet, transit gateway o virtual private.
  • Implementazione semplice e trasparente in pochi minuti, senza la necessità di ulteriori infrastrutture e senza alcuna interruzione del business o dell’IT
  • Flessibilità nei metodi di pagamento. Viene addebitato solo il costo legato all’utilizzo negli ambienti dinamici oppure si può scegliere una licenza annuale per un’architettura più statica
  • Protezione cloud olistica e centralizzata da una singola console, per semplificare la gestione della postura di sicurezza cloud


Ulteriori informazioni su Trend Micro Cloud One – Network Security sono disponibili a questo link

Italia ancora quinta al mondo per attacchi Macro Malware

I laboratori Trend Micro pubblicano i dati relativi alle minacce cyber di settembre. Negli ultimi mesi, gli attacchi Macro Malware a livello globale sono quadruplicati

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

In tutto il mondo cresce il fenomeno Macro Malware e l’Italia si conferma il quinto Paese al mondo più colpito da questa tipologia di attacchi. Dopo una flessione del numero di episodi registrata nel mese di agosto, il nostro Paese rientra a settembre nella classifica delle prime cinque nazioni a livello planetario più colpite dai Macro Malware. Il dato emerge dal report di settembre di Trend Micro Research, la divisione di Trend Micro, leader globale di cybersecurity, specializzata in ricerca&sviluppo e lotta al cybercrime.

Nel mese di settembre sono stati 90.113 gli attacchi macro malware bloccati da Trend Micro in tutto il mondo, numero che da solo eguaglia quello dei tre mesi precedenti raggruppati (giugno 20.728 – luglio 34.953 – agosto 46.972). Il Macro Malware maggiormente rilevato è EMOTET, tra i banking malware più pericolosi per le sue capacità altamente sofisticate di entrare in possesso di dati e credenziali sensibili. 

In Italia il numero di Macro Malware rilevati da Trend Micro è stato di 2.485, il Paese è quinto al mondo preceduto da Giappone, che si conferma essere la nazione con il maggior numero di attacchi macro malware, Australia, Stati Uniti e Cina. 

Questi numeri sono stati rilevati dalla Smart Protection Network, la rete intelligente e globale di Trend Micro che individua e analizza le minacce e aggiorna costantemente il database online relativo agli incidenti cyber, per bloccare gli attacchi in tempo reale grazie alla migliore intelligence disponibile sul mercato. La Smart Protection Network è costituita da oltre 250 milioni di sensori e blocca una media di 65 miliardi di minacce all’anno.

A settembre la Smart Protection Network Trend Micro ha gestito 359 miliardi di query e fermato 6,5 miliardi di minacce, di cui il 92% arrivava via e-mail.

Ulteriori informazioni sulla Trend Micro Smart Protection Network sono disponibili a questo link

RSA Security e Trend Micro: alleanza per combattere il cybercrime

I due leader di cybersecurity uniscono le forze e definiscono un approccio comune per supportare le aziende nella salvaguardia della business continuity, attività vitale per rimanere competitivi nell’epoca della nuova normalità

A cura di Alessandro Fontana Head of Sales Trend Micro Italia

Storico accordo tra due leader di cyber security: RSA Security e Trend Micro uniscono le forze in Italia e definiscono un approccio comune per combattere il cybercrime. Le aziende mettono in comune la propria intelligence, i rispettivi sistemi di rilevamento e i dati sulle minacce per permettere alle organizzazioni una risposta e una reattività migliore agli attacchi informatici.

In piena epoca digitale uno dei maggiori rischi per la continuità del business è rappresentato dagli attacchi cyber, resi ancora più pericolosi da due elementi. Il primo è la nuova normalità che stiamo attraversando, caratterizzata dalla remotizzazione di numerosi task, prassi che aumenta le superfici di attacco generando pericolose falle nelle infrastrutture IT. Il secondo è l’organizzazione a silos di molte infrastrutture, che implementano soluzioni incapaci di dialogare tra loro e di rispondere in maniera veloce e proattiva agli attacchi.

Le aziende devono quindi riuscire a tenere sotto controllo e impermeabili alle minacce i propri hardware, le reti e tutti i multicloud e device o macchinari utilizzati che sono sparsi nelle località più disparate e dialogano di continuo tra loro, esponendo i dati aziendali al rischio di essere trafugati e le linee di produzione a pericolosi fermi. La salvaguardia della business continuity è fondamentale per rimanere competitivi, ecco perché la cybersecurity e i sistemi di analisi in grado di comunicare tra loro devono essere tra gli investimenti prioritari per le imprese.

RSA Security e Trend Micro collaborano quindi per aiutare le aziende ad attivare un efficace percorso di integrazione delle soluzioni e controllo del panorama delle minacce cyber e dell’infrastruttura. Questo permette di ottimizzare i processi di security, automatizzare le risposte agli attacchi e i controlli e liberare le risorse, permettendo alle aziende di continuare a crescere senza preoccupazioni.

La collaborazione tra Trend Micro e RSA Security è storica ma anche simbolica di come la lotta al cybercrime sia una questione che ci riguarda tutti. L’obiettivo per un vendor di cybersecurity è affrontare e combattere le minacce IT nel migliore dei modi e la missione di Trend Micro è da sempre quella di rendere il mondo un posto più sicuro per lo scambio delle informazioni digitali. Fare squadra con altre aziende per raggiungere questo obiettivo rientra perfettamente nel nostro DNA e siamo sicuri che questa collaborazione porterà dei benefici sia al sistema Paese in termini di lotta al cybercrime che al mercato della cybersecurity in ottica di offerta.

“Non si può più parlare di concorrenza tra aziende di cybersecurity. L’obiettivo è di supportate i nostri clienti contro le minacce sempre più sofisticate e avanzate. Per riuscire in questo è necessario collaborare e riuscire ad integrare le diverse tecnologie già esistenti in azienda, risultato di importanti investimenti già effettuati” conferma Maddalena Pellegrini – Executive Account di RSA Security.

Sicurezza integrata per disintegrare il cybercrime: il live streaming

RSA Security e Trend Micro presentano la collaborazione e l’approccio integrato per ottimizzare la sicurezza informatica nel corso di un evento live streaming, il 19 novembre alle ore10.30.

Ulteriori informazioni, l’agenda dell’evento e il form di registrazione sono disponibili a questo link

Attenzione: possibile ondata di attacchi ransomware agli ospedali

L’attacco utilizzerebbe il ransomware RYUK, che ha già colpito diverse realtà industriali in Italia

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

L’FBI e la Cybersecurity & Infrastructure Security Agency sostengono di avere informazioni credibili circa un’imminente ondata di cyber attacchi che sta per colpire gli ospedali e le organizzazioni sanitarie, soprattutto sul suolo statunitense. Trend Micro leader globale di cybersecurity, raccomanda a tutte le organizzazioni la massima allerta, soprattutto in Italia, perché nel caso l’attacco dovesse colpire anche le infrastrutture del nostro Paese danneggerebbe ulteriormente le organizzazioni sanitarie già sotto stress a causa della seconda ondata della pandemia di COVID-19, mettendo a serio rischio l’erogazione delle prestazioni mediche.

L’attacco utilizzerebbe il ransomware RYUK, che ha già colpito diverse realtà industriali anche nel nostro Paese, per questa ragione l’allerta deve essere massima anche in Italia. Secondo le ricerche Trend Micro, RYUK è un ransomware utilizzato da un gruppo cybercriminale basato in Russia che sfrutta le credenziali dell’amministratore, precedentemente trafugate, per accedere ai sistemi da remoto e crittografare i dischi. L’identificazione di questo ransomware è difficile perché è in grado di cancellare le proprie tracce.

Trend Micro monitora continuamente l’evoluzione delle minacce cybercriminali aggiungendo capacità di rilevamento e protezione adeguate alle proprie soluzioni, ma raccomanda di verificare che le difese siano sempre correttamente configurate e aggiornate all’ultima versione.

Ulteriori informazioni sono disponibili a questo link

Trend Micro protegge le Smart Factory con il primo IPS Array industriale

Grazie alla segmentazione avanzata delle reti è possibile contenere le minacce business critical

A cura di Salvatore Marcis, Technical Director Trend Micro Italia

Siamo felici di presentare la soluzione IPS array intelligente per gli ambienti industriali, prima del suo genere, creata per proteggere le grandi reti industriali dagli attacchi critici, riducendo allo stesso tempo i parametri OPEX e CAPEX.

Il nuovo EdgeIPS Pro, sviluppato da TXOne Networks, è stato progettato specificatamente per soddisfare le esigenze delle grandi smart factory, come ad esempio quelle nei settori automotive o semiconduttori, caratterizzate da impianti ad alta automatizzazione gestita centralmente, con molteplici linee di produzione.

EdgeIPS Pro entra a far parte della suite di security Trend Micro focalizzata sulla protezione delle smart factory, che offre protezione multi-livello, dal perimetro cloud all’IT corporate, passando per i layer di controllo e arrivando fino ai siti di produzione.

La convergenza dell’IT e dell’OT nelle smart factory ha portato enormi benefici alla produttività, ma ha anche aumentato i rischi di subire infezioni malware o accessi non autorizzati. Queste minacce potrebbero fermare la produzione, nel momento in cui gli asset sono altamente connessi in un’unica architettura di rete, che per questo motivo è vulnerabile agli attacchi. I responsabili di queste aziende devono adottare la giusta soluzione di security che includa la segmentazione della rete, in grado di coniugare la produttività del business con operazioni di sicurezza efficienti.


Le tradizionali soluzioni di security per le reti IT non raggiungono il livello di adattabilità richiesto dagli ambienti OT, in particolar modo riguardo il supporto ai protocolli di rete industriale. Le soluzioni di security per le reti industriali esistenti, invece, faticano a ottenere una gestione centralizzata delle operazioni di manutenzione, in quanto le appliance di sicurezza devono essere distribuite e gestite individualmente per centinaia di risorse e reti esistenti negli impianti di produzione.

Il panorama digitale è in continua evoluzione e il successo della convergenza tra IT e OT è ora un fattore critico per il business. L’introduzione di EdgeIPS Pro nella suite di security Trend Micro per le smart factory, è una pietra miliare per la protezione delle grandi reti industriali negli impianti di produzione. L’installazione e la gestione IT-friendly permettono alle organizzazioni di continuare a svolgere le consuete operazioni e di tenere a bada le minacce.

EdgeIPS Pro è un IPS array industriale intelligente, trasparente e intent-based, costruito con la tecnologia TXOne one-pass Deep Packet Inspection (TXODI™), che permette la segmentazione della rete attraverso capacità di filtro firewall/IPS/protocollo con un supporto più ampio e profondo dei protocolli di rete industriale. Non è necessario cambiare le impostazioni di configurazione delle reti esistenti e questo rende ulteriormente minimo l’impatto del costo iniziale di deployment. La soluzione abilita anche una gestione centralizzata ed efficiente nelle grandi reti industriali supportando 48 o 96 porte di rete con bypass hardware Gen3 e un form-factor che ne facilita una semplice introduzione su rack IT.

La mancanza di una segmentazione della rete che inibisca la propagazione dei malware è la criticità più comune negli ambienti ICS, poiché richiede un supporto ai protocolli di reti industriali più ampio e profondo. EdgeIPS Pro permette agli amministratori di organizzare la segmentazione delle reti in accordo con gli obiettivi di business.

  • Ulteriori informazioni sulle soluzioni di sicurezza Trend Micro per le smart factory sono disponibili a questo link
  • Ulteriori informazioni su EdgeIPS Pro sono disponibili a questo link

Un dipendente italiano su tre utilizza il dispositivo personale per accedere ai documenti aziendali

Il lavoro da remoto cambia il modo in cui si gestiscono i dati business e obbliga a rivedere le policy aziendali

A cura di Lisa Dolcini, Head of Marketing Trend Micro Italia

Il 37% dei dipendenti italiani utilizza i dispositivi personali per accedere ai documenti aziendali, spesso via cloud, ma questi device sono meno sicuri di quelli corporate e sono esposti anche alle vulnerabilità dei gadget smart connessi alla stessa rete domestica. Inoltre, il 32% dei dipendenti italiani (36% a livello globale) non utilizza una password per proteggere il proprio dispositivo.

Il dato emerge dalla ricerca «Head in the Clouds» di Trend Micro. Lo studio ha approfondito le abitudini dei lavoratori da remoto durante l’instabile situazione sanitaria che stiamo vivendo, che vede il confine tra vita privata e lavorativa diventare sempre più sottile.

La Dottoressa Linda K. Kaye, Cyber Psicologa Accademica all’Università Edge Hill afferma: “Il fatto che molti lavoratori da remoto utilizzino il proprio dispositivo per accedere ai dati e ai servizi aziendali suggerisce l’assenza di consapevolezza dei rischi associati a questo tipo di comportamento. Corsi di formazione di cybersecurity, che tengano in considerazione le differenze tra gli utenti, i livelli di conoscenza e l’attitudine al rischio, aiuterebbero a mitigare le minacce”.

Il 47% dei lavoratori da remoto italiani (52% a livello globale), possiede dei dispositivi IoT connessi alla rete domestica, il 7% (10% a livello globale) utilizza prodotti di marchi poco conosciuti. Molti di questi dispositivi hanno punti deboli e vulnerabilità che potrebbero permettere ai cyber criminali di inserirsi nella rete per poi infiltrarsi in un dispositivo personale non adeguatamente protetto e passare alla rete aziendale alla quale è connesso questo dispositivo.

Lo studio ha rivelato anche che il 63% dei lavoratori da remoto italiani (70% a livello globale), connette il laptop aziendale alla rete domestica. Questi dispositivi dovrebbero essere protetti adeguatamente dall’IT, ma si creano dei rischi nel caso vengano installate applicazioni non approvate, per accedere magari ai dispositivi IoT personali.

L’IoT ha dotato semplici dispositivi di capacità di computing e di connettività, ma non ha pensato alla security. La vita dei cybercriminali è oggi più semplice grazie alle backdoor, che se aperte permettono di compromettere le reti aziendali. Questa minaccia è maggiore nel momento in cui milioni di lavoratori in tutto il mondo si connettono da remoto alle reti, rendendo la separazione tra vita privata e lavorativa sempre più debole. Ora più che mai, è importante che l’individuo si assuma le proprie responsabilità nei confronti della cybersecurity e che l’azienda continui a formare i dipendenti attraverso le best practise. 

Trend Micro raccomanda alle organizzazioni di assicurarsi che i lavoratori da remoto operino in conformità alle policy di sicurezza esistenti o, se necessario, di perfezionare le regole per riconoscere le minacce che provengono da dispositivi e dalle applicazioni BYOD e IoT.

Le aziende dovrebbero anche rivalutare le soluzioni di security messe a disposizione dei dipendenti che utilizzano le reti domestiche per accedere ai dati corporate. Un modello di security cloud-based può mitigare i rischi introdotti dalla forza lavoro da remoto in maniera efficace ed economicamente conveniente.

Metodologia e campione della ricerca

La ricerca è stata commissionata da Trend Micro e condotta da Sapio Research a maggio 2020 e ha coinvolto 13.200 lavoratori da remoto in 27 Paesi. In Italia il campione è stato di 506 persone, impiegate presso aziende di diverse dimensioni e industry.

Ulteriori informazioni e il white paper della ricerca sono disponibili a questo link.

La compromissione dei server, sia on-premise che in cloud, è un’importante fonte di guadagno cybercriminale

La nuova ricerca Trend Micro sui mercati underground sottolinea gli ultimi servizi e attività illegali dei cyber criminali

A cura di Gastone Nencini, Country Manager Trend Micro Italia

Trend Micro ha pubblicato oggi una ricerca secondo la quale un elevato numero di server on-premise e basati su cloud delle aziende sono compromessi, in quanto utilizzati in modo improprio o affittati come parte di un sofisticato ciclo di vita della monetizzazione criminale.

Il dato emerge dalla seconda parte del report di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime dal titolo “The Hacker Infrastructure and Underground Hosting: Services used by criminals”. Lo studio evidenzia come le attività di mining delle criptovalute dovrebbero essere un indicatore di allarme per i team di security

Sebbene il cryptomining da solo non possa causare interruzioni o perdite finanziarie, il software di mining viene solitamente implementato per monetizzare i server compromessi che rimangono inattivi mentre i criminali tracciano schemi di guadagno più ampi. Questi includono l’esfiltrazione di dati sensibili, la vendita dell’accesso al server per ulteriori abusi o la preparazione per un attacco ransomware mirato. Qualsiasi server compromesso con un cryptominer dovrebbe essere immediatamente bonificato e andrebbe condotta un’indagine immediata per verificare eventuali falle di sicurezza all’interno dell’infrastruttura aziendale.

Il mercato cybercriminale underground offre una gamma sofisticata di infrastrutture in grado di supportare qualsiasi genere di campagna, dai servizi che garantiscono l’anonimato alla fornitura di nomi dominio, passando per la compromissione di asset. L’obiettivo di Trend Micro è accrescere la consapevolezza e la comprensione dell’infrastruttura cyber criminale per aiutare le Forze dell’Ordine, i clienti e più in generale altri ricercatori a fermare le autostrade del cybercrime e le loro fonti di guadagno.

Lo studio di Trend Micro elenca i principali servizi di hosting underground disponibili oggi, fornendo dettagli tecnici su come funzionano e su come vengono utilizzati dai cybercriminali. Questo include la descrizione dettagliata del tipico ciclo di vita di un server compromesso, dall’inizio all’attacco finale.

I server cloud sono particolarmente esposti perché potrebbero non avere la stessa protezione degli ambienti on-premise. Asset aziendali legittimi ma compromessi possono essere infiltrati nelle infrastrutture sia on-premise che in cloud. Una buona regola da tenere presente è che qualsiasi asset esposto può essere compromesso.

I cybercriminali potrebbero sfruttare vulnerabilità nei software server, compromettere credenziali, sottrarre log-in e inoculare malware attraverso attacchi di phishing. Potrebbero prendere di mira anche i software di infrastructure management, che permetterebbe loro di creare nuove istanze di macchine virtuali o altre risorse. Una volta compromessi, questi asset di server cloud possono essere venduti nei forum underground, nei marketplace e addirittura nei social network, per essere poi utilizzati per diversi tipi di attacchi.

La ricerca Trend Micro approfondisce anche i trend emergenti per quanto riguarda i servizi di infrastrutture underground, incluso l’abuso di servizi di telefonia e satellitari o il computing parassitario «in affitto», inclusi  RDP nascosti e VNC.


Ulteriori informazioni sono disponibili a questo link

Il report completo è disponibile a questo link

Italia quinto Paese al mondo più colpito dai Macro Malware

Pubblicati i dati dei laboratori Trend Micro di giugno

A cura di Gastone Nencini, Country Manager Trend Micro Italia

L’Italia è il quinto Paese al mondo più colpito da macro malware. Il dato emerge dal report di giugno di Trend Micro Research, la divisione di Trend Micro specializzata in ricerca&sviluppo e lotta al cybercrime.

Nel mese di giugno, sono stati 20.728 gli attacchi macro malware bloccati da Trend Micro, con Powload che si conferma il macro malware di maggior rilievo. In Italia sono stati 675, dato che fa segnare una crescita del 3.3% rispetto al mese di maggio. Il nostro Paese è preceduto solo da Giappone, che si conferma essere il Paese con il maggior numero di attacchi macro malware, Cina e Stati Uniti.

Questi numeri sono stati rilevati dalla Smart Protection Network, la rete intelligente e globale di Trend Micro che individua e analizza le minacce e aggiorna costantemente il database online relativo agli incidenti cyber, per bloccare gli attacchi in tempo reale grazie alla migliore intelligence disponibile sul mercato. La Smart Protection Network è costituita da oltre 250 milioni di sensori e blocca una media di 65 miliardi di minacce all’anno.

A giugno la Smart Protection Network ha gestito 319 miliardi di query e fermato 5,2 miliardi di minacce, di cui 4,8 miliardi arrivava via e-mail.

Ulteriori informazioni sulla Trend Micro Smart Protection Network sono disponibili a questo link

Trend Micro Research scopre vulnerabilità negli apparati di traduzione dei protocolli industriali

I gateway industriali mettono a rischio i moderni ambienti industriali 4.0

A cura di Marco Balduzzi, Senior Research Scientist di Trend Micro Research

Trend Micro rivela una nuova classe di vulnerabilità nei gateway industriali che potrebbe esporre gli ambienti Industry 4.0 ad attacchi critici. Il dato emerge dalla ricerca “Lost in Translation: When Industrial Protocol Translation Goes Wrong”.

Conosciuti anche come traduttori di protocolli, i gateway industriali permettono ai macchinari, ai sensori e ai computer che operano nelle fabbriche di comunicare tra di loro e con i sistemi IT, sempre più connessi a questi ambienti. 

“I gateway industriali danno poco nell’occhio, ma hanno un’importanza significativa per gli ambienti Industry 4.0 e potrebbero essere identificati dai cyber criminali come un punto debole dell’infrastruttura”. Ha affermato Bill Malik, vice president of infrastructure strategy di Trend Micro. “Trend Micro ha scoperto una decina di vulnerabilità zero-day in questo settore ed è in prima fila per rendere gli ambienti OT più sicuri”.

Trend Micro Research ha analizzato cinque gateway industriali popolari focalizzati sulla traduzione di Modbus, uno dei protocolli per sistemi di controllo industriale (ICS) maggiormente utilizzati al mondo.

Come dettagliato nel report, le vulnerabilità e le debolezze identificate in questi dispositivi includono:

  • Vulnerabilità nelle autenticazioni che permettono accessi non autorizzati
  • Crittografia debole che permette di avere accesso alle configurazioni dei dispositivi
  • Deboli meccanismi di confidenzialità dei dati che danno accesso a informazioni sensibili
  • Condizioni di denial of service
  • Difetti nelle funzioni di traduzione che possono essere utilizzati per operazioni di sabotaggio

Gli attacchi che sfruttano queste problematiche potrebbero permettere di ottenere dati sensibili (ad esempio sulla produzione), sabotare o manipolare importanti processi industriali, attraverso messaggi di attacco che vengono appositamente camuffati in modo da apparire come legittimi, e quindi più difficilmente identificabili dai tradizionali sistemi di detection.

La ricerca fornisce anche una serie di importanti raccomandazioni per venditori, installatori e gli utilizzatori dei gateway industriali industriali:

  • Considerare con attenzione il design del prodotto e assicurarsi che abbia adeguate funzionalità di sicurezza, in modo che i dispositivi non siano soggetti a errori di traduzione o denial of service
  • Non fare affidamento su un unico punto di controllo per la sicurezza della rete. Combinare firewall ICS con il monitoraggio del traffico
  • Dedicare tempo a configurare e proteggere i gateway, utilizzando credenziali forti, togliendo i servizi non necessari e abilitando la crittografia dove supportata
  • Applicare la gestione della security ai gateway industriali e a tutti gli asset OT critici. Per esempio, svolgere valutazioni sulle errate configurazioni o vulnerabilità e provvedere a un patching regolare

I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA.

Ulteriori informazioni sono disponibili a questo link

Industria 4.0: gli ambienti di programmazione per robotica industriale nascondono pericolosi difetti e vulnerabilità

Il settore dell’automazione è impreparato a gestire queste criticità. Trend Micro e il Politecnico di Milano rivelano nuovi rischi e rilasciano una guida pratica per lo sviluppo sicuro di infrastrutture OT.

A cura di Federico Maggi, Senior Threat Researcher di Trend Micro

Trend Micro e il Politecnico di Milano presentano una nuova ricerca che rivela alcune pericolose funzionalità nei linguaggi di programmazione per robotica industriale e una guida pratica per ridurre la superficie di attacco grazie a un codice più sicuro, riducendo così le interruzioni di business negli ambienti OT.

Trend Micro

La ricerca, dal titolo “Rogue Automation: Vulnerable and Malicious Code in Industrial Programming”, mi vede come autore principale ed è stata condotta in collaborazione con Marcello Pogliani del gruppo di sicurezza informatica del Politecnico di Milano. La ricerca descrive come alcune caratteristiche — poco discusse nel mondo della cybersecurity — dei linguaggi di programmazione per robotica industriale possano portare a programmi di automazione vulnerabili e, d’altra parte, possono permettere a un aggressore di creare nuove tipologie di malware persistente. Questi punti deboli possono consentire agli attaccanti di prendere il controllo dei robot industriali e simili macchinari al fine di danneggiare linee di produzione o impossessarsi di proprietà intellettuale. In base alla ricerca, il mondo dell’automazione potrebbe essere impreparato a rilevare e prevenire queste criticità, perché finora non sono mai state affrontate. Inoltre, è fondamentale che il settore inizi ad adottare e seguire le best practice, per mettere in sicurezza il codice, che sono state condivise con gli industry leader come risultato di questa ricerca.

“Una volta che i sistemi OT sono collegati alla rete, applicare patch o aggiornamenti è quasi impossibile ed è per questo che una sicurezza a priori diventa un fattore critico”. Ha affermato Bill Malik, vice president of infrastructure strategies for Trend Micro. “Al giorno d’oggi, la spina dorsale dell’automazione industriale si basa su tecnologie legacy che troppo spesso contengono vulnerabilità latenti come Urgent/11 e Ripple20, o varietà di difetti nell’architettura come ad esempio Y2K. Non vogliamo limitarci a sottolineare queste sfide, ma ancora una volta assumere la guida della security nell’Industry 4.0, offrendo una guida concreta per la progettazione, la scrittura del codice, la verifica e la manutenzione attraverso strumenti in grado di scansionare e bloccare codici maligni e vulnerabilità”.

Linguaggi di programmazione che possiamo considerare “legacy”—in quanto cuore delle moderne catene di produzione — come ad esempio RAPID, KRL, AS, PDL2 e PacScript sono stati progettati senza considerare un aggressore attivo. Sviluppati decenni fa, sono ora diventati essenziali per le attività critiche di automazione nei settori automotive come nelle filiere alimentari e nell’industria farmaceutica, ma non possono essere messi al sicuro facilmente.

Le vulnerabilità non sono l’unica preoccupazione nei programmi di automazione che utilizzano questi linguaggi. I ricercatori hanno dimostrato come una nuova tipologia di malware in grado di auto-propagarsi potrebbe essere creata utilizzando uno di questi linguaggi come esempio.

Trend Micro Research ha lavorato a stretto contatto con il Robotic Operating System (ROS) Industrial Consortium — un’autorità internazionale in campo di robotica industriale — per proporre delle raccomandazioni con l’obiettivo di ridurre l’impatto delle criticità identificate .

“Molti robot industriali sono progettati per reti di produzione isolate e utilizzano linguaggi di programmazione legacy”. Ha affermato Christoph Hellmann Santos, Program Manager, ROS-Industrial Consortium Europe. “Possono essere vulnerabili agli attacchi nel momento in cui sono connessi a una rete IT. Per questa ragione, ROS-Industrial e Trend Micro hanno collaborato per sviluppare delle line guida per un corretto e sicuro settaggio delle reti per il controllo dei robot idustriali, attraverso il Robotic Operating System”.

“Lavorare con questi sistemi è un po’ come fare un tuffo nel passato: vulnerabilità adesso rare nei tradizionali sistemi IT (come le applicazioni web, ad esempio), si ripresentano attraverso questi linguaggi di programmazione, poco conosciuti ma estremamente critici. Nei prossimi anni il mondo dell’automazione industriale dovrà affrontare le sfide delle vulnerabilità che il mondo IT ha gestito negli ultimi 20 anni.”

Come dimostrano le linee guida, i programmi di automazione industriale, seppur basati su linguaggi “legacy”, possono essere scritti in diversi modi per ridurne i rischi.
Di seguito la checklist essenziale che Trend Micro e Politecnico di Milano propongono per la scrittura di programmi di automazione industriale sicuri:

  • Trattare i macchinari industriali come se fossero computer e i task program come codice sorgente potenzialmente pericoloso
  • Autenticare ogni comunicazione
  • Implementare policy per il controllo degli accessi
  • Eseguire sempre la validazione degli input
  • Eseguire sempre la sanificazione degli output
  • Implementare una gestione degli errori senza esporre i dettagli
  • Implementare una configurazione appropriata e procedure di deployment

Inoltre, Trend Micro Research e Politecnico di Milano hanno sviluppato uno strumento per rilevare codice maligno o vulnerabilità all’interno dei task program, prevenendo eventuali danni al momento della loro esecuzione.

Come risultato di questa ricerca, sono state identificate feature critiche per la sicurezza nelle principali otto piattaforme di programmazione di robot industriali e un totale di 40 istanze di vulnerabilità di codice open source. Un vendor ha rimosso il proprio programma di automazione vulnerabile e altri due sono stati avvisati, dando il via a discussioni per migliorare i propri strumenti. I dettagli delle vulnerabilità sono stati condivisi anche dal ICS-CERT alla propria community, attraverso un alert .

I risultati di questa ricerca sono stati presentati il 5 agosto al Black Hat USA e verranno illustrati anche alla conferenza ACM AsiaCCS conference a Taipei nel mese di ottobre.