Durante lo scorso anno, l’uso di chiavette USB nelle organizzazioni industriali è cresciuto del 30%. Questa tendenza è saltata all’occhio dei criminali informatici che non si sono lasciati sfuggire l’occasione: hanno infatti raddoppiato il numero di minacce progettate per essere implementate da questi dispositivi, il 79% delle quali potrebbe danneggiare impianti e macchinari. Queste sono le conclusioni principali di uno studio pubblicato di recente da uno specialista del settore.
La pandemia come causa
Il rapporto ha indicato la pandemia come la causa dell’aumento di questi rischi. Anche il lavoro da remoto ha messo sotto pressione la sicurezza informatica delle organizzazioni, ma ci sono delle differenze rispetto alle aziende del settore dei servizi. Molti sistemi di “tecnologia operativa” (OT) (ad es. macchinari e impianti industriali) sono air-gapped, ovvero la loro rete è isolata dalla connettività Internet o da altre reti che sono considerate non sicure. Ciò ha portato i dipendenti da remoto a collegare molto più frequentemente memorie flash alle apparecchiature sul posto di lavoro, per archiviare i dati e portarli a casa per lavorarci.
Gli hacker hanno notato tutto questo ed ecco perché, di tutto il malware rilevato, il 76% era composto da trojan con capacità di controllo remoto. In aggiunta, sono stati rilevati cambiamenti nelle tecniche usate rispetto agli anni precedenti. Nei documenti infetti (per lo più file Excel), che contenevano codice dannoso integrato in script e macro, è emersa la presenza di malware più sofisticato.
Tendenze preoccupanti
Nondimeno, esistono svariati motivi per cui tutte le tendenze evidenziate nel rapporto sono preoccupanti.
In primo luogo, perché alcune delle organizzazioni con impianti industriali sono considerate infrastrutture critiche: forniscono infatti servizi essenziali alla società, come l’approvvigionamento energetico, la cui interruzione può avere conseguenze dirette per la popolazione. L’ultimo grave incidente si è verificato presso l’impianto di depurazione di Oldsmar in Florida, in cui i criminali informatici sono riusciti ad alterare da remoto i livelli di sodio nella fornitura.
In secondo luogo, perché ci ricorda che alcuni degli attacchi informatici industriali più dannosi del passato hanno interessato chiavette USB, come il caso di Stuxnet. L’attacco ha paralizzato le operazioni in un impianto nucleare in Iran quando un dipendente, reclutato come spia da un’agenzia di intelligence, ha introdotto il malware tramite una connessione USB.
Infine, in terzo luogo, perché la pandemia ha invertito la tendenza alla riduzione del ricorso alle chiavette USB e di conseguenza al malware veicolato tramite esse. Sebbene l’uso delle chiavette sia sempre più sporadico poiché sono sostituite dallo storage Cloud, nelle organizzazioni industriali sono ancora molto diffuse a causa delle caratteristiche air-gapped degli impianti menzionate sopra.
Policy sull’uso e protezione completa degli endpoint
Il primo passo per ridurre al minimo il rischio di minacce consiste nell’adottare una policy severa con linee guida sull’uso delle chiavette USB nell’organizzazione. Queste prassi devono includere le apparecchiature industriali a cui possono essere collegate, i livelli di ruolo e le autorizzazioni sulla base dei profili dei dipendenti, limitandone l’uso ai dispositivi forniti e verificati dal team IT o a MSP che possono essere usati solo su portatili messi a disposizione dall’azienda e protetti in maniera appropriata.
Tuttavia, queste linee guida potrebbero non essere sufficienti in caso di minacce pericolose. Se gli impianti sono infrastrutture critiche, possono essere l’obiettivo di gruppi APT connessi allo stato che impiegano strumenti e malware sofisticati in grado di eluderle. In un contesto di questo tipo, le organizzazioni devono adottare la sicurezza degli endpoint più avanzata possibile e avere totale visibilità sulla loro attività, compresa la connettività USB.
WatchGuard Endpoint Security (ora disponibile su WatchGuard Cloud) offre una risposta a questa esigenza. Il servizio Zero Trust per le applicazioni nelle soluzioni WatchGuard EDR e WatchGuard EPDR prima classifica i processi come malware o affidabili e poi consente l’esecuzione su ogni endpoint solo dei processi affidabili. Ciò permette di ridurre notevolmente le possibilità che il malware su una chiavetta USB passi inosservato e si infiltri in un computer. Di conseguenza, i criminali informatici avranno molte meno possibilità di colpire gli impianti industriali.