La “ricerca” si sta interessando alla cybersecurity industriale, tema quanto mai attuale e critico, visti i recenti dati rilasciati del Rapporto Clusit 2024, che rivelano una situazione preoccupante per l’Italia, dove nel 2023 è andato a segno l’11% degli attacchi globali colpendo principalmente i settori governativo e manifatturiero.
Ben vengano allora progetti che puntano a introdurre soluzioni di cybersecurity industriale innovative come Emphasis Evolution, realizzato grazie alla collaborazione tra Relatech, attraverso il suo polo di ricerca Ithea, e il Dipartimento Dimes dell’Università della Calabria.
Emphasis Evolution (Effective Malware Prevention through Honeypot Assisted Analysis) nasce sulla base di uno studio che immaginava lo sviluppo di un sistema di difesa informatica basato sul concetto di “honeypot”, attraverso la realizzazione di un digital twin (gemello digitale/virtuale) del sistema di produzione.
Esponendo in rete il clone del sistema di produzione è possibile osservare e studiare le mosse degli attaccanti, attivando così azioni di prevenzione degli attacchi informatici per contrastare in modo più efficace le minacce.
Marco Galli, Head of Cyber Security e Responsabile del SOC Relatech, il Security Operation Center del Gruppo, ci aiuta ad entrare nel merito di questo progetto, spiegandoci il concetto dell’honeypot e del digital twin per la cybersecurity industriale, grazie alla sua lunga esperienza nel campo della sicurezza informatica e dell’hacking etico.
Il valore di Emphasis Evolution come progetto di ricerca per la cybersecurity industriale
Il progetto è partito nel 2019 sotto forma di prototipo sperimentale che teorizzava, appunto, lo sviluppo di un sistema di difesa cybersecurity partendo dal concetto di “honeypot” - una sorta di esca per attrarre gli hacker come "un vaso di miele" attrae le api – per osservare e registrare le loro attività malevole.
Lo scopo finale del progetto – rinominato in seguito Emphasis Evolution, all’interno del Bando Ingegno della Regione Calabria - è stato quello di incrementare il livello di maturità tecnologica del primo prototipo di piattaforma Emphasis, estendendone l’architettura per renderla una soluzione utilizzabile anche in ambito industriale, in grado di creare Digital Twin di sistemi OT.
Si è quindi creato uno strumento fruibile da parte di aziende e istituzioni per realizzare soluzioni di cybersecurity di nuova concezione, da affiancare ai meccanismi di sicurezza già in essere nelle loro realtà.
Le principali innovazioni apportate hanno riguardato l’ingegneria del software, con espresso riferimento alla progettazione e sicurezza dei sistemi al fine di migliorare la capacità di rilevamento e risposta alle minacce - dimostrandone l’applicabilità in contesti reali - in ottica di Cyber Threat Intelligence.
Per questo Emphasis Evolution, come progetto di ricerca, assume un importante valore strategico.
Il concetto di “honeypot” e il suo ruolo in cybersecurity
“L’honeypot, letteralmente barattolo del miele, è una tecnica molto utilizzata in cybersecurity”, spiega Marco Galli. “È un meccanismo che funge da esca progettato per attirare gli attaccanti in modo che gli analisti della sicurezza possano raccogliere informazioni sulla loro identità, sui metodi di attacco e sugli strumenti che utilizzano per sferrare i loro attacchi”.
Gli honeypot sono creati intenzionalmente per apparire vulnerabili e allettanti per gli aggressori, imitando un obiettivo come una rete, un server, un’applicazione o un sistema di produzione.
L’organizzazione può quindi utilizzare queste informazioni per migliorare la propria strategia di cybersecurity, identificare potenziali punti ciechi nell’architettura esistente, prioritizzare e concentrare gli sforzi di sicurezza in base alle tecniche utilizzate o alle risorse più comunemente prese di mira.
In altre parole, un honeypot consiste in un sistema software o hardware caratterizzato da vulnerabilità progettate appositamente per renderlo appetibile per gli hacker.
“Molti Soc si basano su honeypot, hanno molti server pubblici in diversi Paesi che hanno lo scopo di registrare gli attacchi, permettendo di individuare l’IOC, ossia l’indicatore di compromissione”, spiega Galli. “Queste informazioni inserite nell’ambiente di difesa permettono di rilevare l’esistenza di un attacco in corso e, in caso affermativo, quale vettore sta utilizzando, consentendo conseguentemente di contrastare l’attacco prima che penetri il sistema”.
Emphasis Evolutionconsente di estendere questo approccio all’ambito industriale, grazie alla possibilità di realizzare il digital twin di un sistema di produzione o di parti di esso.
Perché e come realizzare un digital twin
“Il Digital Twin è un clone digitale di un’infrastruttura fisica, una sorta di fotocopia in un mondo virtuale che funziona come quello reale”, afferma Galli.
“Di Digital Twin se ne parla da tempo, ma, a oggi, a parte alcuni progetti di rilievo portati avanti da grandi realtà, le esperienze importanti si contano ancora sulle dita di una mano”.
In ambito industriale Siemens ha fatto da apripista e al suo interno vi sono la tecnologia del gemello digitale, ovvero la disponibilità di ambienti virtuali dove i programmatori industriali possono creare modelli per sviluppare ed eseguire i loro test, esiste da tempo. La maturità tecnologica ha consentito di estenderne la portata, consentendo di implementare gemelli digitali addirittura di interi sistemi di produzione.
Tuttavia, data la complessità, – si pensi a replicare migliaia di dispositivi appartenenti a reti spesso disomogenee – solo poche grandi realtà possono investire in questi progetti. Si tratta, inoltre, di digital twin di infrastrutture mirate, realizzati ad hoc, non applicabili quindi ad altri sistemi.
Il Digital Twin per mettere in sicurezza i sistemi industriali
Principalmente le aziende sono spinte a creare gemelli digitali dei loro sistemi di produzione per fare stress test e analisi del rischio, migliorare la progettazione e i processi di produzione.
“La più grande difficoltà in un progetto di digital twin è, infatti, creare un sistema fedele alla realtà”, prosegue Galli. “Un altro fattore critico è capire chi può essere interessato a quel tipo di infrastruttura e come un malintenzionato possa interagire in modo malevolo con essa: da qui l’idea di creare un Digital Twin da esporre in rete come honeypot”.
Ebbene, l’obiettivo del progetto Emphasis Evolution è realizzare un modello che si adatti a diversi ambienti, al fine di creare cloni digitali indipendentemente dalla tipologia dell’architettura configurata nella realtà. Quindi non un digital twin su commissione, ma una piattaforma di sviluppo per costruire gemelli digitali.
La digitalizzazione, il web e la convergenza IT/OT alla base della cybersicurezza industriale
In ambito industriale i sistemi sono altamente vulnerabili perché le infrastrutture non sono state create nell’ottica della sicurezza, ma della produttività, poiché le reti industriali, non essendo collegate con il mondo esterno, non erano esposte a rischi e minacce informatiche.
Con la digitalizzazione e l’Industria 4.0 si è, in seguito, creata l’esigenza di mettere in comunicazione il mondo OT (Operational Technology) con quello dell’IT, ovvero dei sistemi di gestione del business aziendale.
“Nella maggior parte dei casi, però, almeno in una fase iniziale, questa convergenza è stata realizzata in maniera ‘brutale’, senza pensare alla sicurezza”, afferma Galli. “Ancora oggi, gran parte delle infrastrutture industriali, anche a causa dell’obsolescenza dei sistemi hardware e software, presentano un alto livello di vulnerabilità”.
Molte infrastrutture industriali sono esposte su Internet per necessità, per esempio laddove si richiede un tipo di assistenza remota o un intervento di manutenzione, altre, invece, sono esposte per errore, poiché si tratta di ambienti dove non c’è mai stata la cultura della cybersicurezza, a differenza del mondo IT dove è partita molto prima.
Gli attacchi alle infrastrutture industriali: rischiosi anche per la vita umana
“Oggi ci sono motori di ricerca specifici che consentono di trovare dispositivi industriali esposti in rete, raggiungibili da chiunque su Internet, compresi i cyber criminali, i quali possono venire facilmente a conoscenza di vulnerabilità da sfruttare anche sui sistemi industriali esposti”, ci dice Galli.
I danni potenziali, nonché il rischio anche per le vite umane possono essere molto gravi. “A differenza di un attacco ransomware, che ha il fine di ottenere un riscatto in denaro bloccando un impianto e causando un danno economico e di immagine, un cyber attacco che arresta l’impianto di ossigenazione in un ospedale o colpisce il braccio di un robot causa un impatto diretto sulla salute e sicurezza delle persone”, spiega Galli.
“Si pensi a impianti strategici come una diga, se non c’è un controllo puntuale di ogni dispositivo, per esempio una valvola di regolazione del flusso, il rischio è altissimo con problemi di sicurezza non solo per le persone, ma anche di tipo ambientale, oltre che di blocco o manomissione dell’impianto”.
I risultati di Emphasis Evolution
Il primo obiettivo del progetto era far capire che il gemello digitale dell’infrastruttura industriale esposta su web, realizzato con il modello messo a punto grazie a Emphasis Evolution, fosse reale.
“L’obiettivo è stato raggiunto, visto che gli attaccanti hanno riconosciuto l’infrastruttura di produzione come reale e non come gemello digitale”, afferma Galli. “Non si sarebbero mai fermati per sferrare un attacco, se si fossero accorti che si trattava di un honeypot”.
Il secondo obiettivo era quello di registrare la tipologia degli attacchi e comprenderne la natura, modulando di conseguenza i prodotti e le soluzioni all’interno dell’honeypot al fine di capire le mosse degli attaccanti e anticipare eventuali attacchi ad altre infrastrutture.
Siamo in ambito di prevenzione, la cosiddetta Cyber Threat Intelligence, un altro pillar della cybersecurity insieme al concetto di honeypot. Le informazioni raccolte vengono registrate, analizzate e ridistribuite sotto forma di indicatori di compromissione (IOC).
Benefici e sviluppi futuri
Il progetto Emphasis consente, dunque, di realizzare in tempi rapidi il modello digitale di una qualsiasi struttura informatica o industriale.
Creando un honeypot IT/OT ed esponendolo in rete si preserva l’infrastruttura reale, ottenendo anche un vantaggio competitivo per l’azienda in caso di attacco.
“Si tenga presente che la più grande difficoltà dei Soc è riuscire ad accorgersi di un attacco velocemente per evitare che si creino danni importanti: si consideri che da una mail di phishing per prendere il controllo di un Pc servono tre secondi, per l’intera infrastruttura servono sei minuti, e i tempi di reazione di un Soc sono difficilmente in linea con le tempistiche in gioco”, conclude Galli.
“Il nostro servizio ReSOC è al momento unico, grazie alla presenza all’interno del Gruppo di specialisti di alto livello in cybersecurity sia IT che OT Industriale”.
Relatech, nata come software house nel 2001, è oggi tra i player di riferimento per la digital transformation delle imprese, grazie a elevate competenze e know-how derivanti dalle società parte del Gruppo, specializzate in diversi ambiti tra cui della cybersecurity IT/OT.
Fondamentale è anche la collaborazione con l’Ecosistema scientifico dei centri di ricerca e degli atenei, tra cui l’Università della Calabria – dove Relatech ha uno spin off e uffici operativi - e con cui ha avviato questo importante progetto per la realizzazione di una piattaforma di sviluppo di digital twin.
A monte serve sempre una visione strategica per la cybersecurity
La prevenzione, tuttavia, è solamente uno dei tasselli di una più ampia strategia per la cybersicurezza, che deve anche comprendere un adeguato percorso di formazione delle persone coinvolte per creare consapevolezza, oltre alla capacità di realizzare infrastrutture in grado di far fronte all’errore umano, capaci, dunque, di gestire l’imprevedibile e di contenere il danno.