ll SANS ha pubblicato un'analisi dell'attacco del 23 dicembre 2015 ad una centra elettrica ucraina:
- http://www.darkreading.com/vulnerabilities---threats/lessons-from-the-ukraine-electric-grid-hack/d/d-id/1324743.
Ho segnalato l'articolo di Darkreading perché è una pagina web dove si trova il link al pdf del SANS. E poi riporta le stesse cose ma più sinteticamente.
Io l'ho capita così: gli attaccanti hanno inviato email mirate (spear phishing) a degli addetti della centrale. Hanno anche allegato dei file (Word, Excel) con delle macro nocive. Gli addetti hanno aperto i file ed è stato l'inizio della fine.
L'articolo prosegue indicando le misure di sicurezza da prevedere per evitare questi attacchi. A me sembrano decisamente complicate. Io tornerei alle basi: se si lavora in un impianto critico, la rete industriale deve essere completamente separata da quella usata per navigare su Internet e per ricevere l'email. Se gli operatori ne hanno bisogno, date loro 2 pc collegati alle due diverse reti.
Troppo semplice? Dove sbaglio?
PS: Su LinkedIn, Damiano Bolsoni mi ha risposto dicendo che non pensa sia possibile avere due reti completamente separate. Infatti altre aree aziendali hanno la necessità di avere dati sulla produzione in tempo reale. Si possono attuare strategie di controllo di questo traffico, ma non è semplice.
Damiano Bolsoni, inoltre, mi ha fatto notare che l'attacco iniziale in Ucraina ha permesso ai malintenzionati di individuare le credenziali per usare le connessioni VPN. Se le VPN avessero avuto un meccanismo di autenticazione basato su due fattori e la rete ben segmentata, questo avrebbe migliorato le difese.
Nessun commento:
Posta un commento