KL ICS CERT: un anno di lavoro e impegno

Il primo anniversario di ICS CERT rappresenta l’occasione giusta per ricordare perché si tratta di una iniziativa così importante, in cosa consiste e cosa la rende diversa dalle altre.

Un anno fa abbiamo inaugurato il nostro centro di risposta agli incidenti informatici che coinvolgono infrastrutture critiche e industriali, il Kaspersky Lab ICS CERT. Dopo un anno di grandi risultati, è il momento perfetto per spiegare meglio l’importanza di questo centro, di cosa si occupa e perché è diverso dagli altri.

Perché KL ICS CERT?

Lo scopo principale di ICS CERT è quello di coordinare le attività delle case produttrici dei sistemi di controllo industriali (ICS), dei proprietari e degli operatori delle attrezzature industriali e, infine, dei ricercatori in sicurezza informatica. Nonostante il centro abbia aperto da poco, sono già state avviate importanti collaborazioni con gli attori principali del mercato ICS, con centri di coordinamento di zona (ad esempio, l’US ICS-CERT negli Stati Uniti o il JPCERT/CC in Giappone) e con organi legislativi statali ed internazionali.

In cosa KL ICS CERT è diverso dagli altri centri?

Innanzitutto, nel campo della sicurezza informatica industriale tutti gli altri team di risposta alle emergenze (CERT – Computer Emergecny Response Team) sono strutture a gestione statale o divisioni della case produttrici di ICS. Nel primo caso, alcuni limiti vengono imposti dagli interessi perlopiù territoriali di uno stato, nel secondo caso ci si preoccupa solamente di risolvere problematiche relative ai prodotti ICS interessati. Invece non ci sono restrizioni che ci riguardano.

In secondo luogo, è meno probabile che gli altri CERT facciano ricerca su vulnerabilità o analisi del panorama delle minacce. I loro sforzi si concentrano sulla gestione delle informazioni sin merito a minacce ricevute dall’esterno, ad esempio da ricercatori di terze parti e case produttrici di ICS. La nostra situazione è diversa: essendo una divisione di uno dei vendor più importanti al mondo in sicurezza informatica, abbiamo a disposizione risorse, tecnologie e competenze per effettuare ricerche indipendenti su vulnerabilità e per individuare minacce. E soprattutto, abbiamo l’esperienza necessaria, in quanto Kaspersky Lab è attiva da oltre vent’anni contro la lotta alle minacce, e da alcuni anni ci siamo concentrati sulle minacce che colpiscono le infrastrutture industriali.

Processiamo i big data riguardanti le minacce correnti e potenziali, provenienti da risorse di tutto il mondo, e li analizziamo con tool di apprendimento automatico e algoritmi; i nostri esperti poi raffinano i risultati. Il nostro ICS CERT identifica le minacce che colpiscono nello specifico i sistemi di controllo industriali.

Cosa fa esattamente il KL ICS CERT?

Il nostro CERT è attivo in vari campi e gestisce diverse attività. Principalmente ci occupiamo di condividere le nostre competenze con il resto del settore, mostrare ai partner le possibilità tecniche e promuovere il progetto a professionisti della sicurezza ICS, ingegneri e operatori.

Ricerca di vulnerabilità all’interno dei sistemi industriali – I nostri esperti fanno ricerca costante su tutte le tipologie di sistemi di controllo industriali e sui dispositivi appartenenti all’Internet delle Cose (IoT), analizzano il loro livello di sicurezza e vanno alla scoperta di nuove vulnerabilità. Lo scorso anno abbiamo individuato oltre 100 vulnerabilità zero-day e abbiamo poi informato le corrispondenti case produttrici. Grazie ai nostri sforzi, fino a ottobre di quest’anno sono state risolte 54 vulnerabilità, rendendo il mondo un posto un po’ più sicuro.

I risultati del nostro lavoro e della nostra ricerca sono stati menzionati nel report annuale dello US ICS-CERT. Di recente il MITRE ha indicato la nostra compagnia come un punto di riferimento nel campo delle vulnerabilità (CVE Numbering Authority o CNA), e così Kaspersky Lab è entrata nella lista dei ricercatori di sicurezza della CNA: siamo la sesta azienda al mondo a ottenere questo riconoscimento.

Identificazione e analisi di minacce, maggiori informazioni per il settore – Identifichiamo e analizziamo gli attacchi perpetrati alle compagnie industriali (attacchi mirati o diffusi che colpiscono i sistemi ICS), analizziamo le fonti di infezione dei sistemi SCADA e ricerchiamo malware rivolti ai sistemi industriali; avvisiamo partner e aziende in merito alle minacce riscontrate. Il nostro sito Internet del CERT ha già pubblicato due report semestrali riguardanti il panorama delle minacce ICS e pubblica regolarmente avvisi sulle minacce identificate e report sugli attacchi individuati rivolti alle compagnie industriali.

Analisi degli incidenti – Durante le indagini sugli incidenti riguardanti le compagnie industriali, cerchiamo di individuare le cause, analizzare gli strumenti e le tecniche impiegate dai cybercriminali, consigliamo come rimediare e prevenire nuovi incidenti. Durante lo scorso anno, abbiamo aiutato aziende di varie settori in tutto il mondo (metallurgico, petrolchimico, materiali di costruzione).

Consigli sui livelli di protezione dei sistemi industriali – Il nostro CERT è specializzato nel consigliare il livello di protezione adeguato per i sistemi di controllo industriali. Inoltre, abbiamo sviluppato alcuni strumenti che consentono alle aziende di testare in maniera indipendente i propri sistemi riguardo a particolari vulnerabilità. La nostra idea è di accrescere in un prossimo futuro il numero di questi tool.

Cooperazioe con industrie e sistemi legislativi statali – I nostri esperti aiutano a stabilire i requisiti che industrie e sistemi legislativi statali dovrebbero implementare per garantire un livello di protezione adeguato delle strutture industriali. Durante quest’anno abbiamo collaborato attivamente con ICC, IEEE, ITU E la OPC Foundation e gli standard e le tecnologie elaborate hanno subito l’influenza del parere dei nostri esperti.

Formazione – I nostri esperti del CERT sviluppano e tengono corsi formativi rivolti a ingegneri e operatori ICS, così come a specialisti della sicurezza informatica utilizzati da compagnie industriali; inoltre, abbiamo lavorato con istituzioni educative. All’inizio del 2017, ad esempio, i nostri esperti hanno tenuto un workshop di una settimana sulla sicurezza ICS a studenti universitari, di master e insegnati del MIT. Ci sono preparativi in corso per un prossimo workshop al MIT, per gennaio-febbraio 2018, e speriamo di poter portare a termine un altro per questo mese all’Università di California, Berkeley. Infine, stiamo elaborando un programma di formazione congiunto con la Fraunhofer Society e stiamo lavorando per creare un vero e proprio master in alcune università russe.

Capture the flag –  I concorsi nel campo dell’information security comprendono simulazioni di attacchi hacker a sistemi di controllo industriali differenti e ciò aiuta molto a comprendere come proteggere adeguatamente tal infrastrutture. Per questo motivo organizziamo periodicamente gare e concorsi tra specialisti in sicurezza informatica con il progetto Industrial CTF (Capture The Flag). Il primo evento di questo tipo ha avuto luogo in autunno 2016 e ha interessato soprattutto la Russia, ma alle qualifiche del secondo CTF hanno partecipato 180 squadre provenienti da Russia, Cina, India, Europe e America Latina. Per l’Industrial CTF 2017 il numero di partecipanti è  stato il più alto fino ad ora, con quasi 700 squadre provenienti da tutto il mondo. La finale ha avuto luogo lo scorso 24 ottobre 2017 a Shanghai in occasione della GeekPwn International Conference a cui hanno partecipato squadre provenienti da Giappone, Corea e Cina.

Per concludere, possiamo tranquillamente affermare che il primo anno di ICS CERT di Kaspersky Lab è stato intenso e produttivo. Le nostre congratulazioni a tutti coloro che vi hanno lavorato questo primo anno, i risultati sono stati eccellenti e speriamo che migliorino ancora nel futuro!

 

Consigli