Con il Rhebo Industrial Security Assessment, le aziende industriali e le infrastrutture critiche ricevono un'analisi completa delle proprie reti industriali. Vengono identificati tutti i componenti, i collegamenti e le operazioni sospette e non sicure. Ciò fornisce ai responsabili della sicurezza informatica le basi per porre immediatamente rimedio alle minacce e proteggere il sistema di controllo industriale.
I seguenti 5 esempi descrivono i risultati tipici degli audit Rhebo e le anomalie identificate.
Scoprite qui quali anomalie tecnicamente indotte mettono a rischio la produttività.
Prevenzione delle infezioni da malware
-
Analisi
Rhebo Industrial Protector ha ripetutamente registrato la comunicazione tramite i tipi di protocollo VNC, NetBIOS e SMB. Questi protocolli sono comunemente utilizzati dai dispositivi Windows per la configurazione remota e la condivisione dei file.
La loro presenza non è solitamente auspicabile nelle reti industriali.
-
Rischio di sicurezza
I protocolli sono spesso utilizzati dal malware (ad esempio NotPetya e WannaCry). Se i dispositivi colpiti hanno accesso diretto o indiretto a Internet, è possibile che si verifichi una compromissione e un tentativo di infezione.
Impatto:
- Perdita dovuta alla perdita di produzione
- Mancanza di alimentazione a causa di un blackout
- Costi di ripristino e riparazione del sistema
Disattivazione delle porte non sicure
-
Analisi
Rhebo Industrial Protector registra ripetutamente la comunicazione attraverso porte per le quali sono note vulnerabilità di sicurezza. In diversi casi, questo messaggio è correlato a modelli di comportamento sospetti.
Ad esempio, in un caso è stata rilevata una comunicazione attraverso una porta sospetta utilizzata dal server WBT di Windows per il protocollo RDP (Remote Desktop Protocol).
Durante la comunicazione sono stati trasmessi solo pochi pacchetti, il che non è un comportamento caratteristico delle connessioni RDP.
-
Rischio di sicurezza
Le porte soggette a vulnerabilità di sicurezza sono regolarmente utilizzate da trojan e malware per la comunicazione. Le caratteristiche della comunicazione corretta (breve e criptata) avvalorano ulteriormente l'ipotesi di una comunicazione malevola e di una compromissione dei componenti della rete.
Impatto:
- Perdita dovuta alla perdita di produzione
- Mancanza di alimentazione a causa di un blackout
- Costi di ripristino e riparazione del sistema
- Perdita di fiducia
Eliminazione delle vulnerabilità del software
-
Analisi
Durante l'analisi, è stato riconosciuto che i dispositivi comunicano attraverso un software per il quale sono note gravi vulnerabilità di sicurezza nella versione attuale.
Le porte utilizzate e i modelli di accesso risultavano particolarmente sospettosi.
-
Rischio di sicurezza
Le vulnerabilità di sicurezza note consentono agli aggressori informatici di bloccare il sistema o di eseguire codice arbitrario, come il malware. La sicurezza del sistema è quindi fortemente minacciata.
Impatto:
- Perdita dovuta al fermo produzione
- Mancanza di alimentazione a causa di un blackout
- Costi di ripristino del sistema e di riparazione degli asset
Blocco degli utenti di rete sospetti
-
Analisi
Un dispositivo della rete di controllo industriale ha un indirizzo IP di fallback assegnato in modo indipendente.
Questa anomalia si verifica spesso quando un nuovo dispositivo non riceve un indirizzo IP dal server DHCP autorizzato, per vari motivi.
L'unità non è chiaramente conosciuta nella rete.
-
Rischio di sicurezza
Esiste il rischio che il dispositivo sia stato posizionato con l'intento di spiare la rete o installare malware. Inoltre, i dispositivi sconosciuti possono compromettere la funzionalità della rete con la loro comunicazione e quindi causare malfunzionamenti o guasti.
Impatto:
- Perdite dovute al furto di know-how
- Perdita dovuta all'interruzione della produzione
- Perdita di fiducia
Disabilitazione delle richieste Internet nascoste
-
Analisi
Rhebo Industrial Protector ha registrato un gran numero di query DNS verso server Internet che si trovano negli intervalli di indirizzi di varie CDN (Content Distribution Networks).
I server richiesti si trovano su Internet e non è chiaro a quale operatore appartengano.
-
Rischio di sicurezza
Esiste il rischio che malware o ransomware vengano installati nella rete attraverso tali server. Inoltre, gli aggressori informatici possono sfruttare questo accesso per lo spionaggio industriale.
Impatto:
- Perdite dovute al furto di know-how
- Costi a lungo termine dovuti ai tempi di inattività
- Perdita di fiducia