Due volte l'anno i team dei Nozomi Networks Labs valutano il panorama delle minacce IoT , sfruttando una vasta rete di honeypots distribuiti a livello globale, sensori di monitoraggio wireless, telemetria in entrata, partnership, threat intelligence e altre risorse. Ecco i punti salienti del nostro ultimo rapporto, relativo alla seconda metà del 2024.
Leggete il rapporto completo per avere maggiori informazioni su:
Importante! Se siete clienti di Nozomi Networks , siete coperti dalle vulnerabilità e dalle minacce contenute in questo report. Asset intelligence e threat intelligence su di esse sono integrate nella nostra piattaforma dal team dei laboratori.
Le industrie si affidano sempre più alle tecnologie wireless per le operazioni critiche, ma la mancanza di visibilità sulle comunicazioni via etere rende i proprietari degli asset vulnerabili alle minacce che sfruttano le reti wireless non monitorate.
Tra le principali vulnerabilità ICS di questo periodo, quattro sono state contrassegnate come vulnerabilità sfruttate note (Known Exploited Vulnerabilities, KEV) e 20 avevano un punteggio Exploit Prediction Scoring System (EPSS) che indicava una probabilità >1% di essere sfruttate in natura - una soglia considerata alta.
Le note debolezze associate ai principali CVE rafforzano la necessità di integrare le migliori threat intelligence disponibili threat intelligence OT nella vostra piattaforma cybersecurity per garantire la possibilità di rilevare automaticamente i problemi noti.
I due settori più colpiti dalle nuove CVE ICS - Produzione critica ed Energia - sono sempre in testa ai titoli dei giornali e agli avvertimenti governativi relativi agli attacchi. L'apparizione del settore delle comunicazioni alterzo posto potrebbe essere legata al tifone salino.
Sulla base degli avvisi raccolti dalla telemetria anonimizzata, la manipolazione dei dati è stata di gran lunga la tecnica più comune rilevata negli ambienti dei clienti, con una frequenza tre volte superiore rispetto alle altre minacce più rilevate.
È stato anche il metodo di attacco dominante rilevato in tre settori principali: Produzione, Trasporti ed Energia, Servizi e Rifiuti.
La forzatura brutale delle credenziali SSH e Telnet predefinite che garantiscono privilegi elevati è ancora la tecnica principale utilizzata dai criminali informatici per ottenere l'accesso ai dispositivi IoT , il che ci ricorda di cambiare immediatamente le credenziali predefinite e di applicare una forte gestione delle credenziali
Una volta entrati, gli aggressori utilizzano principalmente comandi di shell per esplorare l'ambiente o ottenere la persistenza. Abbiamo anche osservato comandi per rendere la directory .ssh facile da modificare, raccogliere informazioni di base sul sistema compromesso e sostituire le chiavi SSH pubbliche con una nuova chiave che solo loro possono usare per connettersi.
Ecco le azioni specifiche che i difensori possono intraprendere per eliminare i punti ciechi IoT , massimizzare le risorse limitate, aumentare la resilienza operativa e ridurre il rischio aziendale.