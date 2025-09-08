Questo articolo è stato sviluppato con il contributo di Jeff Kuo e Kelsey Oliver.
Gli attori delle minacce più sofisticate al mondo si muovono più velocemente, operano in modo più silenzioso e prendono di mira il cuore pulsante della società moderna: la tecnologia operativa (OT) e le infrastrutture critiche. I fatti sono chiari: molti ransomware, minacce avanzate persistenti (APT) e gruppi di criminalità informatica vanno oltre il furto di dati, puntando a interruzioni fisiche e persino al sabotaggio. La convergenza tra IT e OT, guidata dalle richieste aziendali, ha creato una superficie di attacco vasta e ad alto rischio. Le vulnerabilità armate (CVE) vengono sfruttate a velocità vertiginosa, spesso entro giorni o ore dalla divulgazione.
Questo blog unisce informazioni di prima linea da IBM X-Force e nuovi dati relativi alle violazioni temporali scoperti durante il sondaggio Cost of a Data Breach 2025.
Per il Cost of a Data Breach Report 2025 di IBM, i nostri partner di ricerca del Ponemon Institute hanno studiato oltre 6.485 violazioni. Di queste organizzazioni, il 15% ha indicato che l'incidente ha influenzato il loro ambiente OT e, di quel gruppo, quasi un quarto (23%) ha riferito che l'incidente ha causato danni ai loro sistemi o attrezzature OT.
Non sorprende che le organizzazioni stiano riscontrando un impatto sui loro ambienti OT a seguito di una violazione. Negli ultimi anni si sono verificati numerosi esempi di attori delle minacce che hanno causato interruzioni OT in vari settori:
La sofisticazione tecnica e la persistenza degli avversari moderni creano il potenziale per una disgregazione simultanea e multivettoriale, con effetti a cascata sulla sicurezza fisica, sulla conformità normativa (ad esempio, NERC CIP, NIST CSF, IEC 62443) e l'erosione della fiducia pubblica nelle infrastrutture critiche.
Gli avversari di oggi sono più diversificati, specializzati e aggressivi che mai, e combinano risorse degli stati nazionali, innovazione nel campo della criminalità informatica e opportunismo degli hacktivisti. I loro playbook sono in continua evoluzione e nuovi gruppi e alleanze si uniscono agli attori legacy per minacciare le infrastrutture critiche in tutto il mondo.
Gli attori delle minacce che cercano di causare interruzioni operative prendono di mira uno spettro ristretto di vulnerabilità, colpendo prevalentemente dispositivi rivolti al perimetro come concentratori VPN, gateway desktop remoti e convertitori di protocolli OT. Questi CVE, una volta armati, forniscono agli attaccanti l'esecuzione remota del codice non autenticato, il controllo a livello radice dei dispositivi e spesso consentono il bypass diretto dei meccanismi legacy di autenticazione e controllo degli accessi. L'impatto operativo è amplificato dal fatto che molte di queste vulnerabilità rimangono senza patch negli ambienti critici a causa dei requisiti di operatività dei dispositivi, dei ritardi nelle patch dei fornitori o delle lacune nella visibilità degli asset.
Inoltre, la convergenza tra IT e OT, la proliferazione di strumenti di gestione remota e l'integrazione con fornitori terzi hanno creato nuove vie laterali per gli attaccanti. I partner compromessi della supply chain o gli integratori terzi sono utilizzati come punti di ingresso affidabili; i servizi di accesso remoto dei fornitori esposti e i firewall mal configurati erodono ulteriormente la segmentazione statica. Gli avversari sfruttano ponti IT/OT affidabili, dispositivi sul campo non sicuri e persino laptop di manutenzione per ottenere accesso diretto alle reti di controllo dei processi e ai sistemi di sicurezza. Questa superficie di attacco in evoluzione rende insufficienti i modelli di sicurezza perimetrali legacy, sottolineando la necessità del monitoraggio dinamico della rete, della scoperta continua degli asset e di un'architettura informata sulle minacce.
I dati dell'X-Force Vulnerability Database indicano che sono state divulgate 670 vulnerabilità nel primo semestre del 2025 che potrebbero avere un impatto sugli ambienti OT e di queste, l'11% ha un indice di gravità CVSS "critico" (punteggio CVSS compreso tra 9,0 e 10,0). Inoltre, un quinto (21%) delle vulnerabilità critiche contiene codice di exploit pubblicamente disponibile.
Quest'anno ci sono stati esempi notevoli di sfruttamento di vulnerabilità OT critiche:
Questi esempi illustrano l'importanza di rimanere informati sulle vulnerabilità che possono essere presenti sui radar degli attori delle minacce. X-Force ha valutato vari forum online, mercati, canali Telegram, chat room e discussioni per rivelare i CVE più menzionati nel primo semestre 2025 che potrebbero influenzare gli ambienti OT/ICS. Questi insight potrebbero aiutare le organizzazioni nelle loro strategie di gestione delle patch.
Dei 10 CVE più menzionati e divulgati nel primo semestre 2025 che potrebbero influenzare le OT, il 90% è stato attivamente sfruttato e il 70% è stato attivamente sfruttato dagli APT. Ad esempio, il CVE più citato, CVE-2025-0282, secondo quanto riferito, è stato sfruttato da UNC5221, un "sospetto attore di spionaggio legato alla Cina". Questa vulnerabilità permette agli attaccanti non autenticati di ottenere un primo punto di appoggio nella rete interna dietro un dispositivo VPN di connessione sicura vulnerabile. Gli attaccanti potrebbero quindi muoversi lateralmente nella rete e potenzialmente influenzare i sistemi di controllo industriale. La seconda vulnerabilità più menzionata, CVE-2025-31324, è stata segnalata come attivamente sfruttata da Chaya_004, "un autore di minacce cinese". Questa vulnerabilità che interessa il SAP NetWeaver Visual Composer potrebbe permettere a un attaccante di eseguire codice da remoto. Molte organizzazioni industriali utilizzano il SAP per la pianificazione delle risorse aziendali (ERP) e la gestione della supply chain (SCM), che possono interagire direttamente con i sistemi OT o influenzarli indirettamente.
Il 2025 rappresenta un anno decisivo per la sicurezza degli OT e delle infrastrutture critiche. La convergenza di avversari motivati tra stati nazionali, ecosistemi ransomware in rapida evoluzione e lo sfruttamento persistente di un insieme ristretto di vulnerabilità ad alto impatto hanno messo in luce debolezze fondamentali negli ambienti OT legacy. Gli attaccanti ora bypassano regolarmente le tradizionali difese perimetrali, sfruttando la compromissione della supply chain, il furto di credenziali e un profondo movimento laterale per ottenere risultati critici, e persino critici per la sicurezza.
Questo landscape di minacce richiede alle organizzazioni di rivedere radicalmente il modo in cui viene gestito il rischio OT. La cybersecurity deve spostare oltre la conformità e i controlli a casellario, per passare a un modello di difesa basato sull'intelligence e specifico per ogni settore. La sopravvivenza non consiste più solo nell'impedire l'accesso iniziale; richiede un rilevamento rapido, un contenimento efficace e un ripristino resiliente, il tutto sostenuto da un impegno esecutivo continuo e da una governance a livello di consiglio di amministrazione.
La resilienza operativa nel 2026 e oltre sarà determinata dalla capacità di un'organizzazione di dare priorità alle vulnerabilità giuste, simulare scenari di attacco reali, imporre controlli stratificati e guidare la responsabilità della cybersecurity dalla sala di controllo alla sala riunioni. La posta in gioco è esistenziale: la continuità del servizio, la conformità alle normative, la sicurezza fisica e la fiducia del pubblico dipendono da una strategia di difesa informatica OT proattiva e adattiva. Incoraggiamo le organizzazioni a esaminare le seguenti raccomandazioni:
1. Gestione iper-prioritaria delle patch
2. Mappa le minacce al tuo settore
3. Red team come loro
4. Difesa a più livelli, non “sicurezza tramite checkbox”
5. Approvazione del consiglio di amministrazione e test nel mondo reale
Newsletter Think
Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.
L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.
Scopri le minacce più recenti e rafforza le tue difese cloud con il report X-Force Cloud Threat Landscape.
Scopri come affrontare le sfide e sfruttare la resilienza dell'AI generativa nella cybersecurity.
Proteggi la tua organizzazione dalle minacce globali con il team di hacker, responder, ricercatori e analisti esperti di minacce di IBM X-Force.
Utilizza le soluzioni IBM per il rilevamento e la risposta alle minacce per rafforzare la sicurezza e accelerare il rilevamento delle minacce.
Proteggi il tuo ambiente con le soluzioni complete di difesa dalle minacce mobile di IBM MaaS360.
Adotta soluzioni complete di gestione delle minacce, proteggendo in modo esperto la tua azienda dagli attacchi informatici.