Il landscape delle minacce della tecnologia operativa: insight da IBM X-Force

Specialista in tecnologia operativa che lavora in un centro di produzione industriale

Questo articolo è stato sviluppato con il contributo di Jeff Kuo e Kelsey Oliver.

Gli attori delle minacce più sofisticate al mondo si muovono più velocemente, operano in modo più silenzioso e prendono di mira il cuore pulsante della società moderna: la tecnologia operativa (OT) e le infrastrutture critiche. I fatti sono chiari: molti ransomware, minacce avanzate persistenti (APT) e gruppi di criminalità informatica vanno oltre il furto di dati, puntando a interruzioni fisiche e persino al sabotaggio. La convergenza tra IT e OT, guidata dalle richieste aziendali, ha creato una superficie di attacco vasta e ad alto rischio. Le vulnerabilità armate (CVE) vengono sfruttate a velocità vertiginosa, spesso entro giorni o ore dalla divulgazione. 

Questo blog unisce informazioni di prima linea da IBM X-Force e nuovi dati relativi alle violazioni temporali scoperti durante il sondaggio Cost of a Data Breach 2025.

Risultati principali

  • Tra le organizzazioni studiate nell'ambito del report di quest'anno sul costo delle violazioni dei dati, il 15% ha subito incidenti di cybersecurity che hanno influenzato il proprio ambiente OT. Di questo gruppo, quasi un quarto ha riferito che l'incidente ha danneggiato i sistemi o le attrezzature OT. Questi incidenti costano in media 4,56 milioni di dollari, una cifra leggermente superiore alla media mondiale (4,44 milioni di dollari).
  • I dati del database delle vulnerabilità X-Force hanno rilevato che delle 670 vulnerabilità divulgate nel primo semestre del 2025 che potrebbero avere un impatto su OT, quasi la metà (49%) ha un livello di gravità CVSS pari a "Critico" o "Alto". Un quinto (21%) delle vulnerabilità "critiche" ha un codice da utilizzare disponibile al pubblico.

The cost of an OT breach

Per il Cost of a Data Breach Report 2025 di IBM, i nostri partner di ricerca del Ponemon Institute hanno studiato oltre 6.485 violazioni. Di queste organizzazioni, il 15% ha indicato che l'incidente ha influenzato il loro ambiente OT e, di quel gruppo, quasi un quarto (23%) ha riferito che l'incidente ha causato danni ai loro sistemi o attrezzature OT.

Due grafici a torta illustrano i risultati dei sondaggi sugli incidenti di sicurezza negli ambienti OT. Il primo grafico mostra che il 15% delle organizzazioni ha avuto degli incidenti, mentre l'85% no. Il secondo grafico evidenzia che il 23% degli incidenti ha causato danni ai sistemi o alle attrezzature OT, mentre il 77% non ha provocato danni. Le immagini utilizzano segmenti viola e blu con etichette numeriche chiare.

Non sorprende che le organizzazioni stiano riscontrando un impatto sui loro ambienti OT a seguito di una violazione. Negli ultimi anni si sono verificati numerosi esempi di attori delle minacce che hanno causato interruzioni OT in vari settori:

  • Destabilizzazione persistente della rete elettrica e guasti coordinati delle sottostazioni:
    Gli attaccanti sfruttano con successo malware specifici ICS, manipolazione dei protocolli (ad esempio, protocolli IEC 104 e DNP3) e exploit di accesso remoto per causare interruzioni e blackout multi-sito, spesso richiedendo il ripristino manuale della rete e influenzando milioni di clienti di servizi pubblici.
  • Compromesso sostenuto di trattamento dell'acqua, produzione di energia e operazioni:
    Gli attori delle minacce interrompono i processi principali OT manipolando gli ambienti SCADA e Programmable Logic Controller (PLC), interferendo con il dosaggio chimico, la regolazione del flusso e i controlli automatizzati di sicurezza, causando rallentamenti della produzione, incidenti ambientali o condizioni pericolose per il personale dell'impianto.
  • Interruzioni diffuse nelle supply chain globali e nella logistica critica:
    Le campagne di ransomware e malware distruttivi hanno paralizzato magazzini automatizzati, centri di distribuzione e sistemi di gestione dei trasporti, ritardando le spedizioni, bloccando la produzione just-in-time ed esponendo le organizzazioni a perdite economiche e reputazionali a valle.

La sofisticazione tecnica e la persistenza degli avversari moderni creano il potenziale per una disgregazione simultanea e multivettoriale, con effetti a cascata sulla sicurezza fisica, sulla conformità normativa (ad esempio, NERC CIP, NIST CSF, IEC 62443) e l'erosione della fiducia pubblica nelle infrastrutture critiche.

Il landscape della vulnerabilità OT

Gli avversari di oggi sono più diversificati, specializzati e aggressivi che mai, e combinano risorse degli stati nazionali, innovazione nel campo della criminalità informatica e opportunismo degli hacktivisti. I loro playbook sono in continua evoluzione e nuovi gruppi e alleanze si uniscono agli attori legacy per minacciare le infrastrutture critiche in tutto il mondo.

Gli attori delle minacce che cercano di causare interruzioni operative prendono di mira uno spettro ristretto di vulnerabilità, colpendo prevalentemente dispositivi rivolti al perimetro come concentratori VPN, gateway desktop remoti e convertitori di protocolli OT. Questi CVE, una volta armati, forniscono agli attaccanti l'esecuzione remota del codice non autenticato, il controllo a livello radice dei dispositivi e spesso consentono il bypass diretto dei meccanismi legacy di autenticazione e controllo degli accessi. L'impatto operativo è amplificato dal fatto che molte di queste vulnerabilità rimangono senza patch negli ambienti critici a causa dei requisiti di operatività dei dispositivi, dei ritardi nelle patch dei fornitori o delle lacune nella visibilità degli asset.

Inoltre, la convergenza tra IT e OT, la proliferazione di strumenti di gestione remota e l'integrazione con fornitori terzi hanno creato nuove vie laterali per gli attaccanti. I partner compromessi della supply chain o gli integratori terzi sono utilizzati come punti di ingresso affidabili; i servizi di accesso remoto dei fornitori esposti e i firewall mal configurati erodono ulteriormente la segmentazione statica. Gli avversari sfruttano ponti IT/OT affidabili, dispositivi sul campo non sicuri e persino laptop di manutenzione per ottenere accesso diretto alle reti di controllo dei processi e ai sistemi di sicurezza. Questa superficie di attacco in evoluzione rende insufficienti i modelli di sicurezza perimetrali legacy, sottolineando la necessità del monitoraggio dinamico della rete, della scoperta continua degli asset e di un'architettura informata sulle minacce.

I dati dell'X-Force Vulnerability Database indicano che sono state divulgate 670 vulnerabilità nel primo semestre del 2025 che potrebbero avere un impatto sugli ambienti OT e di queste, l'11% ha un indice di gravità CVSS "critico" (punteggio CVSS compreso tra 9,0 e 10,0). Inoltre, un quinto (21%) delle vulnerabilità critiche contiene codice di exploit pubblicamente disponibile.

Due grafici a torta illustrano i dati sulle vulnerabilità negli ambienti OT. Il primo grafico classifica le vulnerabilità in base alla valutazione CVSS, mostrando le percentuali per i livelli basso, medio, alto e critico. Il secondo grafico evidenzia la percentuale di vulnerabilità critiche con codice utilizzabile disponibile al pubblico, contrassegnata come 21%. Le immagini utilizzano tonalità di blu e viola per differenziarsi.

Quest'anno ci sono stati esempi notevoli di sfruttamento di vulnerabilità OT critiche:

  • Nel maggio 2025, gli attori delle minacce hanno sfruttato una vulnerabilità critica nell'esecuzione remota del codice nel daemon SSH Erlang/OTP (CVE-2025-32433), che consente agli utenti non autenticati di eseguire comandi arbitrari. Circa il 70% dei tentativi di attacco era rivolto a firewall e ambienti OT
  • Il NCSC olandese ha confermato che gli attaccanti avevano utilizzato CVE-2025-6543, una grave falla nei prodotti Citrix NetScaler ADC e Gateway, come zero-day dall'inizio di maggio 2025, prima della divulgazione pubblica. Ciò ha consentito agli aggressori di distribuire web shell, stabilire un accesso persistente e potenzialmente interrompere i gateway VPN e di accesso remoto in settori critici.
  • Nel maggio 2025, il produttore di acciaio Nucor ha interrotto la produzione in diverse strutture a seguito di una violazione della sicurezza informatica. L'intrusione ha comportato un accesso non autorizzato ai sistemi IT interni, che ha richiesto l'arresto come misura di precauzione. Sebbene classificata come IT-centrica, l'interruzione ha avuto un impatto diretto sulle operazioni industriali e sottolinea il forte legame tra i settori IT e OT.

Questi esempi illustrano l'importanza di rimanere informati sulle vulnerabilità che possono essere presenti sui radar degli attori delle minacce. X-Force ha valutato vari forum online, mercati, canali Telegram, chat room e discussioni per rivelare i CVE più menzionati nel primo semestre 2025 che potrebbero influenzare gli ambienti OT/ICS.  Questi insight potrebbero aiutare le organizzazioni nelle loro strategie di gestione delle patch.

Un grafico a barre che visualizza i 10 CVE più menzionati che potrebbero influenzare gli ambienti OT/ICS nel primo semestre 2025. La tabella evidenzia identificatori CVE come CVE-2025-0228 e CVE-2025-3124, con numeri di menzioni che vanno da 75 a 1830. Le barre orizzontali rappresentano il numero di menzioni per ogni CVE, sottolineandone il significato relativo.

Dei 10 CVE più menzionati e divulgati nel primo semestre 2025 che potrebbero influenzare le OT, il 90% è stato attivamente sfruttato e il 70% è stato attivamente sfruttato dagli APT. Ad esempio, il CVE più citato, CVE-2025-0282, secondo quanto riferito, è stato sfruttato da UNC5221, un "sospetto attore di spionaggio legato alla Cina". Questa vulnerabilità permette agli attaccanti non autenticati di ottenere un primo punto di appoggio nella rete interna dietro un dispositivo VPN di connessione sicura vulnerabile. Gli attaccanti potrebbero quindi muoversi lateralmente nella rete e potenzialmente influenzare i sistemi di controllo industriale. La seconda vulnerabilità più menzionata, CVE-2025-31324, è stata segnalata come attivamente sfruttata da Chaya_004, "un autore di minacce cinese". Questa vulnerabilità che interessa il SAP NetWeaver Visual Composer potrebbe permettere a un attaccante di eseguire codice da remoto. Molte organizzazioni industriali utilizzano il SAP per la pianificazione delle risorse aziendali (ERP) e la gestione della supply chain (SCM), che possono interagire direttamente con i sistemi OT o influenzarli indirettamente.

Oltre il rilevamento: una difesa di nuova generazione contro gli avversari moderni

Il 2025 rappresenta un anno decisivo per la sicurezza degli OT e delle infrastrutture critiche. La convergenza di avversari motivati tra stati nazionali, ecosistemi ransomware in rapida evoluzione e lo sfruttamento persistente di un insieme ristretto di vulnerabilità ad alto impatto hanno messo in luce debolezze fondamentali negli ambienti OT legacy. Gli attaccanti ora bypassano regolarmente le tradizionali difese perimetrali, sfruttando la compromissione della supply chain, il furto di credenziali e un profondo movimento laterale per ottenere risultati critici, e persino critici per la sicurezza.

Questo landscape di minacce richiede alle organizzazioni di rivedere radicalmente il modo in cui viene gestito il rischio OT. La cybersecurity deve spostare oltre la conformità e i controlli a casellario, per passare a un modello di difesa basato sull'intelligence e specifico per ogni settore. La sopravvivenza non consiste più solo nell'impedire l'accesso iniziale; richiede un rilevamento rapido, un contenimento efficace e un ripristino resiliente, il tutto sostenuto da un impegno esecutivo continuo e da una governance a livello di consiglio di amministrazione.

La resilienza operativa nel 2026 e oltre sarà determinata dalla capacità di un'organizzazione di dare priorità alle vulnerabilità giuste, simulare scenari di attacco reali, imporre controlli stratificati e guidare la responsabilità della cybersecurity dalla sala di controllo alla sala riunioni. La posta in gioco è esistenziale: la continuità del servizio, la conformità alle normative, la sicurezza fisica e la fiducia del pubblico dipendono da una strategia di difesa informatica OT proattiva e adattiva. Incoraggiamo le organizzazioni a esaminare le seguenti raccomandazioni:

1. Gestione iper-prioritaria delle patch

  • Applica le patch come se la tua attività dipendesse da questo, perché è così. Assegna le priorità alle vulnerabilità che vengono sfruttate attivamente. Usa il Catalogo delle Vulnerabilità Sfruttate Conosciute (KEV) di CISA, MITRE, i feed di threat intelligence e gli avvisi ai fornitori come lista di cose da fare.
  • Se le patch vengono ritardate, implementa la segmentazione della rete, l'allowlisting delle applicazioni e aumenta il monitoraggio delle anomalie OT/ICS.

2. Mappa le minacce al tuo settore

  • Considera la possibilità di ottenere una valutazione strategica delle minacce della tua organizzazione per comprendere le minacce che hanno maggiori probabilità di avere un impatto sul tuo ambiente in base al settore e al luogo in cui opera geograficamente.
  • Usa la matrice MITRE ATT&CK per ICS e gli avvisi per il settore ISAC alerts (ovvero, E-ISAC, MFG-ISAC, Water-ISAC) per mappare i TTP rilevanti per la tua azienda.

3. Red team come loro

4. Difesa a più livelli, non “sicurezza tramite checkbox”

  • Separa IT e OT, usa firewall, DMZ, gateway unidirezionali.
  • Applica l'MFA, ruota le credenziali e vieta i login condivisi sulle postazioni di ingegneria.
  • Investi nel rilevamento delle anomalie e nell'ispezione passiva profonda dei pacchetti DPI per OT e stabilisci dei playbook per la risposta agli incidenti.

5. Approvazione del consiglio di amministrazione e test nel mondo reale

  • Tratta la sicurezza OT come un imperativo di livello C: il rischio OT non è solo un problema IT: è una questione core business e di sicurezza. Nel 2025, il coinvolgimento a livello di consiglio di amministrazione e la sponsorizzazione dei dirigenti in questo ambito non saranno negoziabili. Testa le tue operazioni di gestione delle crisi cibernetiche in un'esperienza altamente immersiva basata su scenari reali di avversari.

