Cybersecurity OT/IoT, il report e la resilienza delle reti
Il report evidenzia come la sicurezza delle reti sia diventata un pilastro fondamentale per le infrastrutture critiche, sempre più dipendenti da sistemi interconnessi.
Resilienza della rete, vulnerabilità ed evoluzione degli attacchi sono i temi che emergono dallo studio sulla cybersecurity che analizza il primo semestre 2025.
Nozomi Networks Labs ha pubblicato il nuovo report sulla Cybersecurity, “OT/IoT Cybersecurity Trends and Insights – July 2025”, un’analisi approfondita del panorama delle minacce cyber che hanno caratterizzato la prima metà del 2025. Lo studio, basato su dati reali derivanti dalla telemetria anonimizzata dei clienti Nozomi Networks e dall’attività delle honeypot globali dell’azienda, pone un’attenzione particolare alla resilienzadelle reti operative e industriali in un’epoca di crescente convergenza IT/OT/IoT.
Strategie per la resilienza
Il report evidenzia come la sicurezza delle reti sia diventata un pilastro fondamentale per le infrastrutture critiche. Sempre più dipendenti da sistemi interconnessi. In più non si limita a fotografare lo stato attuale delle cose. Offrendo raccomandazioni pratiche per rafforzare la sicurezza delle reti. Si passa dall’adozione di strategie di riduzione del rischio alla priorità nel rilevamento delle anomalie. Fino all’impiego di threat intelligence mirata per settore e area geografica. Lo studio si configura come una risorsa essenziale per i professionisti della sicurezza e delle reti in settori critici. Fornendo dati e insight concreti che aiutano a seguire ed affrontare in modo efficace le nuove sfide di un settore in continua evoluzione.
I temi che emergono sulla cybersecurity
Le reti (specialmente wireless) sono un campo di battaglia
Il report rivela che le reti, in particolare quelle wireless (Wi-Fi, Bluetooth, Zigbee, WirelessHART), sono diventate un importante vettore di attacco non ancora adeguatamente difeso. Dati sorprendenti mostrano che l’83% delle reti Wi-Fi osservate manca di protezione MFP (Management Frame Protection). Questo le rende vulnerabili a manipolazioni dei frame di controllo e attacchi di disconnessione. Inoltre, il 95% delle reti Wi-Fi che utilizzano WPA2 si affida ancora a password pre-condivise (PSK). Evidenziando così una debolezza significativa nella gestione della sicurezza in ambito industriale. La proliferazione di dispositivi Bluetooth e 802.15.4 (Zigbee, WirelessHART) in ambienti industriali crea nuove sfide per la sicurezza, spesso al di fuori della consapevolezza degli operatori di rete.
Botnet e resilienza della rete
Una sezione dedicata all’attività delle botnet in ambienti OT/IoT mostra che la principale origine degli attacchi botnet sono gli Stati Uniti, che hanno superato la Cina per la prima volta dal 2022. L’attività botnet ha raggiunto il picco il 17 gennaio 2025, con attacchi provenienti da 1.429 indirizzi IP unici in un solo giorno. Le credenziali più utilizzate dagli attaccanti per l’accesso iniziale alle honeypot sono state root:root e admin:admin, Questo evidenzia l’uso di credenziali predefinite o deboli.
Vulnerabilità e trend regionali/settoriali
La maggior parte delle vulnerabilitàidentificate rientra nella fascia di gravità medio-alta (CVSS tra 6.0 e 9.0). Solo una frazione (circa il 10%) delle vulnerabilità critiche rientra nella fascia EPSS più alta (75-100% di probabilità di sfruttamento). I settori più colpiti sono stati trasporto, manifattura, servizi alle imprese, minerali e miniere, energia, utility e rifiuti. A livello regionale, i paesi più colpiti sono stati Giappone, Germania, Brasile, Australia, Italia e Stati Uniti. In Italia, la manipolazione dei dati ha contribuito a oltre un terzo degli incidenti rilevati (36.7%).
Evoluzione delle tattiche di attacco
Le tecniche MITRE ATT&CK più diffuse nel primo semestre 2025 sono state di tipo Denial of Service (DoS) (rispettivamente il 35% degli eventi osservati) e gli attacchi Adversary-in-the-Middle (MITM) (16.0%), che mirano direttamente alla confidenzialità delle comunicazioni. Le tecniche di discovery (Remote System Discovery e Network Service Scanning) sono state anch’esse significative (entrambe 11.4%). Rispetto al periodo precedente, le tecniche di Data Manipulation e Application Layer Protocol sono diminuite, suggerendo un cambiamento nelle tattiche degli attaccanti.
