Le reti Tlc sono un vero campo di battaglia: la sicurezza delle connessioni, in particolare quelle wireless (wi-fi, bluetooth, Zigbee, WirelessHART), sono diventate un importante vettore di attacco non ancora adeguatamente difeso. Lo sottolinea Nozomi Networks Labs nel nuovo report, “OT/IoT Cybersecurity Trends and Insights – July 2025”, un’analisi approfondita del panorama delle minacce cyber che hanno caratterizzato la prima metà del 2025.
Il report, basato su dati reali derivanti dalla telemetria anonimizzata dei clienti Nozomi Networks e dall’attività delle honeypot globali dell’azienda, pone un’attenzione particolare alla resilienza delle reti operative e industriali in un’epoca di crescente convergenza It/Ot/Iot. Lo studio evidenzia anche come la sicurezza delle reti sia diventata un pilastro fondamentale per le infrastrutture critiche, sempre più dipendenti da sistemi interconnessi.
Indice degli argomenti
Sicurezza delle reti: wi-fi sotto attacco
Secondo il report, l’83% delle reti wi-fi osservate manca di protezione Mfp (Management frame protection), rendendole vulnerabili a manipolazioni dei frame di controllo e attacchi di disconnessione.
Inoltre, il 95% delle reti wi-fi che utilizzano Wpa2 si affida ancora a password pre-condivise (Psk), evidenziando una debolezza significativa nella gestione della sicurezza in ambito industriale. La proliferazione di dispositivi Bluetooth e 802.15.4 (Zigbee, WirelessHART) in ambienti industriali crea nuove sfide per la sicurezza, spesso al di fuori della consapevolezza degli operatori di rete.
In generale, le tecniche di attacco più diffuse nel primo semestre 2025 sono state di tipo Denial of Service (DoS) (rispettivamente il 35% degli eventi osservati) e gli attacchi Adversary-in-the-Middle (16.0%), che mirano direttamente alla confidenzialità delle comunicazioni. Anche le tecniche di discovery (Remote System Discovery e Network Service Scanning) sono state significative (entrambe 11.4%).
Rispetto al periodo precedente, sono invece diminuite le tecniche di Data Manipulation e Application Layer Protocol, suggerendo un cambiamento nelle tattiche degli attaccanti.
Attacchi botnet negli ambienti Ot/IoT, Italia tra i target
Nel report, una sezione dedicata all’attività delle botnet in ambienti Ot/Iot mostra che la principale origine degli attacchi botnet sono gli Stati Uniti, che hanno superato la Cina per la prima volta dal 2022. L’attività botnet ha raggiunto il picco il 17 gennaio 2025, con attacchi provenienti da 1.429 indirizzi IP unici in un solo giorno. Le credenziali più utilizzate dagli attaccanti per l’accesso iniziale alle honeypot sono state root:root e admin:admin, evidenziando l’uso di credenziali predefinite o deboli.
La maggior parte delle vulnerabilità identificate rientra nella fascia di gravità medio-alta (Cvss tra 6.0 e 9.0). Solo una frazione (circa il 10%) delle vulnerabilità critiche rientra nella fascia Epss alta (75-100% di probabilità di sfruttamento).
I settori più colpiti sono stati Trasporto, Manifattura, Servizi alle Imprese, Minerali e Miniere, Energia, Utility e Rifiuti. A livello regionale, i paesi più colpiti sono stati Giappone, Germania, Brasile, Australia, Italia e Stati Uniti. In Italia, la manipolazione dei dati ha contribuito a oltre un terzo degli incidenti rilevati (36.7%).
Wireless minaccia invisibile per la sicurezza delle reti
Il report ha portato alla luce traffico Bluetooth da dispositivi consumer (Samsung, Apple, Bose…) all’interno di ambienti industriali. Inoltre, numerose reti wireless basate su Zigbee e WirelessHART non erano note agli operatori, quindi non soggette a monitoraggio. E solo il 17% delle reti supporta la protezione a più fattori (Mfp): l’83% ne è privo e ciò consente attacchi di spoofing o deautenticazione.
“Dai dati emerge una realtà chiara: l’integrazione di It, Ot e Iot accelera efficienza e innovazione, ma al contempo estende l’esposizione a un panorama di minacce in continua evoluzione”, ha dichiarato Alessandro Di Pinto, Senior Director of Security Research di Nozomi Networks. “La sicurezza di Ot e Iot non può più essere considerata un’estensione dell’It. Le vulnerabilità delle reti wireless, l’aumento degli attacchi DoS e la resilienza delle botnet dimostrano che la continuità operativa richiede una strategia di cybersecurity proattiva, fondata su visibilità end-to-end e intelligence contestualizzata. In questo scenario in continua evoluzione, la nostra missione è offrire una panoramica chiara su dispositivi e minacce, così da riconoscere in tempo i segnali di rischio e garantire una risposta rapida ed efficace”.
Sette raccomandazioni strategiche
Il report mette in evidenza che la sicurezza Ot/Iot non può più essere affrontata con approcci frammentati o basati unicamente su patching e soluzioni signature-based. Serve una strategia integrata, capace di bilanciare protezione tecnologica, intelligence e collaborazione.
La prima raccomandazione è di “Costruire una strategia di riduzione del rischio basata sul contesto“: il primo passo è avere una mappa completa e aggiornata di tutti gli asset presenti in rete. Non si tratta solo di censire i dispositivi, ma anche di capirne il ruolo operativo, la criticità nei processi industriali e il livello di esposizione. Senza questa visibilità, le vulnerabilità rischiano di essere valutate solo sulla base di punteggi Cvss, che non sempre riflettono il reale impatto sull’organizzazione. Conoscere il contesto permette invece di dare priorità agli interventi su ciò che è davvero mission-critical.
La seconda raccomandazione è la “Rilevazione delle anomalie oltre le signature“:
i sistemi basati esclusivamente su firme riconoscono minacce già note, ma lasciano scoperto tutto ciò che è nuovo o sconosciuto. Il report suggerisce quindi di investire in tecnologie capaci di identificare comportamenti anomali, anche se non direttamente collegati a un malware già catalogato. In un ambiente Ot, dove ogni deviazione può avere conseguenze operative rilevanti, la capacità di individuare in tempo reale un’anomalia rappresenta un vantaggio decisivo.
“Utilizzare intelligence mirata e contestualizzata” è la terza raccomandazione. Non tutte le minacce, infatti, hanno lo stesso peso per ogni organizzazione ed è fondamentale adottare una cyber threat intelligence che sia tanto regionale (cioè basata sul contesto geopolitico locale) quanto settoriale (cioè in linea con il settore industriale di appartenenza).
Il quarto punto è “Rafforzare la sicurezza wireless“. Visto che il wireless è emerso come un punto debole molto diffuso, il report insiste sull’adozione di Mfp, su un auditing regolare delle reti wireless e sulla consapevolezza che anche dispositivi consumer (smartwatch, auricolari, smartphone) possono introdurre rischi in un ambiente industriale se non gestiti.
L’intelligence nella difesa e l’approccio collaborativo
Occorre, inoltre, “Gestire le vulnerabilità in modo intelligente“, perché non tutte le vulnerabilità con un punteggio Cvss alto hanno la stessa probabilità di essere sfruttate. Qui entra in gioco l’Epss (Exploit Prediction Scoring System), che misura la probabilità di exploit nel mondo reale. Integrare queste metriche con informazioni sul tipo di dispositivo, sulla posizione in rete e sulla criticità operativa consente di concentrare gli sforzi di remediation su un sottoinsieme di vulnerabilità realmente pericolose, ottimizzando risorse e tempi.
La sesta raccomandazione è “Contrastare le botnet con difese multilivello“. Le botnet, come dimostrato dai picchi di attività registrati, sfruttano debolezze comuni come credenziali di default o firmware non aggiornati. Per ridurne l’impatto, non basta bloccare singoli payload: è necessario agire su più livelli. Segmentare la rete riduce la possibilità che un’infezione si propaghi; monitorare il traffico consente di intercettare comunicazioni sospette; proteggere gli endpoint evita che diventino punti di ingresso.
La settima raccomandazione è “Favorire la collaborazione e la condivisione“:
la sicurezza Ot/Iot non è una sfida che le singole aziende possono affrontare isolate. Il report invita a rafforzare le collaborazioni con vendor tecnologici, Isac (Information Sharing and Analysis Centers) e community specializzate. Condividere indicatori di compromissione, tattiche di attacco e casi d’uso reali aumenta la resilienza collettiva e riduce i tempi di risposta agli incidenti.
