Nozomi Networks Labs ha pubblicato il nuovo report, “OT/IoT Cybersecurity Trends and Insights – July 2025”, un’analisi approfondita del panorama delle minacce cyber che hanno caratterizzato la prima metà del 2025. Il report, basato su dati reali derivanti dalla telemetria anonimizzata dei clienti Nozomi Networks e dall’attività delle honeypot globali dell’azienda, pone un’attenzione particolare alla resilienza delle reti operative e industriali in un’epoca di crescente convergenza IT/OT/IoT.
Il report evidenzia come la sicurezza delle reti sia diventata un pilastro fondamentale per le infrastrutture critiche, sempre più dipendenti da sistemi interconnessi.
I temi principali che emergono dal report sono:
- Le reti sono un campo di battaglia, in particolare quelle wireless: Il report rivela che le reti, in particolare quelle wireless (Wi-Fi, Bluetooth, Zigbee, WirelessHART), sono diventate un importante vettore di attacco non ancora adeguatamente difeso. Dati sorprendenti mostrano che l’83% delle reti Wi-Fi osservate manca di protezione MFP (Management Frame Protection), rendendole vulnerabili a manipolazioni dei frame di controllo e attacchi di disconnessione. Inoltre, il 95% delle reti Wi-Fi che utilizzano WPA2 si affida ancora a password pre-condivise (PSK), evidenziando una debolezza significativa nella gestione della sicurezza in ambito industriale. La proliferazione di dispositivi Bluetooth e 802.15.4 (Zigbee, WirelessHART) in ambienti industriali crea nuove sfide per la sicurezza, spesso al di fuori della consapevolezza degli operatori di rete.
- Evoluzione delle tattiche di attacco: Le tecniche MITRE ATT&CK più diffuse nel primo semestre 2025 sono state di tipo Denial of Service (DoS) (rispettivamente il 35% degli eventi osservati) e gli attacchi Adversary-in-the-Middle (MITM) (16.0%), che mirano direttamente alla confidenzialità delle comunicazioni. Le tecniche di discovery (Remote System Discovery e Network Service Scanning) sono state anch’esse significative (entrambe 11.4%). Rispetto al periodo precedente, le tecniche di Data Manipulation e Application Layer Protocol sono diminuite, suggerendo un cambiamento nelle tattiche degli attaccanti.
- Botnet e resilienza delle reti: Una sezione dedicata all’attività delle botnet in ambienti OT/IoT mostra che la principale origine degli attacchi botnet sono gli Stati Uniti, che hanno superato la Cina per la prima volta dal 2022. L’attività botnet ha raggiunto il picco il 17 gennaio 2025, con attacchi provenienti da 1.429 indirizzi IP unici in un solo giorno. Le credenziali più utilizzate dagli attaccanti per l’accesso iniziale alle honeypot sono state root:root e admin:admin, evidenziando l’uso di credenziali predefinite o deboli.
- Vulnerabilità e trend regionali/settoriali: La maggior parte delle vulnerabilità identificate rientra nella fascia di gravità medio-alta (CVSS tra 6.0 e 9.0). Solo una frazione (circa il 10%) delle vulnerabilità critiche rientra nella fascia EPSS più alta (75-100% di probabilità di sfruttamento). I settori più colpiti sono stati Trasporto, Manifattura, Servizi alle Imprese, Minerali e Miniere, Energia, Utility e Rifiuti. A livello regionale, i paesi più colpiti sono stati Giappone, Germania, Brasile, Australia, Italia e Stati Uniti. In Italia, la manipolazione dei dati ha contribuito a oltre un terzo degli incidenti rilevati (36.7%).
Raccomandazioni strategiche per la resilienza delle reti
Il report non si limita a fotografare lo stato attuale, ma offre raccomandazioni pratiche per rafforzare la sicurezza delle reti: dall’adozione di strategie di riduzione del rischio, alla priorità nel rilevamento delle anomalie, fino all’impiego di threat intelligence mirata per settore e area geografica. Il report si configura come una risorsa essenziale per i professionisti della sicurezza e delle reti in settori critici, fornendo dati e insight concreti che aiutano a seguire ed affrontare in modo efficace le nuove sfide di un settore in continua evoluzione.
Dichiarazioni
“Dai dati emerge una realtà chiara: l’integrazione di IT, OT e IoT accelera efficienza e innovazione, ma al contempo estende l’esposizione a un panorama di minacce in continua evoluzione”, ha dichiarato Alessandro Di Pinto, Senior Director of Security Research di Nozomi Networks. “La sicurezza di OT e IoT non può più essere considerata un’estensione dell’IT. Le vulnerabilità delle reti wireless, l’aumento degli attacchi DoS e la resilienza delle botnet dimostrano che la continuità operativa richiede una strategia di cybersecurity proattiva, fondata su visibilità end-to-end e intelligence contestualizzata. In questo scenario in continua evoluzione, la nostra missione è offrire una panoramica chiara su dispositivi e minacce, così da riconoscere in tempo i segnali di rischio e garantire una risposta rapida ed efficace”.
