Microsoft fa un ulteriore passo nella sua offerta di un software di monitoraggio agentless per la protezione dei dispositivi Internet of Things (IoT) connessi a reti IT aziendali, stampanti e smart TV, nonché per la protezione dei sistemi Operational Technology (OT) dietro le infrastrutture critiche dei contesti industriali. Il rilascio di Microsoft Defender for IoT, tuttavia, non rappresenta un’assoluta novità, poiché è la versione aggiornata del precedente Azure Defender for IoT che, prima ancora, si chiamava Azure Security Center for IoT. Ma non si tratta soltanto di un cambio di naming, quanto piuttosto di una release che tiene conto dell’evoluzione che ha caratterizzato la suite di sicurezza IoT della multinazionale di Redmond da quando nel 2020 ha acquisito CyberX, a cui ha fatto seguito l’anno scorso l’acquisizione di ReFirm Labs, società nota per aver sviluppato il software open source Binwalk. La nuova versione di Defender for IoT, inoltre, dovrebbe aver risolto le vulnerabilità spiegate nel marzo scorso dai ricercatori di Sentinel Labs in merito alle falle che potevano essere sfruttate da attaccanti remoti per ottenere un accesso non autorizzato. È di questi giorni, perciò, l’annuncio della disponibilità generale del prodotto da parte di Microsoft, che ha sottolineato la sua integrazione sia con 365 Defender per comprendere funzionalità nella categoria extended detection and response (XDR) sia con Sentinel, il sistema SIEM (Security Information and Event Management) cloud-based di Microsoft.
L’integrazione nativa con Microsoft Defender e Microsoft Sentinel
“Con questa nuova aggiunta – si legge in un recente post scritto a 4 mani da Michal Braverman-Blumenstyk e Nir Giller -, Defender for IoT offre ora una sicurezza completa per tutti i tipi di endpoint, applicazioni, identità e sistemi operativi. Le nuove funzionalità consentono alle organizzazioni di ottenere la visibilità e gli insight necessari per affrontare attacchi complessi in più fasi che sfruttano specificamente i dispositivi IoT e OT per raggiungere i loro obiettivi”. E ancora: “Grazie all’integrazione nativa con Microsoft Defender e Microsoft Sentinel, possiamo fornire ai clienti gli strumenti di automazione e visualizzazione necessari per affrontare gli attacchi che attraversano i confini delle reti IT e OT. Queste integrazioni permettono inoltre agli analisti di eseguire la risposta agli incidenti in modo olistico, anziché come attacchi separati e scollegati che richiedono lunghe indagini manuali per essere riuniti. In virtù di questi vantaggi in termini di efficienza, le organizzazioni possono bloccare gli attacchi e riportare gli ambienti a uno stato precedente alla violazione molto più rapidamente”. In pratica, l’integrazione nativa di Microsoft Defender for IoT con Defender e Sentinel serve a fornire strumenti di automazione e di visualizzazione con cui mitigare gli attacchi che attraversano i confini dell’IT e dell’OT e ha l’obiettivo di estendere la visibilità sulla rete al di là dei dispositivi gestiti.
L’importanza di ridurre il rapporto tra segnale e rumore degli avvisi
La soluzione di Microsoft centralizza l’esperienza utente, dando ai team di sicurezza la possibilità di visualizzare e proteggere tutti i dispositivi IT, IoT e OT, indipendentemente dallo loro posizione. In più, aiuta a valutare i rischi e a gestire le vulnerabilità con l’ausilio di machine learning, intelligence per le minacce e analisi comportamentali che possono, ad esempio, identificare i device non aggiornati e le applicazioni non autorizzate oppure rilevare minacce avanzate come i malware zero-day che potrebbero essere sfuggiti al controllo di IoC (Indicator of Compromise) statici. “Il rilevamento delle minacce – sostiene l’articolo di Braverman-Blumenstyk e Giller – rimane uno dei compiti più difficili nel settore IoT. I clienti di Defender for IoT beneficiano del machine learning e dell’intelligence sulle minacce ottenuta da trilioni di segnali raccolti quotidianamente nell’ecosistema globale Microsoft (come e-mail, endpoint, cloud, Microsoft Azure Active Directory e Microsoft 365), aumentati da intelligence specifica per IoT e OT. Applicando machine learning e intelligence sulle minacce, aiutiamo i nostri clienti a ridurre il rapporto tra segnale e rumore degli avvisi, fornendo loro incidenti prioritari che rendono gli attacchi end-to-end in un contesto completo, invece di fornire loro un elenco infinito di avvisi non correlati”. Nell’eseguire la scansione della rete per trovare configurazioni non sicure e vulnerabilità nei dispositivi, cercando le falle non patchate e dando raccomandazioni di sicurezza nella console di Microsoft 365, l’individuazione di un numero eccessivo di “falsi positivi” inficerebbe la validità di un sistema di monitoraggio per la sicurezza IoT e OT. Cosa che Microsoft Defender for IoT riesce a contrastare grazie ai suoi algoritmi ML e che diventerà sempre più essenziale per la gestione di una superficie sempre più estesa popolata da un numero in continua espansione di dispositivi IoT e OT.