Con l’aumento degli attacchi in rete e delle preoccupazioni per l’avvio di temibili cyberwar su scala globale, la sicurezza dei sistemi aziendali e, in particolare, l’IoT security non possono più essere trascurate nelle aziende d’ogni dimensione. Mentre nel passato era possibile garantire livelli accettabili di sicurezza con firewall e VPN messi tutela del perimetro di rete, l’utilizzo dei moderni servizi in cloud e le esigenze di business che spingono le imprese a condividere processi e dati con fornitori, partner e clienti rendono difficile se non impossibile creare isole protette. Va da sé l’importanza di sviluppare le capacità per rilevare tempestivamente gli attacchi e di migliorare la prevenzione attraverso la riduzione delle vulnerabilità dei sistemi. Come? “Cominciando dalla protezione dei dispositivi più fragili ed esposti: i dispositivi IoT”, spiega Mario Torrisi, Head of Infrastructure Security Business Unit di Horizon.
Individuare i fattori di pericolo per l’IoT security
Nell’era del cloud e dello smart working le difese perimetrali della LAN hanno perso la gran parte dell’efficacia che avevano in passato, diventa quindi importante rivolgere attenzione al monitoraggio degli endpoint e all’eliminazione delle vulnerabilità, in particolare quando hanno rilevanza per l’IoT security. A differenza di pc, server, smartphone e di altri endpoint che si utilizzano in connessione con le reti aziendali, i dispositivi IoT non fanno tipicamente riferimento a un numero finito di standard hardware e software.
“Se da una parte risulta semplice procurarsi sul mercato i tool per monitorare e proteggere nell’operatività day by day gli ambienti Windows, iOS, Android, Linux, dall’altra (sui sistemi IoT, ndr) coesistono centinaia di piattaforme embedded dotate di package software differenti, spesso assemblate dagli stessi vendor utilizzando insiemi di componenti Linux, runtime di linguaggi, database, Web-server e interfacce basate su open source e sviluppi derivati”, spiega Torrisi. Una situazione che incide sulla capacità di valutare la resistenza del dispositivo agli attacchi, di mappare le vulnerabilità presenti e garantire l’IoT security attraverso la pratica degli aggiornamenti software.
Conoscere il rischio software associato ai dispositivi IoT
Nei dispositivi IoT vengono impiegati package software eterogenei, spesso non documentati sia per ciò che riguarda le librerie utilizzate, sia le versioni delle stesse. “Poiché la vita operativa di un dispositivo IoT, sia esso una telecamera di sorveglianza, un sistema di smart building o una macchina utensile CNC digitale è superiore a quella dei comuni pc e smartphone, con l’evoluzione dei modelli, dei controller e il turnover degli stessi fornitori, è frequente la cessazione della disponibilità di aggiornamenti e patch di sicurezza”, spiega Torrisi.
Protocolli di scambio dati, funzionalità d’accesso e crittografia progettati per garantire connessioni sicure alle LAN aziendali diventano, nel tempo, inadeguati e rischiosi. Librerie software non documentate, ma presenti nei package software dei dispositivi, possono contenere vulnerabilità. In mancanza di aggiornamenti o nell’impossibilità di farli, i dispositivi IoT diventano nel tempo sempre più vulnerabili agli exploit e una facile via d’accesso (backdoor e trojan) per portare attacchi dall’interno della LAN aziendale.
L’attualità sugli attacchi che colpiscono i dispositivi IoT
In un documento di Gartner dedicato ai trend di rischio gli analisti mettono al primo posto l’IoT, al pari dell’uso del codice open source, delle applicazioni cloud, di supply chain e dei social media, tra le cause d’esposizione agli attacchi di security agli asset aziendali. La cronaca degli ultimi mesi riporta l’utilizzo strumentale di dispositivi IoT alterati con malware all’interno di reti botnet usate direttamente dai cybercriminali o noleggiate a terzi per compiere attacchi di distributed denial of services (DDoS) su siti governativi e aziendali. “Attacchi realizzati per finalità politiche o di ricatto economico su grande scala, se si considera che una delle reti botnet più grandi, Mozi, può oggi contare su oltre 500.000 dispositivi IoT che vengono utilizzati per azioni criminali all’insaputa dei legittimi proprietari”, spiega Torrisi. Dispositivi che vengono cercati sistematicamente su scala globale attraverso scansioni di rete e quindi asserviti alla botnet attraverso gli exploit di vulnerabilità software già note.
Secondo i dati pubblicati sul più recente Intelligence Report di Nokia, le IoT botnet sono responsabili del 32% di tutti incidenti causati da malware che sono rilevati dai sistemi di endpoint security. Tra i malware che infettano i dispositivi IoT, al pari di router e server aziendali, HEH viene sfruttato sia per condurre sia attacchi di DDoS sia per il mining delle criptovalute. Oltre a violare l’IoT security, HEH permette agli attaccanti di accedere alle reti interne aziendali e agli storage di dati. Oltre a router e videocamere di sicurezza, tra i dispositivi IoT considerati dagli esperti come un facile bersaglio per i cybercriminali ci sono le serrature intelligenti e i robot.
Definire la strategia più efficace per l’IoT security
Come abbiamo visto l’IoT security presenta complessità maggiori rispetto alla difesa degli endpoint più comuni, come pc e smartphone, per via della varietà dei sistemi in gioco e delle difficoltà nel mantenerli aggiornati nel corso del tempo. Come ci si difende? Per Torrisi raggiungere l’obiettivo richiede contezza del rischio e quindi l’adozione di strategie e controlli più efficaci per la protezione delle proprie LAN.
In particolare: “Serve fare l’assessment dei rischi associati alle reti e ai dispositivi in uso attraverso strumenti specifici e framework di riferimento, sfruttare le tecnologie di ML/AI oggi accessibili in cloud per analizzare i dati raccolti da milioni di apparati e sensori di rete distribuiti a livello globale per ricavare gli insight utili”.
In questo modo è possibile individuare le soluzioni, i workaround efficaci, ma soprattutto definire le priorità d’intervento. Alle usuali tutele fornite dalle endpoint protection platform (EPP) nel momento in cui i dispositivi IoT si attestano in rete, serve affiancare controlli sui protocolli e sui dati che vengono scambiati in rete durante il normale funzionamento.
La capacità di rilevare tempestivamente anomalie nel comportamento di un dispositivo rappresenta la chiave per innescare automaticamente contromisure specifiche come, per esempio, la disconnessione dalla rete e la pronta segnalazione al Security Operation Center.
Come migliorare l’IoT security adeguando le difese
Per innalzare il livello di sicurezza negli ambiti IoT e Industrial IoT serve specializzazione. “Nel nostro caso, per rispondere alle esigenze crescenti dei clienti abbiamo costituito la Business Unit Infrastructure Security dotata di competenze specializzate per le realizzazioni di soluzioni di sicurezza in questi ambiti applicativi” spiega Torrisi. “Questo ci permette di adottare un approccio olistico all’IoT Security che unisce capacità d’identificazione delle risorse, di protezione dei dispositivi oltre che di rilevazione di configurazioni errate e altre anomalie”.
Tra gli interventi che possono concretamente rafforzare l’IoT security, “c’è l’adozione di una piattaforma IoT centralizzata per gestire i dispositivi, le configurazioni, le connessioni edge-to-cloud, regolare il rilascio di nuovi device, monitorarne lo stato ed effettuare le attività di troubleshooting” precisa Torrisi. “Può essere inoltre necessario migliorare gli ambienti in cui operano i dispositivi IoT, intervenendo sulla segregazione e protezione delle reti al fine di limitare visibilità e accesso a dispositivi potenzialmente critici e, allo stesso tempo, la propagazione di un’eventuale infezione tra ambienti differenti”.
Anche nel campo dell’IoT sono d’aiuto i servizi per la gestione d’identità univoche: “Attraverso l’uso dei certificati si può prevenire l’inserimento fraudolento di nuovi edge-device non autorizzati nell’ecosistema” continua Torrisi. “Servizi di revisione e implementazione del principio del minimo privilegio, limitano ogni movimento laterale in caso di compromissione di un dispositivo”. Attraverso soluzioni di monitoraggio passivo e tecniche avanzate di machine learning c’è oggi la possibilità di costruire lo schema comportamentale (behavioural analysis) degli edge-device e del traffico IoT in modo da riuscire a riconoscere e a segnalare prontamente i mutamenti sospetti.
