7 consigli per migliorare la sicurezza nell’IoT

Una delle maggiori preoccupazioni dell’Internet degli oggetti (IoT) è garantire la sicurezza di reti, dati e dispositivi. A tal proposito Jason Taule, vicepresidente degli standard e CISO di HITRUST, società di sicurezza e assicurazione, afferma che “In tutti gli ambienti, ad eccezione di quelli più restrittivi, ci saranno dispositivi IoT in mezzo a voi. La domanda non è quindi se, ma come, permetterai a tali dispositivi di connettersi e interagire con le tue reti, sistemi e dati”.

Per tale ragione, vi illustriamo 7 pratiche di sicurezza che potreste non aver preso in considerazione.

  1. Iniziare pensando in piccolo

Per costruire una maggiore sicurezza nell’internet degli oggetti, le organizzazioni dovrebbero iniziare con il componente più piccolo della loro infrastruttura di rete: il codice. Questo è ciò che afferma Laura DiDio, ricercatrice della società di consulenza ITIC.

“La maggior parte dei dispositivi dell’IoT sono molto piccoli”, dice DiDio, “pertanto, il codice sorgente tende ad essere scritto nei linguaggi ‘common tongue’-C o C+++ e C# che spesso sono vittime di problemi comuni come le perdite di memoria e le vulnerabilità di buffer-overflow. Questi problemi sono l’equivalente in rete del comune raffreddore, e come il comune raffreddore, sono fastidiosi e persistenti. Negli ambienti dell’internet degli oggetti, possono proliferare e diventare un grande e spesso trascurato problema di sicurezza. La migliore difesa qui è testare, testare e riprovare”.

2. Implementare i controlli di accesso all’interno di un ambiente IoT

Il controllo dell’accesso all’interno di un ambiente IoT è una delle maggiori sfide per la sicurezza che le aziende devono affrontare qualora si colleghino beni, prodotti e dispositivi. Ciò include il controllo dell’accesso alla rete per gli oggetti connessi.

“Le organizzazioni dovrebbero in primo luogo identificare i comportamenti e le attività che sono ritenuti accettabili dei dispositivi connessi all’interno di un ambiente IoT, e poi mettere in atto dei controlli che tengano conto ciò, senza ostacolare i processi” afferma John Pironti, presidente dello studio di consulenza IP Architects ed esperto di sicurezza dell’IoT.

“Invece di utilizzare una VLAN [LAN virtuale] separata o un segmento di rete che può essere restrittivo e debilitante per i dispositivi dell’internet degli oggetti, bisogna implementare controlli di accesso context-aware in tutta la rete per consentire azioni e comportamenti appropriati, non solo a livello di connessione, ma anche a livello di comando e trasferimento dati. Questo garantirà che i dispositivi possano funzionare come pianificato, limitando al contempo la loro capacità di condurre attività dannose o non autorizzate”, continua Pironti, “questo processo può anche stabilire una linea di base del comportamento previsto, che può poi essere registrato e monitorato per identificare anomalie o attività, non rientranti nelle fattispecie previste tra le soglie accettabili”.

3. Responsabilità dei fornitori per le loro apparecchiature IoT

Le organizzazioni possono assumere ogni tipo di fornitori di servizi, e in alcuni casi questi servizi sono forniti attraverso attrezzature che vengono collocate presso il cliente. Nell’era dell’internet of things, c’è una buona probabilità che i macchinari siano connessi e quindi vulnerabili. In tal caso spetterà al cliente assicurarsi che ci siano delle responsabilità qualora si verificassero dei problemi.

“Un punto di partenza è la contrattazione”, afferma Brian Haugli, partner della società di consulenza sulla sicurezza SideChannelSec ed ex responsabile della sicurezza della società di assicurazione Hanover Insurance Group. “I vostri fornitori stanno spingendo un IoT nella vostra azienda come parte dei loro servizi o soluzioni? Se è così, dovete saperlo e verificare che faccia parte del contratto. Assicuratevi che sia chiaro chi è responsabile degli aggiornamenti e del ciclo di vita dell’apparecchiatura” continua Haugli. “Ho visto che le aziende produttrici di stampanti e HVAC [riscaldamento, ventilazione e aria condizionata] non hanno rinunciato all’accesso, il che ha portato a uno sforzo di risposta in stallo. C’è la possibilità che quegli stessi fornitori possano tirarsi indietro sulle responsabilità di routine, per quel che riguarda le patch o gli aggiornamenti ai sistemi operativi”.

4. Difendersi dalle IoT che identificano lo spoofing

Gli hacker sono diventati sempre più abili nel corso degli ultimi anni, e questo può rappresentare una grande minaccia per la sicurezza dell’IoT.

Laura DiDio afferma che “l’aumento esponenziale dei dispositivi dell’internet of things significa che la superficie di attacco e il vettore di attacco è aumentato in modo esponenziale. Per questo motivo è imperativo che le aziende e i loro dipartimenti di sicurezza e IT verifichino l’identità dei dispositivi IoT con cui comunicano e si assicurino che siano legittimi per le comunicazioni critiche, gli aggiornamenti software e i download. Tutti i dispositivi dell’IoT, infatti, devono avere un’identità unica” continua DiDio “in assenza di un’identità unica, un’organizzazione è ad alto rischio di spoofing o hacking, dal livello del microcontrollore, ai dispositivi endpoint posti ai margini della rete, fino alle applicazioni”.

5. Stabilire collegamenti “unidirezionali” per i dispositivi IoT

Le aziende dovrebbero limitare la capacità dei dispositivi dell’internet of things di avviare connessioni di rete. E’ consigliabile invece connettersi ad essi solo tramite firewall di rete e liste di controllo accessi.

A tal riguardo, Pironti afferma che “stabilendo un principio di fiducia unidirezionale, i dispositivi dell’IoT non saranno mai in grado di avviare connessioni a sistemi interni, il che può limitare la capacità di un aggressore di sfruttarli come punti di salto per esplorare e attaccare segmenti di rete. Anche se questo non impedirà agli avversari di attaccare i sistemi che hanno stabilito connessioni dirette con loro, limiterà la loro capacità di muoversi lateralmente all’interno delle reti” continua Pironti “le aziende possono anche forzare le connessioni ai dispositivi dell’internet of things per passare attraverso host di salto e/o proxy di rete, procurando la connessione in un punto ad imbuto, un’organizzazione può quindi ispezionare il traffico di rete indirizzato verso i dispositivi IoT in modo più efficace”.

6. Considerare l’utilizzo di una rete separata

“Molti tipi di dispositivi di controllo, come i termostati e i comandi dell’illuminazione, si collegano via radio. Tuttavia, la maggior parte delle reti wireless aziendali richiedono WPA2 Enterprise/802.1x” afferma James McGibney, senior director of cyber security and compliance dell’azienda Rosendin Electric.

“La maggior parte di questi dispositivi non supporta WPA2-Enterprise, sviluppare un dispositivo più sicuro sarebbe l’ideale, tuttavia, se l’ambiente lo supporta, potreste mettere questi dispositivi sulla vostra rete wireless, segregati dalla rete di produzione e consentendo solo l’accesso a Internet. Ciò richiederebbe la creazione di un identificatore separato dell’SSID e di una LAN virtuale oltre alla capacità di instradare il traffico attraverso un firewall” continua McGibney, “abbiamo fatto questo per alcuni dispositivi, come ad esempio distributori automatici che richiedono l’accesso a Internet, su quali non abbiamo alcun controllo. Li abbiamo inseriti nella nostra rete di ospiti, che è separata dalla produzione. Funziona sullo stesso hardware ma su una VLAN separata”.

7. Implementare la sicurezza nella catena di approviggionamento

Gli sforzi dell’internet degli oggetti raggiungono tipicamente più partner in una catena di approvvigionamento, compresi i fornitori di tecnologia e i clienti, e la sicurezza deve tenerne conto.

“Se non l’avete già fatto, contattate il gruppo della vostra organizzazione che gestisce la supply chain”, afferma Taule “stabilite un rapporto con tali soggetti in modo tale che l’approvazione non venga fornita per gli acquisti di dispositivi IoT, a meno che non sia stato fornito il consenso del team di sicurezza”, continua Taule, “il modo migliore per migliorare il processo di selezione dei fornitori della supply chain è a discrezione della singola organizzazione. Si raccomanda tuttavia di prendere in considerazione i produttori che consentono una convalida indipendente, e che sostengono un sistema di protezione da scrittura sul lato del dispositivo, in modo che il firmware non possa essere aggiornato a vostra insaputa, procurando in tal modo solo prodotti autentici piuttosto che contraffatti”.