Con una forza lavoro sempre più spesso impegnata da remoto, le problematiche per le aziende crescono. Un dato molto interessante su cui si è focalizzata una recente indagine di Palo Alto Networks (QUI LA RICERCA COMPLETA) riguarda l’esplosione nel numero dei device IoT non aziendali sulle reti aziendali. L’IoT è infatti diventato un fattore determinante per il business. Ma se questo può portare dei vantaggi indiscussi alle aziende è anche vero che bisogna guardare il rovescio della medaglia: l’IoT può diventare un facile punto di accesso nella rete aziendale da parte di qualsivoglia pirata informatico. L’Italia a sorpresa ha registrato nella survey un buon livello di consapevolezza e le organizzazioni si stanno impegnando nello sviluppare un primo approccio alla protezione e alla tutela dei device IoT.
Umberto Pirovano, Sr. Manager, Systems Engineering di Palo Alto Networks, ci ha svelato in esclusiva quali sono più in concreto i pericoli per le aziende legati all’ingresso dei device IoT privati nella rete aziendale, portando a paragone i dati dell’Italia con quelli delle altre Country europee e individuando anche delle possibili soluzioni nell’adozione di buone pratiche e della giusta tecnologia.
“Macchine da caffè e tazze riscaldanti, dispositivi per animali domestici e console di gioco o una varietà pressoché infinita di oggetti wearable e piccoli elettrodomestici sono solo alcune delle tipologie di dispositivi IoT privati che troviamo connessi alle reti aziendali in conseguenza dell’aumento del lavoro a distanza durante la pandemia – esordisce Pirovano -. Per un qualunque addetto alla cybersecurity questo scenario è quanto di peggio possa presentarsi: un insieme altamente variegato di applicazioni e sistemi operativi, spesso obsoleti, senza alcun controllo sulle più basilari norme di sicurezza informatica, liberi di accedere alla rete aziendale creando potenziali nuovi punti di penetrazione o vettori d’attacco”.
Quali sono gli aspetti chiave da considerare?
“Innanzitutto la complessità nell’identificare le potenziali sorgenti di attacco esterne e la limitata possibilità di rimedio, non avendo la possibilità di alcun controllo preventivo. Ma poi anche il fatto che sempre più spesso, le reti domestiche consentono a una serie di dispositivi smart connessioni ad alta velocità, diventando così punti di accesso particolarmente critici proprio per le loro elevate performance
Un fattore importante da tenere in considerazione è che nello sviluppo di dispostivi consumer l’aspetto costo/funzionalità è dominante a scapito della sicurezza, considerata tipicamente un costo non facilmente applicabile al marketing del prodotto stesso. Questo implica che tutto il carico della securizzazione e della misurazione della postura di sicurezza/livello di rischio rimane al di fuori di questi dispositivi.
Il patching di sicurezza , infine, è limitato ad alcune classi di dispositivi domestici (i router o i NAS, ad esempio), mentre il resto viene spesso trascurato dopo poco tempo dal rilascio, facendo crescere il rischio che vengano scoperte e utilizzate vulnerabilità. Inoltre, per motivi di costo si usano spesso sistemi operativi obsoleti, e anche per i dispositivi per i quali vengono rilasciate patch, i cicli di supporto sono governati dalle dinamiche di vendita consumer, senza garanzia di supporto nel tempo”.
Dal punto di vista dell’utente remoto invece cosa possiamo dire?
“Se analizziamo lo scenario dal punto di vista dell’utente remoto, osserviamo tra gli altri, i due seguenti aspetti rievanti:
Le aziende possono fare molto sull’educazione alla cyber hygiene, ma non ci si può aspettare alcuna forma di enforcement, e ogni eventuale attività di verifica dello stato di postura pre-attacco sarebbe particolarmente complessa. Il tema è tutt’altro che banale, ed è evidente come una qualunque forma di responsabilità condivisa sulla sicurezza in questo tipo di scenari sia applicabile solo molto parzialmente applicabile, se e quando possibile.
Vi è poi un’esplosione di dispositivi wearable o medicali personali che scambiano dati sensibili anche di natura sanitaria sulla rete della propria organizzazione. Gli utenti sono consapevoli di questa condivisione e degli eventuali rischi di compromissione in caso di attacco al network aziendale?”.
Il fenomeno coinvolge anche l’Italia con il 92% delle imprese italiane, secondo la vostra ricerca, che ha rilevato un incremento nel numero di dispositivi IoT connessi alla rete aziendale. Come è messo il nostro Paese rispetto agli altri?
“Il 92% delle imprese italiane ha rilevato un incremento nel numero di dispositivi IoT connessi alla rete aziendale, con un dato che si è rivelato il più elevato in EMEA, con l’Italia seguita da Francia (91%), Spagna (89%), Germania e Gran Bretagna (entrambe 80%). A livello globale, la percentuale è superata da Brasile (96%), Stati Uniti e Hong Kong (entrambi 94%)”.
Perché i device IoT possono essere così pericolosi?
“Si parla spesso di security by design nella progettazione di hardware e software per le aziende e, considerando l’interdipendenza sempre più spinta tra IT e OT, un approccio omogeneo e integrato ai temi della cybersecurity diventa un’esigenza che le aziende stanno comprendendo sempre di più, impegnandosi per adeguarsi gradualmente.
Il concetto di Zero Trust o Extended Zero Trust continua a guidare le scelte delle aziende più attente alle normative e al controllo del rischio. Al tempo stesso però ci si trova in uno scenario in cui hardware e software di classe consumer hanno possibilità di accesso alle risorse aziendali, divenendo perfetti cavalli di Troia.
Oltre a quelli già indicati in precedenza, vi sono altri aspetti di “insicurezza” da considerare: gli oggetti resi smart e connessi diventano sempre più intelligenti, con un numero più elevato di funzioni a disposizione degli utenti e quindi più complessi e significa mettere nelle mani di potenziali malintenzionati strumenti sempre più raffinati.
Se invece rivolgiamo lo sguardo verso il mondo dell’Industrial IoT, oltre alla sicurezza intrinseca sugli endpoint, vi sono aspetti di securizzazione molto complessi legati alle architetture edge, cloud o ibride utilizzate per la raccolta e l’elaborazione dei dati”.
Quali sono gli incidenti più temuti?
“Secondo i risultati, i principali incidenti di sicurezza IoT che terrebbero svegli i decision maker IT italiani che hanno dispositivi IoT connessi alla rete della propria organizzazione se si verificassero sono: violazione dei dispositivi Industrial IoT (IIoT) (57%), Attacchi DDoS (54%) e violazione dei dispositivi Internet of Medical Things (IoMT) (42%)”.
Concretamente si parla di un incremento negli incidenti di sicurezza IoT (+79% in Italia) e nelle vulnerabilità (+86%). Quali sono i dati a livello EMEA rispetto all’Italia? I Paesi sono allineati?
“In EMEA i Paesi sono tendenzialmente tutti allineati nell’aver rilevato un incremento degli incidenti di sicurezza IoT e del numero di vulnerabilità, con percentuali simili o superiori a quelle italiane. L’unico paese che sembra percepire meno rischi è il Regno Unito, dove solo il 41% degli intervistati ha osservato un aumento di incidenti e il 68% di vulnerabilità”.
Appare chiaro quindi, come emerge dall’indagine, che l’approccio alla sicurezza IoT necessita di miglioramenti o addirittura va completamente rivisto. Quali sono le percentuali degli IT Decision Maker interpellati in relazione a questa questione?
“Il 98% dei decision maker con dispositivi IoT connessi alla rete aziendale ritiene necessari ulteriori miglioramenti all’approccio di sicurezza IoT per continuare a elevare il livello di protezione ed evitare attacchi tanto temuti. Anche gli altri paesi EMEA confermano questo trend, con percentuali generalmente simili”.
Tra le strategie più utilizzate dalle aziende in Italia il 50% (contro il 51% a livello EMEA) dichiara di avere segmentato i device IoT su una rete separata da quella utilizzata per i dispositivi primari e le applicazioni aziendali chiave, mentre un ulteriore 32% (contro il 26% a livello EMEA) parla di micro-segmentazione con le rispettive zone di sicurezza strettamente controllate. Cosa significa in concreto? Perché è necessario e fondamentale segmentare e perché anche se necessario non è sufficiente?
“Ogni endpoint IoT fornisce un potenziale punto di ingresso per un malintenzionato, esponendo l’intera rete a rischi esterni. Quindi, come con altri endpoint, i dispositivi IoT sono vulnerabili e disponibili a una loro “weaponisation”, diventando così un’arma pericolosa a disposizione degli attaccanti. Se infettati da malware, questi dispositivi possono essere utilizzati come botnet per lanciare attacchi DDoS (Distributed Denial-of-Service) verso la rete che il cybercriminale vuole abbattere. Tuttavia, a differenza dei dispositivi IT, la vasta gamma di hardware e sistemi operativi per i device IoT rende impossibile proteggerli tutti allo stesso modo. Non esiste un unico agente di prevenzione del malware compatibile con la maggior parte delle piattaforme IoT. Ecco perché l’unico approccio di protezione realistico passa attraverso una segmentazione, la più capillare possibile, degli ambienti IoT. È un ulteriore esempio di quanto una filosofia che annulli ogni livello di fiducia tra dispositivi, applicazioni e reti sia il percorso ottimale per proteggere anche gli ambienti IoT. La segmentazione o la micro-segmentazione fini a se stesse sono strategie architetturali necessarie ma non sufficienti: l’analisi del traffico in tempo reale di architetture di questo tipo consente di identificare i dispositivi, tracciare i loro comportamenti e le deviazioni malevole, identificare i malware zero day per poterli bloccare, facendo evolvere automaticamente tutte queste capacità. Sarebbe opportuno che tutto questo fosse integrato nativamente nei processi di sicurezza inerenti alla parte IT, altrimenti si rischia di trovarsi di fronte all’ennesima visuale parziale del problema slegato dal resto, con la conseguenza di dover inseguire una qualche forma di integrazione a posteriori. Il livello di integrazione a cui facciamo riferimento è inerente alle tecnologie attive per la visibilità e protezione, ma deve essere esteso all’intero ciclo di vita della cybersecurity, incluse le tecnologie di detection & response, automazione nella gestione degli incident e orchestrazione dei tool necessari al threat hunting”.
Quali sono altri passaggi utili per mitigare il rischio per la sicurezza IoT a casa e in azienda?
“Ecco cinque consigli utili per chi lavora da casa:
Avere maggiore confidenza con il proprio router
Tutti i dispositivi IoT quasi sicuramente si connettono a Internet tramite router. Iniziare cambiando le impostazioni predefinite – quelle con cui viene fornito ogni router – con qualcosa di unico. Crittografare poi la rete, semplicemente aggiornando le impostazioni del router a WPA3 Personal o WPA2 Personal.
Controllare quali dispositivi sono connessi
Accedere all’interfaccia web del router e cercare “dispositivi connessi”, “client wireless” o “client DHCP” per visualizzare una lista e disconnettere i vecchi dispositivi che non si usano più, e disabilitare la gestione remota sui dispositivi dove non necessaria.
Segmentare la rete domestica
La segmentazione di rete non serve solo per le grandi aziende. È possibile segmentare anche la rete di casa creando una Wi-Fi per gli ospiti, alla quale collegare i dispositivi IoT, mentre gli altri utilizzano la rete principale. Questo aiuta a raggruppare i dispositivi e isolarli. Tenerli su una rete separata rende difficile raggiungere i vostri computer da un dispositivo IoT compromesso.
Utilizzare l’autenticazione a due fattori
Se un device offre l’autenticazione a due fattori (una password e un altro metodo, come un codice inviato sul telefono o la lettura dell’impronta digitale), è bene utilizzarla.
Abilitare gli aggiornamenti di sicurezza
Ottimizzare la protezione dei dispositivi IoT, e anche del router, quando vengono richiesti aggiornamenti di sicurezza. Molti device IoT offrono update che tipicamente risolvono vulnerabilità e problemi noti, e che è consigliabile accettare quando vengono proposti”.
In azienda invece?
“In azienda è opportuno:
Conoscere l’incognito
Ottenere visibilità completa di tutti i dispositivi IoT connessi in azienda. Una soluzione di sicurezza IoT efficace dovrebbe essere in grado di rilevare il numero esatto dei device connessi in rete, inclusi quelli di cui non si è a conoscenza – e di quelli che sono stati dimenticati. Questo aiuta ad avere una panoramica di tutti gli asset IoT e quindi una visione più chiara dello stato della propria rete.
Controllare quali dispositivi sono connessi
Accedere all’interfaccia web del router e cercare “dispositivi connessi”, “client wireless” o “client DHCP” per visualizzare un elenco e scollegare i vecchi dispositivi che non si usano più, e disabilitare la gestione remota sui dispositivi dove non necessaria.
Implementare Zero Trust per gli ambienti IoT
Una strategia di sicurezza IoT dovrebbe allinearsi ai principi Zero Trust per implementare policy di accesso con privilegio minimo. Da qui, è consigliabile valutare una soluzione di sicurezza IoT che sfrutti l’infrastruttura firewall esistente per una postura di sicurezza completa e integrata. Abbinata alle funzionalità del firewall, la soluzione dovrebbe raccomandare in modo automatico e applicare nativamente le policy di sicurezza in base al livello di rischio e all’entità del comportamento non affidabile rilevato nei dispositivi IoT. Inoltre, una soluzione specifica può estendere una rete aziendale e portare la gestione unificata dei criteri di sicurezza e il SASE (secure access service edge) ai dipendenti che lavorano da casa
Agire rapidamente per prevenire le minacce note
La diversa natura dei dispositivi IoT crea un ambiente altamente distribuito in rete, con numerosi punti di potenziale compromissione. Sarebbe ideale valutare un meccanismo di prevenzione delle minacce che utilizzi firme basate su payload per bloccare le minacce avanzate sui dispositivi IoT. Questo garantirà la più aggiornata postura di sicurezza e la difesa dalle minacce conosciute per avere una risposta rapida e in tempo reale alle vulnerabilità e ai punti deboli anomali dei dispositivi IoT in tutta la rete.
Implementare rilevazione immediata e risposta rapida alle minacce sconosciute
Una soluzione di sicurezza IoT dovrebbe essere in grado di attingere a un motore di threat intelligence fornito tramite cloud che fornisca analisi delle minacce in tempo reale e protezione dagli attacchi zero-day ai dispositivi IoT. Attingere a questi dati permette al team di sicurezza IT di risparmiare tempo prezioso, sfruttando le informazioni sull’identità IoT, i punteggi di rischio, i dati sulle vulnerabilità e l’analisi comportamentale per indagare immediatamente su minacce sconosciute e uniche per l’ambiente IoT”.
Palo Alto cosa propone concretamente, dal punto di vista della tecnologia, per affiancare le aziende in questa sfida?
“L’IoT security tocca molti temi tecnologici della cyber sicurezza, non solo gli aspetti di rete affrontati in questo articolo e nella ricerca.
Abbiamo parlato di capacità di identificazione automatizzata e integrata nei Next Generation Firewall (NGFW) di Palo Alto Networks dei dispositivi IoT (quindi asset management) e l’analisi dei loro comportamenti in rete. A questo si aggiunge la loro capacità di suggerire le policy di sicurezza ottimali per tipologia di dispositivo IoT, in modo da facilitare il lavoro per chi, arrivando dal mondo OT, non avesse ancora un livello di competenza elevato. Gli stessi firewall sono in grado di compiere la funzione di Network Traffic Analytics, rinforzando la capacità di protezione da movimenti laterali. Infine, il motore di threat prevention, dotato di Machine Learning e Intelligenza Artificiale in linea, fornisce uno strumento unico per l’identificazione e il blocco di attacchi mai visti prima.
Poiché gli ambienti IoT sono spesso ibridi, un insieme di architetture di edge computing e cloud, e con trasporto ibrido tra rete e 5G, riteniamo sia necessario avere un approccio integrato alla cybersecurity che vada a coprire in modo uniforme, scalabile e adattabile l’intero ecosistema di riferimento.
Per questo abbiamo creato un framework di protezione del mondo cloud che non si limita alla protezione in linea o dei workload, ma che è in grado di proteggere tutta la fase di sviluppo e messa in linea di applicazioni ingegnerizzate per il cloud e l’infrastructure as a code, ancora una volta pienamente e nativamente integrata con il resto delle nostre tecnologie.
L’esplosione della superficie di attacco richiede che una security platform abbia capacità di Attack Surface Management (ASM) che consentano di vedere gli asset aziendali esposti, inclusa la parte OT e IoT dal punto di vista di chi attacca, integrata e correlata con quanto invece si osserva all’interno della nostra rete o del cloud. L’integrazione Cortex Espanse con XDR fa esattamente questo, consentendo di identificare i rischi esterni e di ricondurli agli errori commessi all’interno dell’infrastruttura di sicurezza.
IoT ricade spesso nel tema di Secure Access Service Edge per il quale proponiamo una soluzione unica sul mercato, in grado di consolidare i temi di connettività di qualunque tipo (dall’host, all’utente o rete remoti), per una fruizione sicura di dati e applicazioni ovunque siano, fino alle funzioni evolute di SD-Wan, il tutto ancora una volta integrato e con le stesse funzioni di sicurezza del miglior Next Gen Firewall sul mercato.
Infine, con i tool e i servizi di consulenza mettiamo a disposizione dei nostri partner e clienti strumenti per misurare il grado di adozione delle funzionalità di sicurezza delle nostre soluzioni e fornire raccomandazioni sui next step, a garanzia dell’ottenimento della migliore postura di sicurezza”.
Per finire, dal punto di vista delle normative di sicurezza IoT, cosa pensano i rispondenti? Le trovano attuali o non in grado di tenere il passo con il numero dei device connessi?
“Anche per quanto riguarda le normative di sicurezza IoT, i paesi dell’area EMEA si trovano d’accordo nell’affermare di non essere in grado di tenere il passo con il numero di device connessi, contribuendo così a un potenziale incremento di rischi e vulnerabilità per le aziende. In Italia, questa è stata l’opinione del 60% degli intervistati”.
Da questa indagine emerge un quadro dell’Italia tutto sommato allineata agli altri Paesi e anzi addirittura più avanti da certi punti di vista. Vi aspettavate un simile risultato? Secondo voi perché c’è così una grande sensibilità e attenzione verso queste problematiche anche nel nostro Paese, che tradizionalmente invece si piazza spesso come fanalino di coda?
“I risultati emersi dalla ricerca in Italia sono incoraggianti, con aziende che si rivelando abbastanza preparate o con piani in via di definizione. Il 50% delle imprese ha dichiarato infatti di aver già segmentato i device IoT su una rete separata da quella utilizzata per i dispositivi primari e le applicazioni aziendali chiave, mentre per un ulteriore 32% si parla di micro-segmentazione, con le rispettive zone di sicurezza strettamente controllate. È un segnale di elevata consapevolezza rispetto ai rischi potenziali che questi device potrebbero causare e dell’implementazione di una corretta strategia per prevenirli. L’esplosione del lavoro da remoto ha favorito l’ingresso improvviso di un gran numero di nuovi dispositivi IoT in azienda, aumentando il livello di rischio per le organizzazioni. È fondamentale continuare a sottolineare l’importanza della definizione di un piano di sicurezza IoT per far sì che anche il restante 18% delle aziende proceda con la segmentazione della rete e migliori ulteriormente visibilità e protezione dei loro dispositivi, riducendo così rischi e vulnerabilità”.
