Le promesse dell’IoT sono sempre più realtà. Ma pongono anche nuove sfide alla security. Ecco una breve check list in cinque punti per essere certi di partire con il piede giusto
A cura Luca Rossetti, Senior Business Technology Architect CA Technologies
Chi ha visto l’anno scorso l’ottavo film della saga “Fast and Furious”, avrà forse sorriso alle scene in cui un cybercriminale, da un aereo, prende il controllo di migliaia di auto connesse per creare un enorme ingorgo nelle strade di Manhattan. Ma se è vero che molte delle ipotesi catastrofiche che si vedono sul grande schermo probabilmente non prenderanno mai vita, è altrettanto vero che il numero di violazioni associate ai dispositivi connessi è in aumento.
Dalle auto agli elettrodomestici, dagli smartphone ai device indossabili, un dispositivo intelligente o un’applicazione connette quasi ogni aspetto delle nostre attività nella società moderna. Sempre più spesso, le aziende si accorgono delle enormi potenzialità offerte dall’IoT: uno studio di McKinsey dello scorso luglio ha rilevato che il 92 per cento dei top manager ritiene che l’IoT avrà un impatto positivo sul business nei prossimi tre anni.
Tuttavia, molte aziende esitano nell’abbracciare completamente l’IoT, in buona parte a causa di problemi di sicurezza. Nel settembre 2016, la famigerata botnet Mirai ha lanciato uno degli attacchi DDoS, Distributed Denial-of-Service, maggiori e dirompenti della storia, che ha interrotto il servizio su molti siti Web famosi, tra i quali Netflix.
L’aggiunta di una quantità sempre maggiore di dispositivi IoT in rete ogni giorno, crea altrettante modalità di sfruttare le vulnerabilità da parte dei malintenzionati. La protezione dell’IoT inizia con la gestione delle identità: ogni nuovo dispositivo connesso ha un’identità che deve essere autenticata e autorizzata, proprio per proteggere la sicurezza del dispositivo e delle reti che tocca.
Qui di seguito riporto una check list in cinque punti, che è opportuno tener presente se si vuole essere sicuri di fare le cose per bene abbracciando l’Internet of Things.
-
Gestire il ciclo di vita del dispositivo
Un’azienda non darebbe mai consapevolmente a un ex dipendente l’accesso a dati aziendali una volta cessato il rapporto di lavoro. Allo stesso modo, un’azienda non dovrebbe mai consentire a un dispositivo di rimanere nella sua rete dopo che l’accesso non è più necessario. Nel corso del ciclo di vita di ogni dispositivo, i team di sicurezza IT aziendali devono gestire non solo chi ha accesso al dispositivo ma anche quali azioni il dispositivo è autorizzato a eseguire in qualsiasi momento. Quando il dispositivo non è più necessario, la connessione deve essere chiusa definitivamente.
-
Monitoraggio del comportamento
Quando si tratta di dispositivi collegati, non sempre può risultare chiaro se e quando un dispositivo è compromesso. Oggi quasi tutti portano con sé al lavoro i propri smartphone, che spesso non sono protetti e potrebbero diventare vulnerabili a causa di applicazioni compromesse. Utilizzando l’analisi dei rischi e del comportamento, l’azienda può monitorare in modo accurato ed efficiente come si comportano i dispositivi IoT per identificare se il dispositivo ha un comportamento al di fuori dei suoi limiti normali.
Qualsiasi scostamento può evidenziare tempestivamente un dispositivo compromesso. Possiamo imparare dalle modalità con cui il settore delle carte di credito affronta le attività fraudolente: se una transazione appare non consueta rispetto alle abitudini normali di spesa del cliente, la società emittente limita l’accesso alla carta di credito, utilizzando un processo basato su analisi comportamentali per determinare la quantità di rischio associata a comportamenti anomali.
-
Autorizzare l’interazione dispositivo-utente
La natura dei dispositivi IoT si basa sull’interazione tra dispositivi e utenti e tra i dispositivi stessi. Ma queste interazioni devono essere autorizzate: ciò significa che i team di sicurezza devono essere in grado di autorizzare non solo gli utenti che hanno accesso a determinati dispositivi, ma anche di autorizzare le azioni che tali dispositivi stanno facilitando.
-
Autenticare le connessioni del dispositivo
Quando in famiglia ci si connette al router Wi-Fi di casa, ogni persona usa le stesse credenziali per accedere: in base a questa premessa, la rete ritiene che ogni accesso avvenga da parte dello stesso utente. Quando però si tratta di dispositivi IoT, è necessario un processo di autenticazione automatizzato per verificare un’identità univoca per ciascun dispositivo. Nell’attacco botnet Mirai ricordato prima, sono state utilizzate credenziali predefinite per compromettere la rete e ottenere l’accesso. Se i team di sicurezza non sono in grado di distinguere tra i dispositivi in base alla loro identità, allora non possono affrontare con precisione le minacce e mitigare i rischi.
-
Gestire le autorizzazioni degli utenti
In maniera analoga a quanto avviene per l’accesso umano, occorre la possibilità di revocare l’accesso al dispositivo e controllare il livello di rischio associato a qualsiasi dispositivo. Questo viene fatto controllando i livelli di permessi che autorizzano gli utenti ad accedere ai dispositivi connessi. Gestire le autorizzazioni dei diversi utenti non è un processo che si risolve in un’unica fase. Le aziende devono essere in grado di gestire le autorizzazioni in tempo reale per motivi sia di sicurezza sia legali. Man mano che i dispositivi IoT diventano sempre più utilizzati su larga scala, aumenterà il bisogno di governance per garantire che le informazioni private non siano nelle mani delle persone sbagliate.
Anche alla luce del fatto che Gartner stima la presenza di 50 miliardi di dispositivi connessi entro il 2020, cioè entro poco meno di due anni, l’approccio alla sicurezza dei dispositivi deve evolversi. Avvicinarsi all’IoT con l’identità in mente renderà il mondo connesso, e soprattutto le aziende, un luogo più sicuro.