A cura di Morgan Wright, Chief Security Advisor di SentinelOne
I dispositivi IoT (IoT) rappresentano un valore aggiunto per le aziende, ma ne aumentano le vulnerabilità, poiché a causa delle nuove sfide di gestione e progettazione, hanno bisogno di sistemi di protezione avanzati basati sull’intelligenza artificiale.
L’IoT ha ridisegnato i confini della praticità, consentendo di monitorare siti da remoto, regolare automaticamente i dispositivi o riprodurre musica senza l’utilizzo dei fastidiosi cavi. Tuttavia, chi si occupa di proteggere questi strumenti ha difficoltà a gestirli o a localizzarli sulla rete, anche se i nuovi profili IP del protocollo dell’IPv6 forniscono indirizzi web disponibili per i miliardi di device IoT.
Il design vulnerabile: i difetti di sicurezza dei dispositivi IoT
Una delle più importanti lacune degli strumenti IoT è che non dispongono di funzionalità di sicurezza informatica. Molti di questi device sono progettati per svolgere compiti specifici senza l’interazione diretta dell’uomo. Proprio per la caratteristica di essere dispositivi “set it and forget it”, non hanno un’interfaccia utente: si limitano a raccogliere i dati e a trasmetterli a un sistema centrale. Una semplicità strutturale che non garantisce la dotazione di misure di sicurezza avanzate e rende vulnerabili agli attacchi.
A differenza dei dispositivi informatici tradizionali, i device IoT potrebbero non essere facilmente visibili o identificabili all’interno dell’infrastruttura IT di un’impresa. Adottare misure di sicurezza adeguate senza sapere quali dispositivi proteggere è quasi impossibile. Questo problema di visibilità è aggravato dall’enorme numero di dispositivi, spesso chiamati “dispositivi ombra”, che si connettono a una rete senza un controllo appropriato.
Nel 2016 una grave compromissione della rete IoT ha scosso l’intero settore della sicurezza: la violazione da parte di una botnet Mirai ha coinvolto un numero ingente di dispositivi IoT e ha lanciato un attacco DDoS che ha sovraccaricato i sistemi di richieste di accesso fino a farli andare in crash. Questo tipo di aggressione sfrutta le falle nella sicurezza degli strumenti IoT, come le password preimpostate, evidenziando la necessità di potenziare le security practice e i tool di sicurezza per potersi difendere da minacce simili.
Strategie per una security IoT efficiente
Data la portata e la complessità dei network IoT, le misure di sicurezza tradizionali sono spesso inadeguate. È qui che le soluzioni basate sull’AI si dimostrano funzionali.
L’intelligenza artificiale può fornire la scalabilità e l’adattabilità necessarie per gestire e proteggere il crescente numero di strumenti IoT, monitorando continuamente il traffico di rete, identificando le anomalie e agendo sulle minacce in tempo reale. Questo monitoraggio attivo 24/7 è qualcosa a cui i CISO mirano, perché garantisce un sistema di difesa dinamico contro gli attacchi informatici.
Alcune Best Practice suggerite per la protezione dei dispositivi IoT:
- Inventory Management: Tenere un inventario dettagliato e aggiornato di tutti i device IoT connessi alle proprie reti. Da qui la necessità di strumenti capaci di rilevare e catalogare automaticamente questi dispositivi, fornendo un quadro chiaro del network.
- Default Password Policies: Molti dispositivi IoT hanno password standard che spesso gli utenti non sostituiscono. Ogni dispositivo, invece, dovrebbe essere dotato di una password univoca e robusta.
- Network Segmentation: Disponendo gli strumenti IoT in reti isolate e costringendoli a essere “confinati” digitalmente, le aziende possono limitare il danno potenziale causato da un dispositivo compromesso. Questo approccio garantisce che, nel caso in cui uno strumento venga violato, l’aggressore non possa facilmente muoversi trasversalmente sull’intero network.
- Behavioral Monitoring: L’adozione del “behavioral monitoring” continuo può aiutare a rilevare attività sospette. I tool basati sull’intelligenza artificiale possono analizzare i modelli e segnalare le variazioni che potrebbero indicare un attacco.
Come agire: attuare una strategia di sicurezza IoT
La realtà è che i dispositivi IoT rimarranno a lungo: semplificano lo svolgimento di attività ripetitive e consentono di impegnare le risorse interne su compiti a valore. Inoltre, aiutano a trasformare gli inconvenienti in flussi di dati che possono essere disaggregati e analizzati.
Resta comunque un compito dei team di sicurezza far sì che la protezione efficiente degli strumenti IoT e delle reti a cui si connettono sia una priorità. In questo senso l’AI, utilizzando un linguaggio comprensibile anche ai più inesperti, svolge un ruolo fondamentale nell’assistenza a coloro che desiderano realizzare ecosistemi IoT più sicuri, con:
- Discovery and Diagnosis: individuare tutti i device presenti in una rete e verificare il loro stato di sicurezza effettivo è il primo passo per una protezione efficiente. Gli strumenti automatizzati possono individuare tutti i dispositivi IoT connessi a un network e diagnosticarne il livello di sicurezza.
- Configuration Management: la modifica delle password predefinite, l’aggiornamento del firmware e l’applicazione delle patch di sicurezza possono garantire che tutti i dispositivi siano correttamente configurati e protetti secondo gli standard più recenti del produttore.
- Continuous Monitoring and Response: Le soluzioni di sicurezza basate sull’AI possono fornire la scala e la reattività necessarie per gestire grandi ecosistemi IoT, implementando un monitoraggio continuo per rilevare e reagire alle minacce in tempo reale.
- User Education and Policies: L’AI può generare dashboard orientate all’engagement che allertano e formano gli utenti su ciò che sta accadendo nella rete, sui rischi esistenti e sulle misure da adottare.
La posta in gioco è alta e il momento di agire è ora. Per molti, l’idea di subire un attacco sembra remota per via delle piccole dimensioni dell’azienda o per eccesso di fiducia. Gli attacchi, però, ci mostrano continuamente come abili hacker possano introdursi in una rete attraverso device IoT non adeguatamente protetti, utilizzandoli potenzialmente per colpire infrastrutture critiche, servizi pubblici o persino un network aziendale o domestico.
