Il tema della IoT security è oggi uno dei maggiormente dibattuti, complici anche la crescita esponenziale dei dispositivi connessi a Internet e di applicazioni sempre più intelligenti, accessibili e fruibili attraverso il web, e la recente evoluzione della tecnologia e delle reti che consentono uno scambio di comunicazioni veloce e puntuale.
Questo ecosistema digitale, costituito da device che interagiscono mediante tipologie di connessioni sempre più eterogenee e con finalità differenti, ha portato a un aumento tale della cosiddetta “superficie esposta” e delle vulnerabilità hardware e software dei dispositivi da spingere gli esperti di sicurezza informatica, sia a livello europeo che nazionale, a disegnare direttive e best practice da seguire, al fine di evitare i numerosi attacchi dei criminali informatici.
Indice degli argomenti
IoT security, quali le esigenze alla base
“Con IoT security si intende un approccio multilivello con cui difendere quelli che, tecnicamente, vengono identificati come “asset esposti su Internet”: con queste parole introduce l’argomento Mauro Salvau, esperto in Cyber Security di BlendIT, tech company italiana che fornisce servizi di sicurezza IT con una business unit specializzata. “Nell’IoT sono contemplati diversi livelli di sicurezza. Questi dispositivi, infatti, spesso utilizzano sistemi propri operativi, non regolati da precisi standard di sicurezza”, spiega Salvau, “Pertanto, essendo caratterizzati da vulnerabilità intrinseche, richiedono regole di web security specifiche, una security by design implementata fin dalle fasi di sviluppo del dispositivo, che protegga da possibili compromissioni sia i dati che la rete alla quale si collegano, considerando anche tutta la superficie di attacco che presentano i servizi di rete del dispositivo”.
Se compromessi, infatti, questi dispositivi sono suscettibili di attacchi da parte di malware molto pericolosi che, sfruttando le vulnerabilità del protocollo correlato all’IoT, li rendono parte della propria botnet utilizzata per lanciare attacchi DDoS sistemici di negazione del servizio su larga scala o contro obiettivi specifici com’è accaduto, ad esempio, nel caso del malware Mirai.
Maggiore è la quantità di dispositivi connessi, tanto più alte sono le opportunità per i cybercriminali di compromettere la loro sicurezza. Una botnet è una rete di dispositivi infettati intenzionalmente con malware, detti “bot” (zombie), affinché possano eseguire attacchi in modo automatizzato su Internet senza l’autorizzazione dei loro proprietari e senza che questi ne siano a conoscenza. I malware botnet IoT sono tra le varianti di attacco più frequentemente registrate.
“Spesso i device IoT non vengono aggiornati, rimangono con le impostazioni di default e non vengono protetti a dovere, rendendoli una “preda” facile per il cybercrimine. È importante considerare anche questi aspetti che spesso vengono ignorati dai più”, commenta Salvau.
IoT Security: gli attacchi hacker protagonisti
Secondo quanto indicato nel rapporto Clusit 2023, il malware rappresenta la tecnica con cui viene sferrato il 37% degli attacchi globali; seguono vulnerabilità (12%, escludendo la componente di attacchi basati sui cosiddetti “0-day”), phishing e social engineering (12%), in crescita del 52% sul totale rispetto allo scorso anno, come gli attacchi DDoS (4%), che segnano una variazione percentuale annua del +258% e tecniche multiple (+72% la variazione percentuale annua), in virtù della natura più complessa degli attacchi. Anche in Italia prevalgono gli attacchi per mezzo di malware, che rappresentano il 53% del totale sul nostro territorio, un valore che supera di 6 punti percentuali il dato globale.
“Questi dati, tuttavia, non sono rappresentativi della realtà ma di quella che potremmo definire la punta dell’iceberg”, chiarisce Salvau. “Sono molti gli attacchi che, per vari motivi, non vengono dichiarati”.
IoT security: come difendersi
Il mondo dell’IoT o Internet of Things è particolarmente esposto a vulnerabilità che possono essere sfruttate anche per attacchi alla supply chain. In particolare, nell’Industrial IoT, la convergenza tra mondo IT (Information Technologies) e OT (Operational Technologies) rappresenta una delle sfide principali in termini di sicurezza IoT.
“In questo scenario, il continuo aumento della superficie esposta necessita di una governance e di best practice che assicurino la sicurezza dell’infrastruttura IT/OT e mitighino il rischio di vulnerabilità della rete aziendale, a protezione del patrimonio informativo aziendale e delle informazioni afferenti ai dati personali, anche in accordo al Regolamento Generale sulla Protezione dei Dati UE 2016/679 (GDPR), alla più recente Direttiva NIS2, la norma dell’Unione Europea entrata in vigore lo scorso gennaio 2023, al Regolamento DORA, la Direttiva CER, il Cyber Resilience Act e, a livello nazionale, al Perimetro di Sicurezza Nazionale Cibernetica, definito dall’Agenzia per la Cybersicurezza Nazionale (ACN)”, dichiara Salvau.
A livello europeo, è importante sottolineare il ruolo dell’ENISA, l’agenzia che mira a conseguire un livello comune elevato di cybersicurezza, collaborando con le imprese per rafforzare la fiducia nell’economia digitale, promuovere la resilienza delle infrastrutture dell’UE e, in ultima analisi, garantire la sicurezza digitale dei cittadini dell’UE. “In particolare, nell’art. 21 della Direttiva NIS2 – aggiunge Salvau – viene richiesto che i soggetti definiti “essenziali” e “importanti” affrontino i rischi di cyber security adottando misure appropriate sia a livello tecnico che operativo e organizzativo, seguendo un approccio “all hazard”, coinvolgendo anche le catene di approvvigionamento e le relazioni con i fornitori”.
IoT security: le best practice di sicurezza
“Ad oggi”, precisa poi Salvau, “oltre alla protezione dei device nella fase di sviluppo con la security by design, mediante una specifica architettura che renda sicuri i dispositivi immessi sul mercato e che costituisce il primo layer di sicurezza del dispositivo, l’approccio multilivello deve prevedere una serie di autenticazioni. La security by design è infatti fondamentale, ma non è sufficiente”. Per migliorare la sicurezza IoT all’interno di una organizzazione, l’approccio multilivello deve, a titolo esemplificativo, contemplare:
- il tracciamento e il monitoraggio di tutti i dispositivi IoT connessi alla rete, fondamentale per avere la necessaria visibilità ed effettuare gli aggiornamenti richiesti a fronte di una vulnerabilità. Rilevare tempestivamente le vulnerabilità dell’infrastruttura, ossia i punti critici, consente di mettere in campo interventi mirati, per assicurare la continuità del business e rappresenta una delle prime sfide per la protezione di ambienti OT;
- l’aggiornamento frequente di password e credenziali, importante per garantire che i dispositivi siano sempre sicuri. È altresì necessario cambiare sempre la password di default del dispositivo durante la sua configurazione;
- la gestione e l’aggiornamento delle patch di sistema: aggiornare software e dispositivi consente non solo di fornire nuove funzionalità e correggere bug ma anche di mantenere un livello alto di sicurezza, eliminando le vulnerabilità sfruttate dai criminali informatici;
- l’autenticazione a più fattori (MFA, Multi-Factor Authentication), che chiede agli utenti di fornire due o più metodi di verifica per accedere a un account online;
- la trasmissione dei dati in modalità crittografata, quindi sicura;
- l’utilizzo di una VPN per collegarsi al dispositivo da remoto. La trasmissione dei dati dal dispositivo al cloud tramite specifiche app da installare sui dispositivi potrebbe infatti non essere crittografata. La VPN garantisce che i dati siano sempre trasferiti in forma crittografata e protetti da attacchi di tipo man-in-the-middle;
- l’introduzione di corrette policy per la gestione degli accessi e dei relativi privilegi;
- la segmentazione delle reti IT e OT, mediante la quale è possibile ridurre al minimo i punti di accesso ai dati sensibili limitando gli accessi non autorizzati ad una sottorete prima che abbiano la possibilità di infettare un’altra.
“Questi livelli di sicurezza sono tutti necessari per limitare la possibilità di un attacco hacker”, spiega Salvau. “Nel caso delle imprese, lo scopo primario è la tutela del patrimonio informativo aziendale. Quindi è prioritario valutare e rilevare quali sono le vulnerabilità presenti grazie a controlli di sicurezza su vari asset aziendali, tra cui domini, account, device dell’organizzazione, servizi di monitoring, early detection & response, oppure tramite un audit approfondita e su misura. Grazie alle competenze dei nostri esperti di cyber security e all’uso di algoritmi di intelligenza artificiale, le analisi vengono tradotte in concrete attività di contrasto ai cyber attacchi, tramite il SOC (Security Operation Center) che ha il compito di veicolare tutte le azioni che permettono di bloccare o mitigare gli attacchi subiti”.
Il ruolo della security awareness
In questa prospettiva, infine, un investimento necessario è anche quello dedicato allo sviluppo della security awareness – oggi un tema ancora poco sentito in ambito PMI. La consapevolezza della corretta gestione di uno strumento informatico è fondamentale per la prevenzione degli attacchi. “È importante comprendere che l’essere umano è la principale vulnerabilità dell’ecosistema di sicurezza. In tal senso, i nostri percorsi di security awareness, che hanno come obiettivo l’insegnamento di comportamenti virtuosi, devono diventare parte di una cultura aziendale che punti a trasformare l’operatore nella prima linea di difesa, abbattendo le probabilità di successo di un attacco”, chiosa Salvau.
