I sensori come punti ciechi nella sicurezza informatica?

La rete attraverso i dispositivi IoT è in continuo aumento. Gli esperti di Analisi IoT ha ipotizzato nel dicembre 2021 che il numero di endpoint attivi in tutto il mondo sarebbe aumentato del nove per cento, raggiungendo i 12,3 miliardi di dispositivi entro la fine dell'anno. Il numero totale di connessioni supererà quindi i 27 miliardi nel 2025. Aziende in Industria e sanità hanno implementato sempre più dispositivi, tra cui semplici sensori o telecamere IP, collegati alla rete aziendale centrale. Anche le piccole e medie imprese si stanno aprendo sempre di più a Internet, spesso senza un piano di sicurezza informatica corrispondente e con poche risorse per la difesa.

Sensori e hardware IoT come gateway

L'hardware IoT è un obiettivo attraente per gli hacker: dirottano le telecamere IP collegate alla rete aziendale per le botnet, per poi effettuare attacchi denial-of-service attraverso di esse. I router privati o altri dispositivi IoT nell'ufficio di casa sono un pericolo diffuso. Gli aggressori possono utilizzarli per accedere all'infrastruttura IT centrale dell'azienda. In definitiva, anche piccole lacune aprono le porte e i cancelli ad attività hacker di vasta portata.

Sono diversi i motivi per cui i sensori e l'hardware IoT rappresentano un punto debole nelle difese informatiche: Molti amministratori spesso non sanno quali dispositivi fanno parte della loro rete. Inoltre, le aziende utilizzano i dispositivi finché funzionano in qualche modo, ovvero più a lungo di quanto previsto dal produttore. Se poi i produttori non supportano più tali sistemi, questi dispositivi diventano una falla nella sicurezza, soprattutto perché gli utenti spesso non aggiornano i dispositivi. Se ci sono aggiornamenti.

Esaminare il traffico dati alla ricerca di anomalie

Chi vuole rilevare e impedire lo scambio di comandi tra i sensori e i server di comando e controllo o i movimenti laterali a scopo doloso in una fase iniziale, deve avere accesso immediato ai dispositivi IoT. Se i dispositivi hanno un indirizzo IP e fanno parte della rete aziendale, l'NDR può vedere e valutare il traffico della videocamera IP, del sensore di produzione o della serratura intelligente.

L'impronta digitale della comunicazione anomala con i dispositivi IoT gestiti basati su IP si distingue chiaramente dal normale traffico di dati: i sensori in produzione, ad esempio, inviano regolarmente piccoli pacchetti ai sistemi e alle applicazioni centrali in un funzionamento standard sicuro e non ricevono quasi mai pacchetti di dati in risposta, a parte un aggiornamento. Al contrario, non ci sono dati da trasmettere all'esterno, a meno che un fornitore non voglia inviare dati al partner. Tuttavia, un'analisi del traffico di rete addestrata dall'intelligenza artificiale e dall'apprendimento automatico rileva eventi imprevisti e lancia l'allarme.

Sei consigli per riconoscere, analizzare e difendere dagli attacchi provenienti dall'Internet delle cose

Allo stesso tempo, gli amministratori IT dovrebbero seguire i seguenti consigli per scongiurare gli attacchi provenienti dall'Internet delle cose:

1. Segmentare le reti aziendali: I dispositivi IoT dovrebbero muoversi nella propria rete. Una rete guest è sufficiente per raccogliere e inoltrare i dati a livello locale. L'accesso a tale rete o gli schemi evidenti nel traffico di dati tra l'IoT e la rete centrale possono quindi essere visti e monitorati in modo efficiente.
2. Zero Trust come protezione di base: Nessun accesso di un dispositivo IoT deve essere consentito senza controllo. Questo controllo di accesso predefinito crea una sicurezza immediata e impedisce la proliferazione di hardware IoT con accesso alla rete.
3. Patching virtuale: Una patch virtuale in un firewall applicativo aiuta a controllare il traffico dei dispositivi IoT non aggiornabili o gestibili con la rete. Risolvono i problemi di sicurezza esistenti attraverso il blocco a livello di firewall.
4. L'allarme deve essere seguito da un'azione immediata: Gli schemi anomali di traffico sulla rete devono attivare misure di difesa attraverso firewall, antivirus, rilevamento e risposta degli endpoint o gestione delle identità. I sistemi di blocco o il backup automatico delle istantanee al primo verificarsi di un presunto attacco e durante i preparativi sono misure immediate automatizzate per prevenire i danni.
5. Costruire una strategia di difesa completa: Se i sistemi IT non fanno parte della rete aziendale, gli amministratori IT possono teoricamente installare un sensore di un NDR a livello locale, il che comporta costi e sforzi amministrativi elevati. Altre tecnologie di sicurezza svolgono quindi un ruolo importante, ad esempio nel router domestico non gestito: un client EDR fornisce una protezione immediata per questo endpoint.
6. Analizzare gli eventi per prevenire gli attacchi di domani: Se l'NDR ha respinto un attacco con l'aiuto di altre tecnologie, l'analisi dell'incidente svolge un ruolo importante per colmare il divario e prevenire ulteriori attacchi. I percorsi di un attacco, che un Network Detection and Response registra in una timeline da e verso l'esterno e all'interno del sistema in uno specchio di tutto il traffico dati, rimangono visibili. L'intelligenza artificiale e l'apprendimento automatico creano anche nuovi schemi di attacco del traffico che possono indicare un attacco IoT e contribuire alle difese future.

Rilevare le tracce nel traffico dati

La minaccia dell'Internet of Things travolge rapidamente i team IT con risorse umane e tecniche limitate. Ma ogni volta che l'IoT è il punto di partenza per un attacco all'infrastruttura IT centrale con sistemi, applicazioni e conoscenze aziendali, questi eventi si riflettono nel traffico dati. Network Detection and Response, che sviluppa modelli normali del traffico dati basati su AI, machine learning e threat intelligence, lancia l'allarme quando si verificano anomalie ed esegue misure difensive automatiche. Tale difesa è ora alla portata delle piccole e medie imprese.

Autore:
Paul Smit è direttore dei servizi professionali presso ForeNova B.V. Questa azienda è uno specialista della sicurezza informatica in rapida crescita che offre alle PMI un servizio di Network Detection and Response (NDR) conveniente e completo per mitigare efficacemente i danni delle minacce informatiche e ridurre al minimo i rischi aziendali.