Perché l’IoT è Considerato l’Ultimo Vettore di Attacco per le Botnet e Come Possiamo Proteggerci - Extreme Networks

Perché Tutta l’Attenzione sull’IoT?

Dopo l’attacco Mirai nel 2016, sebbene gran parte delle persone avesse capito che si trattava principalmente di una botnet IoT, non è stato tenuto conto dell’impatto di ciò che era successo.

Gli utenti possono facilmente riconoscere l’immagine di un ransomware, che raffigura un grande schermo rosso con il simbolo di un teschio e ossa incrociate; questo tipo di malware di solito fa più scalpore a causa dell'impatto diretto sugli utenti.

Ma le minacce ai dispositivi IoT, anche se non hanno la stessa reputazione, possono causare danni di pari entità se non addirittura maggiore.

I criminali informatici hanno compreso velocemente che i dispositivi IoT sono la strada migliore per lo sviluppo di botnet.

L’attacco a dispositivi IoT elimina la necessità per gli aggressori di indurre le vittime a compiere un’azione; se la botnet può infettare un dispositivo IoT sulla rete e quel dispositivo si trova sullo stesso segmento o connesso agli utenti sulla rete, allora può saltare dal dispositivo IoT al PC dell'utente proprio come un virus biologico può saltare da un animale ad una persona nelle giuste circostanze.

Le botnet ben progettate non prestano attenzione ad endpoint o a specifiche di nodi e la maggior parte ha la capacità di ignorare Linux, un sistema operativo (OS) IoT molto comune o qualsiasi altro sistema operativo come Windows o persino Android e IOS.

Sono cinque le ragioni principali per cui i dispositivi IoT sono considerati ottimi vettori per gli attacchi informatici:

1. Molto spesso i team IT non sono a conoscenza della presenza di dispositivi IoT. Le statistiche mostrano che più del 60% degli amministratori IT intervistati dichiara di non essere a conoscenza di tutti i dispositivi IoT presenti all’interno della rete. Non possiamo proteggere ciò di cui non siamo a conoscenza.

2. Molti dispositivi IoT presentano vulnerabilità note e può essere difficile effettuare patch o aggiornarli. Inoltre, in molti casi, i dispositivi IoT hanno livelli di firmware che spesso non possono essere risolti con patch o aggiornamenti del software.

3. Molti dispositivi IoT hanno password di default che, anche una volta cambiate, possono apparire di nuovo al riavvio, per le problematiche indicate poco sopra.

4. Spesso non è chiara la comprensione del perimetro di comportamento di un dispositivo IoT. Ciò può verificarsi anche quando il dispositivo è noto al personale IT. Di conseguenza, diventa molto difficile individuare comportamenti insoliti che potrebbero indicare un'infezione da malware.

5. I sistemi IoT sono in gran parte eterogenei e potrebbero includere dispositivi che potremmo non catalogare come IoT. Ad esempio, tutti indicherebbero come dispositivi IoT i sistemi di controllo degli edifici o i sistemi di videosorveglianza, ma in pochi riconoscerebbero come tali il telefono IP sulla propria scrivania o la stampante di rete in ufficio.

Potremmo continuare con altri aspetti da prendere in considerazione, ma queste sono le problematiche principali relative alla protezione di un ambiente IoT. Diamo adesso una rapida occhiata ai metodi che possono essere utilizzati per affrontare tali sfide.

1. Inventario degli Asset e Vulnerability Assessment

Il primo passo per gestire la sfida è fare un inventario esaustivo di tutti i dispositivi presenti sulla rete.

In alcune casistiche è un’attività abbastanza semplice, ma alcuni ambienti possono richiedere indagini e persino procedure dettagliate da svolgere manualmente per identificare i dispositivi IoT che potrebbero essere sfuggiti.

Avere un Network Access Control (NAC) verificato fornirà un punto di partenza, consentendo agli amministratori IT di utilizzare gli indirizzi MAC per avere un'idea approssimativa della posizione del dispositivo. Possono quindi seguire il dispositivo, verificarlo e identificarlo come una risorsa.

Questa identificazione dovrebbe includere non solo il dispositivo e la tipologia, ma anche la revisione del software in esecuzione, nonché la proprietà e lo scopo.

Una volta ottenute queste informazioni, è necessario eseguire valutazioni sulla vulnerabilità, indagini sull'architettura del software del dispositivo e sulla funzione prevista.

Se possibile, è utile parlare direttamente con il fornitore per comprendere la funzione del dispositivo e i normali schemi di comunicazione che dovrebbero essere previsti.

È importante anche sensibilizzare i dipendenti attraverso un training relativo al rischio di portare i dispositivi IoT personali nel luogo di lavoro. Se possibile, è sufficiente vietarlo o richiedere un processo di registrazione del dispositivo in modo che tutti i dispositivi possano essere controllati correttamente.

2. Sviluppare una Strategia di Micro-Segmentazione per IoT

Avere diverse tipologie di dispositivi IoT e utenti sullo stesso segmento di rete non è una buona idea dal punto di vista della sicurezza.

L'IoT dovrebbe sempre essere segmentato separatamente dal normale ambiente IT dell'utente e la logica dei privilegi minimi dovrebbe dettare la regola della progettazione della segmentazione.

Se un dispositivo non richiede la connettività a un sistema, non deve avere la possibilità di connettersi. In molti casi, i segmenti IoT possono essere totalmente isolati senza alcuna connettività all'ambiente IT dell'utente in alcun modo. Molti dispositivi IoT e persino i sistemi di controllo industriale (ICS) rientrano in questa categoria.

Oltre alla segmentazione, gli amministratori IT dovrebbero interfacciarsi con il fornitore del dispositivo IoT per comprendere il normale comportamento del traffico dal dispositivo, nonché un modello di comunicazione che si tradurrà nella necessaria "impronta" di connettività.

Questa “impronta” indica i sistemi con cui il dispositivo deve vedere e comunicare, consentendo all'IT di creare una policy del traffico e un design segmentato.

Queste caratteristiche possono essere uguali o diverse. Se sono uguali, il design del segmento è sufficiente e la policy può essere ridotta solo per l'accesso. In esempi più complessi, potrebbero essere richiesti criteri per limitare le comunicazioni consentite dal dispositivo in questione.

Tale policy deve corrispondere ai modelli di comunicazione normalizzati ma negare tutti gli altri. Se questa pratica viene seguita diligentemente, i sistemi IoT possono essere efficacemente isolati dal normale ambiente IT aziendale e anche l'uno dall'altro per prevenire attacchi “machine-to-machine”.

Se abbiamo eseguito tutto correttamente fino a questo punto, dovremmo avere una serie di microsegmenti, ciascuno con sistemi IoT dedicati e comportamenti e criteri di traffico noti normalizzati per abbinarli.

3. Controllo e Analisi

Una volta stabilito un design ben segmentato e basato su criteri, il passo successivo è mantenere un controllo costante sui comportamenti dei dispositivi all'interno di ciascun segmento.

Ricordiamo che mentre abbiamo progettato il segmento, abbiamo preso in considerazione tutti i modelli di traffico richiesti.

Di conseguenza, dovremmo avere microsegmenti con schemi di traffico normalizzati che possono essere monitorati per anomalie o comportamenti insoliti.

Quando comportamenti o anomalie insolite vengono notate, è necessario indagare il prima possibile. Se notiamo che un dispositivo IoT si comporta in maniera anomala, è importante capire la motivazione del comportamento insolito.

Idealmente, il dispositivo dovrebbe essere messo rapidamente in quarantena fino a quando non possono essere svolte ulteriori indagini. Se un dispositivo IoT è mission-critical e deve essere sempre online, richiede microsegmentazione e policy stabilite di comportamento normale.

In Conclusione

Sebbene le botnet non siano sconosciute, diventano sempre più sofisticate e non vi è alcun segnale che questa tendenza dell'evoluzione del software finirà.

I dispositivi IoT sono diventati il nuovo vettore per la diffusione di minacce a causa della relativa debolezza di questi sistemi dal punto di vista della sicurezza, ma esistono metodi per far fronte a queste sfide. Se eseguiti con la dovuta diligenza, tali metodi possono contribuire ad incrementare la posizione di sicurezza complessiva dell'azienda in questione.

Il miglior consiglio che possiamo dare è di non dare mai per scontato di essere totalmente al sicuro.

Extreme Networks offre soluzioni di nuova generazione per la gestione, il controllo e la sicurezza delle reti aziendali. Wired e wireless, desktop e data center, on-premise e cloud, una suite completa per aumentare l'efficienza operativa e rendere il network aziendale performante, scalabile, semplice da gestire e sicuro.

Se vuoi scoprire di più su come mettere al sicuro i tuoi dispositivi IoT con Extreme Networks, leggi questo approfondimento:

Extreme Defender per la Protezione di Dispositivi IoT

Per maggiori informazioni inviaci una mail all’indirizzo cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro sito per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.

In alternativa, puoi compilare il form sottostante con la tua domanda.