IoT: se la sicurezza passasse per lo Zero Trust?

Palo Alto Networks propone una soluzione interessante all'annoso problema dei dispositivi IoT poco sicuri. Li cala in un contesto Zero Trust, blindandone qualsiasi attività non autorizzata.

Autore: Redazione SecurityOpenLab

La quantità di dispositivi IoT in azienda cresce vertiginosamente, ed è ormai chiaro che la loro presenza ha ampliato la superficie d'attacco, incrementando i rischi per l'integrità e la disponibilità dei dati, oltre che per la capacità produttiva, ove i prodotti IoT siano connessi a sistemi OT.

Uni dei principali ostacoli alla messa in sicurezza dei prodotti IoT la maggior parte non supporta i processi di autenticazione e autorizzazione standard. Inoltre, ai dispositivi IoT viene raramente assegnato un identificatore hardware univoco (a differenza dei dispositivi IT) durante gli inventari. Ne risulta che si perde velocemente il conto di quanti e quali prodotti IoT sono presenti in azienda. 

Un vecchio adagio della cyber security recita che "non puoi proteggere quello che non conosci", e calza a pennello con i prodotti IoT: si ignora la loro esistenza, ma sono connessi alla rete wireless, alzando i livelli di rischio, ampliando la superficie d'attacco e rendendo la rete suscettibile ai movimenti laterali.
La soluzione c'è, almeno secondo Palo Alto Networks. L'azienda ha messo a punto IoT Security per far rientrare i prodotti IoT nelle maglie dei controlli Zero Trust. L'idea è che tutto ciò che è connesso in rete ha un indirizzo IP. Si possono quindi mappare tutti gli oggetti IoT abbinando in modo certosino ciascun indirizzo IP con tipo, fornitore e modello dell'oggetto. Dopo avere classificato in questo modo tutti gli oggetti IoT, si possono applicare i criteri di sicurezza basati sullo Zero Trust, così da consentire nell'ambiente IoT solo il traffico approvato.

Anche il secondo passaggio è concettualmente semplice. Parte dal presupposto base dello Zero Trust, ossia che a nessun dispositivo, all'interno o all'esterno della rete, deve essere concesso l'accesso ad altri dispositivi e applicazioni fino a quando non viene approvato entro i parametri prestabiliti. 

Dato che i dispositivi IoT hanno comportamenti limitati, stabili e prevedibili per natura, è facile applicarvi questo principio. La conseguenza è che una volta identificato, ogni dispositivo IoT dev'essere verificato rispetto ai suoi comportamenti di base, prima di ottenere l'accesso ad altri dispositivi e applicazioni nella rete. Qualsiasi comportamento anomalo viene bloccato.
L'idea di Palo Alto prevede poi un terzo passaggio un po' più complicato. Si riallaccia al concetto della micro segmentazione della rete per ridurre gli spostamenti laterali degli attaccanti e limitare i danni in caso di attacchi. Nella pratica, consiste nell'uso dei suoi firewall di nuova generazione per la micro segmentazione della rete. I dispositivi IoT vengono isolati in aree fortemente limitate, in base al tipo di dispositivo, alla sua funzione, alla criticità che potrebbe introdurre e ad altri fattori. Così facendo si ottiene che i dispositivi IoT abbiano accesso con privilegi minimi e si connettano solo alle applicazioni strettamente necessarie.

Sempre sfruttando le caratteristiche dei firewall Palo Alto di nuova generazione, è indicato poi il monitoraggio dei prodotti IoT mediante l'applicazione dei criteri Zero Trust e l'apprendimento automatico. Quest'ultimo passaggio è importante, perché stabilisce una linea di base dei comportamenti dei dispositivi IoT e permette di individuare ciò che è anomalo e bloccarlo immediatamente.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.