Autore: Redazione SecurityOpenLab
La coincidenza temporale fra lo sviluppo dell'Industry 4.0 e l'emergenza sanitaria ha acuito, fra gli altri, il problema della sicurezza IoT. L'installazione di dispositivi IoT nel mercato industriale galoppa a fronte dei molti vantaggi che apportano.
È un dato di fatto che il passaggio all'Industria 4.0 è imprescindibile e non è accettabile rinunciare a tutti i vantaggi che comporta. Rendere connessi i macchinari significa automatizzare alcune fasi della produzione, prevenire guasti e programmare con più efficacia gli interventi manutentivi. Ma anche ottimizzare i costi, gestire meglio la qualità e raccogliere grandi quantità di dati operativi che alimentano sistemi complessi di analytics capaci di estrarre informazioni di altissimo valore.
In questi casi si parla per lo più di soluzioni IIoT, Insutrial IoT, che di fatto agiscono da ponte fra un settore OT un tempo scollegato dalla rete e quindi sicuro per definizione, e la rete IT, con tutti i rischi che questo comporta. È alla luce di questi rischi che si è iniziato a dibattere nelle aziende di sicurezza IoT, di micro segmentazione delle reti per contenere il rischio, e di piattaforme che consentano una visibilità completa dei dispositivi IoT.
La situazione era già abbastanza complessa di per sé, la situazione è precipitata con la pandemia. Quello che è accaduto è che milioni di dipendenti al lavoro da casa si sono collegati alle reti domestiche per accedere a quelle aziendali. Reti domestiche dove, oltre al computer di lavoro, sono agganciati elettrodomestici smart di qualsiasi genere e tipo, dal frigorifero all'impianto di irrigazione delle piante, finanche alle bilance smart e alle console dei ragazzi.
Nell'impossibilità di pretendere dai dipendenti una micro segmentazione della propria rete domestica, il risultato è che tutti i prodotti IoT di casa funzionano come punto d'ingresso per la rete aziendale. Questo con una aggravante: se i prodotti IIoT di cui si parlava sopra potevano essere idealmente prodotti a uso professionale, quindi rispondenti a certi livelli di qualità, sicurezza e aggiornabilità, quelli domestici sono soluzioni da pochi euro che non hanno mai visto la sicurezza nemmeno da lontano.
Questo sulla carta. Nella pratica spesso le soluzioni business non sono così sicure come potrebbe sembrare, come ha dimostrato la violazione delle telecamere di Verkada – per citare un episodio famoso. Alla prova dei fatti, anche i prodotti B2B non potranno essere considerati sicuri per definizione fino a quando non verranno stabiliti chiari paletti di secure-by-design a cui tutti i produttori dovranno obbligatoriamente attenersi.
Il risultato è che l'esposizione delle reti aziendali ai pericoli dell'IoT è più alta che mai, in un momento in cui i criminali informatici cavalcano ogni minima vulnerabilità per fare breccia nelle reti e avviare movimenti laterali per gli scopi ben noti.
Un problema, molte soluzioni
Posto che indietro non si torna perché l'industry 4.0 è come detto irrinunciabile, che non si possono trasformare i dipendenti in tecnici di rete, e che non si può tornare al vecchio modello di business con tutta la forza lavoro in presenza e le macchine a funzionamento manuale, quello che bisogna fare è trovare una soluzione per far pendere la bilancia dalla parte della sicurezza. Se si è arrivati a questo punto si è già compiuto il primo passo avanti: si è consapevoli dell'esistenza del problema, quindi del fatto che bisogna migliorare l'approccio della gestione IoT.
Resta da capire come, che è quello che abbiamo chiesto alle aziende coinvolte in questo speciale. Le opzioni sono molte e tutte valide, la questione è da dove partire per ottenere un risultato efficace. C'è chi punta sulla segmentazione delle reti, per isolare gli oggetti IoT su una rete differente da quella produttiva, in modo da circoscrivere gli eventuali attacchi e i danni conseguenti. C'è chi punta sulla filosofia Zero Trust e sull'applicazione del privilegio minimo, che è una delle opzioni più alla moda in questo momento.
C'è chi fa notare, a ragione veduta, che a prescindere da quale delle precedenti opzioni di scelga, non si otterrà un risultato tangibile in mancanza di un inventario digitale che comprenda tutti gli oggetti connessi, perché quello che non si conosce non si può proteggere. La domanda corretta da cui partire è quindi: "che cosa bisogna proteggere". Identificati tutti gli asset che in qualche modo si collegano alla rete (compresi i server, gli endpoint, i dispositivi mobile, gli oggetti IoT e IIoT) è possibile mapparli in un inventario. Da lì il passo successivo è selezionare una piattaforma unica per controllarli tutti, perché adottare soluzioni differenti di gestione che non comunicano fra loro è il modo più veloce per aiutare gli attaccanti a bucare la rete aziendale.
Solo a quel punto si possono definire le policy per gli accessi e i permessi. Il lavoro però non è finito: sulle basi solide che si sono poste bisogna costruire l'impianto di sicurezza. Che significa predisporre soluzioni di patch management per garantire la sicurezza di tutta l'infrastruttura nel tempo, soluzioni di machine learning per il rilevamento di qualsiasi attività anomala. Soluzioni di remediation per gestire le anomalie non appena si presentano, e soluzioni di response per bloccare quelle che si rivelano effettivamente delle minacce, isolare i sistemi infetti e bonificarli.
Maggiori sono i passaggi che si possono automatizzare, più immediata sarà la reazione. E sappiamo che nella security moderna il tempo di reazione fa la differenza fra un incidente risolto e uno devastante per la business continuity. Minori saranno i falsi positivi generati dal sistema di alert, meno tempo perderanno gli analisti a identificare le vere minacce e a rispondere in maniera efficace ed efficiente.
È una catena di difesa complessa, che per funzionare richiede che nulla sia lasciato al caso. Ma che può essere progettata, implementata e persino gestita da consulenti esterni in caso di mancanza di personale esperto. La nota positiva di questo momento storico è infatti che la security non è più esclusiva delle grandi aziende con un SOC interno: grazie ai servizi gestiti anche le PMI possono permettersi una protezione adeguata alle proprie necessità e al proprio budget, in maniera altamente scalabile.