Dispositivi IoT: fonte di violazioni della sicurezza con crescita del 700%
Smartworking: molti devices IoT collegati alle reti aziendali durante l’emergenza sanitaria sono stati presi di mira da un numero vertiginoso di cyberattacchi, perlopiù malwares, i quali sono aumentati del 700% rispetto all’era pre-Covid. È quanto emerge dallo studio “IoT in the Enterprise: Empty Office Edition” di Zscaler, che esamina lo stato dei dispositivi IoT collegati alle reti aziendali nel periodo in cui le aziende sono state costrette ad adottare rapidamente e diffusamente il telelavoro.
I DATI E L’ANALISI DI ZSCALER
Il report ha analizzato oltre 575 milioni di transazioni tramite dispositivi e 300.000 attacchi malware volti specificamente contro dispositivi IoT bloccati da Zscaler nel corso di due settimane nel dicembre 2020, riscontrando un aumento del 700% rispetto ai risultati pre-pandemia. Questi attacchi hanno preso di mira 553 diversi tipi di dispositivi, tra cui stampanti, soluzioni di digital signage e smart TV, tutti connessi e comunicanti con le reti IT aziendali mentre molti dipendenti erano in telelavoro durante la pandemia di COVID-19. Il team di ricerca ZscalerTM ThreatLabz ha identificato i dispositivi IoT più vulnerabili, le origini e gli obiettivi degli attacchi più comuni e le famiglie di malware responsabili della maggior parte del traffico pericoloso per aiutare meglio le aziende a proteggere i loro dati.
“Per più di un anno – sottolinea Deepen Desai, CISO di Zscaler – la maggior parte degli uffici aziendali è rimasta per lo più inutilizzata, poiché i dipendenti hanno continuato a lavorare in remoto durante la pandemia COVID-19. Tuttavia, i nostri team di servizio hanno riscontrato che, nonostante la mancanza di dipendenti in ufficio, le reti aziendali erano ancora animate da attività IoT”.
“Il volume – prosegue – e la varietà dei dispositivi IoT collegati alle reti aziendali è vasto e comprende diverse tipologie di dispositivi, dalle lampade musicali alle telecamere IP. Il nostro team ha rilevato che il 76% di questi dispositivi ancora comunica su canali di testo in chiaro non criptati, il che significa che la maggior parte delle transazioni IoT rappresenta un grande rischio per le aziende”.
I DEVICES PIÙ A RISCHIO
Su oltre mezzo miliardo di transazioni di dispositivi IoT, Zscaler ha identificato 553 diversi dispositivi di 212 produttori, il 65 per cento dei quali rientrava in tre categorie: set-top box (29%), smart TV (20%) e smartwatch (15%). La categoria dell'intrattenimento domestico e dell'automazione ha registrato la più grande varietà di dispositivi individuali, ma il minor numero di movimenti rispetto ai dispositivi in ambito produzione, aziendale e sanitario.
La maggior parte del traffico proveniva invece da dispositivi impiegati nel settore manifatturiero e retail: il 59% di tutte le transazioni proveniva da dispositivi in questo settore e includeva stampanti 3D, geolocalizzatori, sistemi multimediali automobilistici, terminali di raccolta dati come lettori di codici a barre e terminali di pagamento. I dispositivi aziendali si sono posizionati al secondo posto, con il 28% dei movimenti, seguiti dai dispositivi sanitari con quasi l'8% del traffico.
ThreatLabz ha anche scoperto una serie di dispositivi che inaspettatamente si collegano al cloud, tra cui frigoriferi intelligenti e lampade musicali che ancora stavano inviando traffico attraverso le reti aziendali.
QUALI I MALWARES COINVOLTI?
Il team ThreatLabz ha anche esaminato attentamente le attività specifiche dei malwares IoT tracciate nel cloud di Zscaler. In termini di volume, sono stati osservati un totale di 18.000 host unici e circa 900 consegne di payload uniche in un periodo di 15 giorni. Le famiglie di malwares Gafgyt e Mirai sono state le due famiglie più rilevate da ThreatLabz, pari al 97% dei 900 payloads unici. Queste due famiglie sono note per il dirottamento dei dispositivi al fine di creare botnets, ovvero grandi reti di computer privati che possono essere controllati in gruppo per diffondere malwares, sovraccaricare le infrastrutture o inviare spam.
GLI STATI SOTTO ATTACCO
Le prime tre nazioni prese di mira dagli attacchi IoT sono state l'Irlanda (48%), gli Stati Uniti (32%) e la Cina (14%). La maggior parte dei dispositivi IoT compromessi, quasi il 90%, sono stati osservati rimandare i dati ai servers in uno dei tre paesi: Cina (56%), Stati Uniti (19%) o India (14%).
COME PROTEGGERSI: ALCUNI ACCORGIMENTI
Poiché l'elenco dei dispositivi “intelligenti” disponibili cresce ogni giorno, è quasi impossibile impedire loro di entrare in azienda.
“Piuttosto che cercare di eliminare la cosiddetta shadow IT – evidenziano da Zscaler – i teams IT dovrebbero implementare policies di accesso che impediscano a questi dispositivi di servire come porte aperte ai dati e alle applicazioni aziendali più sensibili. Queste policy e strategie possono essere impiegate sia che i team IT (o altri dipendenti) siano in loco o meno”.
ThreatLabz raccomanda i seguenti suggerimenti per mitigare la minaccia del malware IoT, sia sui dispositivi gestiti che BYOD:
• Avere visibilità dei dispositivi di rete. Distribuire soluzioni in grado di rivedere e analizzare i log di rete per monitorare tutti i dispositivi che comunicano attraverso la rete e le azioni che compiono.
• Cambiare tutte le passwords di default. Il controllo delle password potrebbe non essere sempre possibile, ma un primo passo fondamentale per l'implementazione di dispositivi IoT di proprietà aziendale dovrebbe essere quello di aggiornare le password e implementare l'autenticazione a due fattori.
• Aggiornare e applicare patches regolarmente. Molti settori, in particolare il manifatturiero e la sanità, si affidano ai dispositivi IoT per i loro flussi di lavoro quotidiani; è necessario essere aggiornati su tutte le nuove vulnerabilità che vengono scoperte e mantenere la sicurezza dei dispositivi aggiornata con le ultime patch.
• Implementare un'architettura di sicurezza Zero Trust. Applicare policy rigorose per le risorse aziendali in modo che gli utenti e i dispositivi possano accedere solo a ciò di cui hanno bisogno, e solo dopo l'autenticazione. Limitare la comunicazione agli IP rilevanti, ASN e porte necessarie per l'accesso esterno. I dispositivi IoT non autorizzati che richiedono l'accesso a Internet dovrebbero passare attraverso l'ispezione del traffico ed essere bloccati da tutti i dati aziendali, idealmente attraverso un proxy. L'unico modo per impedire che i dispositivi shadow IoT rappresentino una minaccia per le reti aziendali è quello di eliminare le policy di fiducia implicita e controllare strettamente l'accesso ai dati sensibili utilizzando l'autenticazione dinamica basata sull'identità, nota anche come Zero Trust.
la Redazione