Home » News » Cybersecurity

IoT e sicurezza: quali sfide e soluzioni?

Exprivia Raguseo e Ugirashebuja IoT e sicurezza

IoT e sicurezza. Quali le sfide presenti e future e le possibili soluzioni, dinanzi all’uso crescente di dispostivi IoT in progetti di automazione ed efficientamento in sempre maggiori verticalità? Domenico Raguseo, Head of CyberSecurity Exprivia, e Mariavittoria Ugirashebuja, Exprivia Security Researcher, sono gli autori dell’interessante e strutturato articolo che segue, che approfondisce e dà risposte sul tema.

Buona lettura!

IoT E SICUREZZA

I ricercatori di Exprivia hanno rilevato 7.222.937 dispositivi IoT con indirizzo IPv4 durante il 2Q2022, tra telecamere, stampanti, firewall, router, etc., numero che oramai è costante con qualche oscillazione da un anno, come mostrato in Figura 1 (dati: Exprivia Threat Intelligence Report 2Q2022).

Exprivia IPv4 in Italia
Figura 1- Situazione italiana dispositivi IPv4

Infatti dall’automotive all’agricoltura 4.0, passando per telecamere di videosorveglianza, smart cities, sistemi industriali, televisori, stampanti, abbiamo assistito negli ultimi anni all’uso crescente di dispostivi IoT in progetti di automazione ed efficientamento. Progetti e servizi estremamente critici che richiedono dati accurati e spesso in real-time.

Per rendere questo progresso di trasformazione sostenibile è necessario quindi preservare l’accuratezza dei dati generati da compromissioni di esterni e questo rappresenta un problema.

Percezione e consapevolezza: sono sufficienti oggi nell’IoT?

Non sempre c’è grande percezione e consapevolezza sulla necessità di mettere in sicurezza i dispositivi IoT ed inoltre tali dispositivi sono spesso distribuiti su territori e su un perimetro difficile da proteggere. Nel 2Q2022 si contano 29.347 dispositivi vulnerabili, distribuiti nel modo rappresentato in Figura 2 (fonte: Exprivia Threat Intelligence Report 2Q2022).

Exprivia dispositivi IoT vulnerabili
Figura 2- Distribuzione dei dispositivi IoT vulnerabili

Dispositivi che trasmettono dati in rete possono diventare porte di accesso per malintenzionati e malware con conseguenze negative in termini di furto di dati e violazioni privacy, dimostrando come una minaccia cyber può avere impatti devastanti sul mondo reale.

“Quando si interagisce con un dispositivo IoT – spiega Rosita Galiandro, Responsabile dell’Osservatorio Cybersecurity di Exprivia – la privacy e i dati personali possono essere esposti a divulgazione non consapevole. Secondo il NIST (National Institute of Standards and Technology) i rischi dei dispositivi IoT riguardano la protezione della sicurezza del dispositivo, delle informazioni e dei dati personali.

Le azioni di mitigazione consistono nell’impedire che i dispositivi siano utilizzati per condurre attacchi informatici, nel proteggere la confidenzialità, integrità e disponibilità delle informazioni e nel proteggere i diritti e le libertà degli individui i cui dati personali sono trattati.

Il Regolamento europeo UE 2016/679 in materia di protezione dei dati personali (GDPR) ha un impatto rilevante nello scenario dell’Internet of Things.

Esso applica il principio del security by design attraverso un approccio risk based, con chiare responsabilità del titolare del trattamento dei dati nella divulgazione di informazioni personali, come nel caso di data breach”.

Un fattore che non aiuta la sicurezza di servizi che usano i dispositivi IoT è il costo del dispositivo stesso. La pervasività dei dispositivi è sostenibile mantenendo costi dei dispositivi molto bassi e tenendo fermo il costo, ad essere penalizzata è spesso la sicurezza del dispositivo stesso, dovendo scegliere se investire tra elementi funzionali al servizio e sicurezza. Questo scenario viene aggravato ulteriormente dalla mancanza di percezione di pericolo nell’utilizzo del dispositivo IoT.

Quale la sfida nel mondo IoT?

La vera sfida nel mondo IoT consiste non tanto nell’utilizzare architetture sicure, quanto piuttosto inserire oggetti sicuri nelle architetture.

Secondo Luca Mainetti – Professore di Ingegneria del Software presso Università del Salento, nonché vice direttore del Dipartimento di Ingegneria dell’Innovazione – il suddetto inciso “determina l’approccio di sicurezza che gli autori declinano in differenti pratiche che progettisti, sviluppatori, sistemisti dovrebbero rispettare. La sicurezza determina l’affidabilità dei dati che oggi e sempre di più nel futuro governeranno territori (“smart cities”), processi industriali (“Industry 4.0”), l’approvvigionamento dell’energia (“smart energy)”, del cibo (“smart agriculture”) e altro ancora. Quanto più i sistemi che raccolgono dati sono diffusi e distribuiti, tanto più il perimetro di difese deve essere in grado di estendersi, adattarsi, spostare la sua intelligenza per garantire la sicurezza sui dispositivi.”

Questo è ancora più importante per dispositivi che vengono inseriti in contesti e dati in uso a persone non sempre con una grande cultura di sicurezza digitale. Se infatti ci si può aspettare che la sicurezza di un’intera infrastruttura di una azienda possa essere in gestione e responsabilità di persone con competenze consistenti per il ruolo che ricoprono, per quanto riguarda i dispositivi IoT, spesso sono in uso anche nelle abitazioni di persone che non necessariamente hanno queste competenze. Non si può pensare di delegare a chiunque la responsabilità di acquistare ed introdurre nel contesto dispositivi cyber-sicuri. L’utente va “garantito” con un marchio di qualità che attesti la cybersicurezza del dispositivo.

“Uno dei fattori chiave – sottolinea Giuseppe Marullo, OT Security Architect e Program Manager di Exprivia – è la necessità di aumentare la consapevolezza degli utenti finali (oltre che ovviamente dei produttori, integratori, etc). Gli utenti, sia professionali che consumer, devono poter scegliere dispositivi intrinsecamente sicuri, ad esempio con una etichettatura chiara circa il livello di protezione offerto e per quanto tempo verrà garantito il supporto relativamente alle patch di security che dovessero rendersi necessarie. Exprivia è impegnata su questo fronte sia per aumentare l’awareness, sia per aiutare le aziende produttrici a certificare i prodotti secondo i pledge dell’ioXt.”

Una possibile risposta alla necessità di certificazione dei dispositivi è stata data dall’ioXt Alliance, il network globale per la sicurezza dei dispositivi IoT che coinvolge i principali attori del settore tecnologico con l’obiettivo di creare standards di sicurezza riconosciuti e applicati a livello internazionale.

L’ioXt Alliance

Al fine di rendere i dispositivi sicuri, ioXt Alliance ha realizzato l’ioXt Security Pledge: un insieme di standards che i dispositivi IoT devono rispettare per garantire sicurezza, aggiornamento costante e trasparenza al mercato e ai consumatori. Rimuove qualsiasi congettura dalla creazione di prodotti sicuri e stabilisce un modo per identificare tutti i prodotti e servizi conformi agli standards ioXt Pledge sul mercato.

L’ioXt Security Pledge si focalizza su otto principi:

  1. non utilizzare passwords universali ma creare una password univoca per il dispositivo, oppure utilizzare l’autenticazione a due fattori per l’inizializzazione dello stesso;
  2. le interfacce del prodotto devono essere adeguatamente protette dal produttore;
  3. utilizzare una crittografia forte, comprovata e aggiornabile utilizzando algoritmi e librerie basati su standards riconosciuti dal settore o dal governo;
  4. la sicurezza del prodotto deve essere opportunamente abilitata di default dal produttore;
  5. il prodotto deve supportare aggiornamenti software verificati ogni volta che nuove vulnerabilità vengono scoperte;
  6. il produttore, d’altra parte, deve rilasciare aggiornamenti di sicurezza tempestivamente in maniera automatica;
  7. il produttore deve attuare un programma di segnalazione delle vulnerabilità, che verrà comunicato al consumatore;
  8. il produttore deve essere trasparente nel comunicare l’arco temporale in cui verranno forniti gli aggiornamenti di sicurezza.

Ovviamente la sicurezza dei dispositivi da usare in un progetto (o al di fuori di un progetto) è solo una parte del problema. Un altro significativo problema è rappresentato dal fatto che nei progetti che includono dispositivi IoT, non necessariamente il perimetro è ben definito e pertanto richiedono un approccio sistematico.

Ulteriori apporti

Mario Direnzo, Responsabile R&D Macnil, a tal proposito dichiara: “In ambiti complessi come l’Automotive, settore in cui Macnil opera come IoT security company con il marchio GT ALARM, il concetto di secure by design deve necessariamente coprire l’intera catena di valore delle soluzioni IoT: dal dispositivo di bordo alle connessioni e protocolli, dall’acquisizione dei dati alla gestione in totale sicurezza degli stessi, dalle interfacce utente ai sistemi di command and control. La rapida crescita del numero di connected cars impone l’introduzione di nuove soluzioni di detection and response, specifiche per il mondo automotive: per rispondere a questa esigenza Macnil sta realizzando il primo Vehicle SOC nel novero del progetto Secure Safe Apulia”.

Angelo Parchitelli, Project Manager, Team Leader & ICT Researcher di SYS-MAN, aggiunge: “In contesti come quello dell’Agricoltura di Precisione, il plant aziendale può avere un’estensione che non riguarda il solo perimetro dello stabilimento ma può estendersi all’interno dei campi e delle coltivazioni dell’azienda stessa.

In questi luoghi i dispositivi IoT vengono connessi al Cloud attraverso una miriade di canali: connessioni cablate (es. comunicazione seriale), connessioni Wireless, connessioni e protocolli LoRa, Sigfox, 4G e dispositivi di identificazione in radiofrequenza (RFID, NFC, QR codes).

Ognuno di questi metodi trasmissivi porta con sé le peculiarità e le debolezze di canale che, se non opportunamente analizzate, rendono vulnerabili e inattendibili i dati provenienti dal plant agricolo.

Se lo scopo di questi dati è produrre un consiglio o un automatismo, attraverso un sistema di supporto alle decisioni (DSS), allora una alterazione malevola dei dati produrrebbe un danno irreparabile alla coltura e di conseguenza all’azienda agricola.

Il modello di Kill Chain in un plant dell’Agricoltura 4.0 può essere complesso per la varietà di dispositivi e macchinari coinvolti, come ad esempio i già citati dispositivi IoT, i macchinari per l’automazione industriale (es. PLC,…), i veicoli a guida autonoma per la raccolta (es. trattori “intelligenti”), etc.

Per fortuna le tecnologie sviluppate dai produttori di strumenti Cyber unite ai numerosi progetti di ricerca in questo campo, verticalizzati come per il Contratto di Programma Secure Safe Apulia, permettono di essere al passo nella circoscrizione e protezione dei perimetri aziendali.”

Security by design

La sicurezza dovrebbe essere presa in considerazione sin dalla progettazione di progetti IoT, utilizzando i controlli di sicurezza tipici del mondo IoT con qualche accorgimento. Ecco i più importanti.

Architettura dei sistemi

I dispositivi IoT hanno limitate capacità in termini di risorse e connessione. Ad esempio, il funzionamento di un dispositivo IoT è reso possibile da una batteria. L’implementazione di troppi controlli di sicurezza può scaricare la batteria e danneggiare il dispositivo stesso. Un attacco, quindi, può scaricare la batteria e spegnere il dispositivo.

Sistema immunitario

Il sistema immunitario, conosciuto anche come Defense in Depth (DiD), consiste nell’ applicazione di più livelli di meccanismi di sicurezza. La logica del DiD si basa sul concetto che la singola misura di difesa non permette di stare al passo con tutti gli attacchi, mentre un sistema di sicurezza a strati costringe l’aggressore a penetrare attraverso tutti i livelli per raggiungere il suo obiettivo.

Meno è più sicuro

Tale modello stabilisce che ogni programma e utente deve operare con il set minimo di privilegi e accessi. Nel mondo IoT, dove un sistema deve essere accessibile da più utenti, risulta quindi necessario implementare una politica dei privilegi, per garantire il corretto accesso e utilizzo del sistema.

Un altro meccanismo che dovrebbe essere implementato è la separazione dei compiti, il che significa che un sistema non dovrebbe concedere l’autorizzazione a una singola condizione. Potrebbe essere applicato, ad esempio, implementando per le attività critiche l’autenticazione a due fattori.

Isolamento

Quando possibile, un sistema deve essere disconnesso dalle reti pubbliche con l’uso di firewall, DMZ e Intrusion Detection e/o Prevention System (IDS/IPS). Potrebbe anche essere necessario implementare più livelli di accesso alla rete privata virtuale (VPN). Nel caso di dispositivi mission-critical, è necessario considerare un approccio full air gap.

Superficie di attacco

Quando sono disponibili più funzioni, vuol dire che esistono per un utente malintenzionato più punti di ingresso da sfruttare. Al fine di implementare una strategia di difesa efficiente e valutare se una funzione è davvero necessaria, è fondamentale valutare la superficie di attacco.

Comprensione del perimetro e della configurazione

L’IoT comprende diversi dispositivi distribuiti in un perimetro anche molto ampio. Nel caso di Mirai, ad esempio, gli aggressori hanno compromesso le telecamere nel tentativo di raggiungere un Domain Name System (DNS) esterno.

È fondamentale quindi avere una chiara comprensione dei perimetri in termini di dispositivi, comunicazioni e controlli e la relazione tra questi dispositivi. Risulta essere sostanziale anche essere in grado di comprendere appieno tali dispositivi, compresa la loro stessa natura, le loro funzionalità, i dati di registro che producono e le loro condizioni di lavoro.

I log di dati, in particolare, possono aiutare gli strumenti di rilevamento delle anomalie ad identificare comportamenti errati. I dati devono essere normalizzati, il che richiede una profonda conoscenza del settore e familiarità con il dispositivo stesso. Una volta raggiunta la normalizzazione, le anomalie rilevate possono facilmente svelare potenziali attacchi informatici.

Comprendere i servizi offerti

Definito il perimetro, bisogna documentare i tipi di servizi e il modo tramite il quale si riferiscono ai dispositivi. Un database di gestione della configurazione (CMDB) può aiutare a determinare quali elementi, attributi e servizi di configurazione sono collegati tra loro. Di seguito sono riportati i tre principali tipi di servizi da considerare.

  1. I servizi espliciti, ovvero quelli chiaramente documentati. Nella distribuzione dell’energia, ad esempio, i sistemi di misurazione vengono utilizzati per comprendere l’utilizzo dell’energia, la videosorveglianza viene utilizzata per controllare l’accesso fisico alle aree protette, etc.
  2. I servizi impliciti, quelli non esplicitamente menzionati ma fondamentali da prendere in considerazione. Ad esempio, gli attori delle minacce potrebbero utilizzare l’intelligence presente nell’infrastruttura per attaccare terze parti.
  3. È importante discutere con il comitato gli obiettivi di un progetto di sicurezza informatica. Nel caso in cui sia necessario migliorare la sicurezza fisica (ad esempio, la visibilità delle persone che entrano in una stanza specifica), saranno necessari controlli aggiuntivi che non sono necessariamente inclusi nei controlli di sicurezza informatica. In altre parole, potrebbero essere necessari dispositivi specifici per implementare ulteriori controlli di sicurezza informatica.

La descrizione dei servizi porta ad esaminare le motivazioni degli attaccanti, che possono variare a seconda del tipo di progetto. 

Modellazione delle minacce e controlli di sicurezza

Definiti chiaramente i servizi e le configurazioni, è necessario setacciare il rischio di possibili minacce per fornire gli input alla fase successiva. Per scoprire e comprendere meglio i rischi durante questa fase, i team di sicurezza possono utilizzare la prototipazione o i penetration test quando e dove possibile.

Dopo aver definito e documentato i suddetti rischi, vanno stabilite le priorità e quindi implementati correttamente i controlli di sicurezza necessari per mitigare o ridurre al minimo il rischio e rendere più sicura l’organizzazione.

Un interessante progetto che ha lo scopo di proporre metodi, tecniche e strumenti specifici per la gestione cyber-physical della sicurezza è Secure Safe Apulia (SSA), finanziato dalla regione Puglia.

A questo progetto, oltre Exprivia, partecipano quattro aziende pugliesi: Macnil, SYS-MAN, EUSOFT e Openwork, insieme al Politecnico di Bari, Università di Bari e Università del Salento.

Il progetto prevede la realizzazione di una piattaforma integrata, denominata Regional (Cyber-Phisical) Security Center (RSC) utilizzando i controlli di sicurezza del NIST (National Institute for Standard and Technologies), che vengono adattati alle esigenze delle industrie specifiche (Critical Infrastructure; Automotive; Smart Farming; Chemical Defense; Integrated Response). Utilizzo di AI in ambiente small e big data, progettazione di protocolli di comunicazione tra sensoristica, dispositivi e software, adozione di cloud computing, analisi di attacchi cyber, la stima dei loro impatti al fine di definire modelli di response strutturati ed infine forte attenzione alle specifiche delle industrie, rendono il progetto di Ricerca e Sviluppo estremamente interessante.

A tal proposito, Felice Vitulano, Head of Innovation, Marketing & Technology di Exprivia, evidenzia: “Il progetto Secure Safe Apulia ha l’obiettivo prima di studiare e poi di sperimentare un approccio olistico alla Cyber e Physical security in alcune delle industry di mercato più a rischio. L’obiettivo del progetto è quello di integrare approcci classici, noti in letteratura con approcci innovativi che, sfruttando le potenzialità offerte dalla digitalizzazione (AI, AR/VR, Digital Twin), puntano a potenziare gli approcci classici. Un elemento fondamentale che emerge nel contesto dalla Cyber-Physical Security è che tutta la tecnologia a disposizione non basta: l’elemento più vulnerabile resta sempre il fattore umano. È per questo che, all’interno del progetto è stata posta enfasi su come intervenire sulla componente umana, in modo da aumentare la consapevolezza dei rischi”.

Introdurre dispositivi intelligenti in progetti e nell’ecosistema digitale migliora efficienza e user experience, ma non può prescindere da una attenzione nel rendere tali servizi più sicuri.

La sicurezza di tali servizi si basa sulla consapevolezza di chi li usa, ma necessita anche di un approccio sistematico ai progetti dove possibile. Non solo: necessita anche che i dispositivi siano sicuri by design.

Salvatore Latronico – Presidente di Openwork e del distretto dell’informatica – porta all’attenzione quanto “i sistemi e le architetture non possono prescindere dall’organizzazione in cui tali strutture verranno utilizzate. Un approccio olistico alla sicurezza deve preoccuparsi pertanto non solo della sicurezza dei sistemi ma di favorire la cultura della sicurezza e supportare, sia con azioni dirette di formazione, sia con idonei strumenti, la costruzione e gestione di sistemi informativi in sicurezza.

Questo è tanto più vero nella misura in cui i cosiddetti Citizen Developers, ovvero gli utenti finali, diventano parte attiva dell’evoluzione di un sistema informativo attraverso l’utilizzo di strumenti di sviluppo applicativo no-code.

Nel progetto Secure Safe Apulia (SSA) stiamo realizzando soluzioni che abilitano i Citizen Developers nel costruire soluzioni e modellare processi che realizzano la convergenza tra tecnologie IT e OT affrontando i temi della sicurezza by design.”

di Domenico Raguseo e Mariavittoria Ugirashebuja

Condividi questo articolo su:

RIVISTA

Scarica l’ultimo numero in versione PDF.



Fiere ed eventi

S NewsLetter

Rimani sempre aggiornato sulle ultime novità della sicurezza.

Ho letto e compreso la vostra privacy policy.