All’edge, nel punto più vicino a dove effettivamente vengono generati i dati, i dispositivi IoT rappresentano un bersaglio d’elezione per gli attacchi e quindi un obiettivo particolarmente “sensibile” per la sicurezza di tutta l’azienda, anche quando l’edge non è necessariamente un sofisticato sensore di una macchina di produzione.
Lo rivela uno studio Zscaler dal titolo IoT in the Enterprise: Empty Office Edition che esamina lo stato dei dispositivi IoT collegati alle reti aziendali, sulla base dei dati raccolti su oltre 575 milioni di transazioni informative, tramite i dispositivi IoT, e sull’analisi di 300mila attacchi malware (circa 830 ogni ora) specifici per Internet of Things bloccati da Zscaler. Si parla di malware IoT, exploit e comunicazioni command-and-control, compreso un totale di 18mila host unici e circa 900 consegne di payload uniche. La ricerca è stata condotta durante il periodo di lockdown (dicembre 2020). Più precisamente i dati sono stati raccolti tra il 15 dicembre e il 31 dicembre 2020, e rappresentano solo i dispositivi e gli attacchi sulle reti aziendali in sedi fisiche, con Zscaler che ha riscontrato un aumento del 700% rispetto a quanto accadeva prima della pandemia.
Spiega Deepen Desai, Ciso di Zscaler: “Per più di un anno, la maggior parte degli uffici aziendali è rimasta per lo più inutilizzata, poiché i dipendenti hanno continuato a lavorare in remoto durante la pandemia Covid-19. Tuttavia, i nostri team di servizio hanno riscontrato che, nonostante la mancanza di dipendenti in ufficio, le reti aziendali erano ancora animate da attività IoT”. Il volume e la varietà dei dispositivi IoT collegati alle reti aziendali è vasto e comprende diverse tipologie di dispositivi, dalle lampade musicali alle telecamere IP. Ed è in questo contesto che il team Zscaler ThreatLabz “ha rilevato che il 76% di questi dispositivi ancora comunica su canali di testo in chiaro non criptati, il che significa che la maggior parte delle transazioni IoT rappresenta un grande rischio per le aziende”.
In particolare la ricerca evidenzia che sono stati attaccate 553 tipologie diverse di dispositivi (comprese stampanti, soluzioni di digital signage, smart tv, direttamente connesse alla rete aziendale) – nello specifico della ricerca si parla di dispositivi di 212 produttori diversi la maggior parte dei quali (65%) di tre categorie: set-top box (29%), smart tv (20%) e smartwatch (15%). Il team Zscaler ha quindi identificato i dispositivi più vulnerabili, le origini e gli obiettivi degli attacchi più comuni e le famiglie di malware responsabili della maggior parte del traffico pericoloso per aiutare meglio le aziende a proteggere i loro dati.
Da qui le note della ricerca più interessanti. Per esempio, la categoria dell’intrattenimento domestico e dell’automazione ha registrato la più grande varietà di dispositivi individuali, ma il minor numero di movimenti rispetto ai dispositivi in ambito produzione, aziendale, e sanitario. Ed invece proprio i dispositivi IoT utilizzati in ambito retail e manufacturing hanno collezionato il 59% delle transazioni malevole provenienti da stampanti 3D, sistemi di geolocalizzazione, multimediali automobilistici, lettori di codici a barre e terminali di pagamento; a seguire i dispositivi aziendali (28%) e infine quelli sanitari che hanno generato l’8% del traffico malevolo. Con un’interessante sorpresa: è nutrita la serie di dispositivi che “inaspettatamente” si collegano al cloud, tra cui frigoriferi intelligenti e lampade musicali che ancora inviano dati attraverso le reti aziendali.
Per quanto riguarda l’analisi geografica le tre nazioni prese più di mira dagli attacchi IoT sono Irlanda (48%), Usa (32%) e Cina (14%), con quasi il 90% di dispositivi compromessi che si è osservato rimandare i dati in Cina (56%), Usa (19%) o India (14%). Invece l’analisi sulle attività specifiche e l’utilizzo del malware IoT le famiglie di malware Gafgyt e Mirai sono state quelle più rilevate, pari al 97% dei 900 payload unici.
I tentativi quindi puntano prevalentemente al dirottamento dei dispositivi al fine di creare botnet, ovvero grandi reti di computer privati che possono essere controllati in gruppo per diffondere malware, sovraccaricare le infrastrutture o inviare spam.
Zscaler, i consigli per proteggere l’ecosistema IoT
E’ sempre più complesso “fotografare” l’elenco di dispositivi intelligenti in funzione, che è sempre più lungo e vario, al punto che, gioco forza, probabilmente nessuna azienda può sostenere di non utilizzarne, anche considerando il fenomeno dello shadow IT. Se è quasi impossibile evitare del tutto l’utilizzo dei dispositivi, proprio per questo si rivela più virtuoso implementare policy di accesso che impediscano ad essi di servire come porte aperte ai dati e alle applicazioni aziendali più sensibili. Policy adeguate sia nel caso in cui si operi all’interno del perimetro aziendale, sia nel caso in cui si operi da remoto. ThreatLabz per mitigare la minaccia del malware IoT, sia sui dispositivi gestiti che Byod, raccomanda quindi una piena visibilità dei dispositivi in rete, possibile grazie alla distribuzione di soluzioni in grado di analizzare i log di rete per “scovare” e monitorare tutti i dispositivi che comunicano attraverso la rete e le azioni che compiono (1). Consigliata poi la sostituzione delle password di default, con relative regole automatiche di aggiornamento e l’implementazione dei sistemi di autenticazione a due fattori anche e proprio nell’implementazione dei dispositivi IoT (2).
E’ poi fondamentale il rigore nell’aggiornamento e nell’applicazione delle patch, anche nei verticali che erroneamente si pensa meno attenzionati (come il manifatturiero), mentre sappiamo che proprio la sanità ha rappresentato settore preferito dagli hacker durante la pandemia. Entrambi questi verticali, con la digitalizzazione, si affidano sempre di più ai dispositivi IoT, anche per l’automazione dei flussi di lavoro, ed è quindi importante che proprio queste risorse siano aggiornate su tutte le nuove vulnerabilità che vengono scoperte e mantenere la sicurezza dei dispositivi aggiornata con le ultime patch (3). Ultimo, ma per gli esperti Zscaler (e non solo) basilare è l’implementazione di un’architettura zero trust.
Utenti e dispositivi devono poter accedere solo alle risorse di cui hanno effettivamente bisogno, e dopo rigorose procedure di autenticazione. Così come deve essere possibile “isolare” opportunamente le app, affinché non siano consentiti all’attaccante libertà di movimento laterale. Serve limitare la comunicazione agli IP rilevanti, ad Asn e porte necessarie per l’accesso esterno. Quando un dispositivo IoT non autorizzato richiede l’accesso a Internet, è bene adottare poi l’ispezione del traffico e bloccare lo spostamento dei dati aziendali, idealmente attraverso un proxy. I rischi legati allo shadow IT e shadow IoT si limitano eliminando le policy di fiducia implicita e controllando in modo rigoroso l’accesso ai dati sensibili, attraverso sistemi di autenticazione dinamica basata sull’identità, appunto, zero trust (4).
© RIPRODUZIONE RISERVATA
