Quanto sono sicuri i dispositivi IoT che ormai affollano gli ambienti professionali e quelli della vita privata? A giudicare dalle analisi effettuate da Unit 42, l’organismo promosso da Palo Alto Networks che riunisce esperti e ricercatori nel campo della cyber security, davvero molto poco. Su 1,2 milioni di dispositivi IoT situati in migliaia di luoghi fisici, è emerso che il 57% è vulnerabile ad attacchi di media o alta gravità. Il 24% dei problemi di sicurezza è causato da vulnerabilità nelle interfacce web di gestione delle stampanti e il 78% delle telecamere di sicurezza utilizza le credenziali di accesso predefinite dai produttori. A questo si aggiunge che il 98% di tutto il traffico IoT non è crittografato e l’83% di tutti i dispositivi connessi impiega un sistema operativo non supportato e difficile da patchare.
Indice degli argomenti
I vantaggi, non senza rischi, della digital transformation
Il paradosso di questa situazione deriva proprio dalla forte accelerazione che, negli ultimi anni, ha caratterizzato la digital transformation. Molte aziende, infatti, hanno adottato un gran numero di tecnologie e di strumenti per migliorare l’esperienza utente, la produttività e la sostenibilità. Tra queste innovazioni, spiccano Internet of Things e cloud, che hanno reso possibile una maggiore efficienza e sicurezza nell’ambiente di lavoro. Tuttavia, proprio l’introduzione di una pletora di dispositivi IoT anche di tipo consumer (macchine per il caffè, stampanti, automobili ecc.) nelle reti aziendali ha creato un rischio senza precedenti. Insieme ai vantaggi, come si ricava dal report di Unit 42, questi dispositivi possono rappresentare una minaccia, poiché spesso non vengono integrati adeguatamente nelle policy di sicurezza aziendale, trasformandosi in vettori di attacco privilegiati.
Il principio Zero Trust per proteggere i dispositivi IoT
“Per far sì che una rete sia sicura, senza impattare sugli utenti, è necessario adottare una protezione dei dispositivi IoT differente, che garantisca visibilità, controllo e sicurezza adeguati, basandosi sul principio Zero Trust” spiega Tristano Ermini, manager e Systems Engineering di Palo Alto Networks, commentando i risultati di Unit 42. A tale scopo è essenziale creare “un inventario completo, accurato e tenuto costantemente aggiornato delle risorse, partendo dal presupposto che ‘non patchato’ sia la norma per i dispositivi IoT” aggiunge Ermini.
Tra le raccomandazioni del manager rientra l’utilizzo della segmentazione contestuale dei device e il controllo degli accessi con privilegio minimo, che permettono di ridurre la superficie di attacco e di prevenire i cosiddetti movimenti laterali. E poiché Zero Trust significa non considerare “fidati” applicazioni e utenti, “è opportuno effettuare un monitoraggio continuo e le ispezioni di sicurezza, come la prevenzione di minacce e il rilevamento di anomalie di comportamento, oltre ad automatizzare i workflow” dice in conclusione Ermini.
Tecnologie e strumenti, ma anche formazione
Ne deriva che, per garantire la sicurezza dei dispositivi IoT, risulta importante che sia integrata nella protezione dell’infrastruttura e dei workflow aziendali e non, invece, una componente isolata. Le aziende devono quindi investire in formazione e sensibilizzazione sia dei dipendenti sia dei fornitori di servizi. La circostanza che ad esempio ancora oggi, in una percentuale così elevata di device IoT, le credenziali di accesso rimangano quelle del produttore si può correggere soltanto grazie alla formazione e alla sensibilizzazione dei dipendenti. Senza dimenticare che investire in tecnologie e strumenti per proteggere i propri dispositivi IoT e le reti aziendali è una strada necessaria e non dovrebbe essere un’opzione. Solo così le innovazioni portate dalla trasformazione digitale, che nell’Internet of Things hanno una tecnologia di così ampia diffusione, non saranno vanificate dall’esposizione a minacce e attacchi. Entrambi facilmente affrontabili tramite un approccio Zero Trust che garantisce visibilità, controllo e sicurezza adeguati.
