7 marzo 2024

Protezione dei dispositivi e dei dati

Come mantenere la sicurezza delle soluzioni IoT

Con miliardi di dispositivi connessi, l'IoT sta davvero iniziando a scalare e a diventare parte integrante non solo della nostra vita quotidiana, ma anche delle nostre aziende. Ma mentre godiamo dei vantaggi del mondo connesso, è importante considerare le conseguenze di potenziali violazioni della sicurezza.  

Casi d'uso diversi hanno requisiti e budget diversi, il che significa che alcune implementazioni IoT potrebbero non utilizzare l'hardware più adatto, e il dispositivo utilizzato può avere implicazioni reali sulla vostra implementazione in termini di sicurezza. Vediamo quindi quali sono gli aspetti da considerare quando si progetta l'implementazione per garantirne la sicurezza. 

Tipiche minacce alla sicurezza dei dispositivi IoT installati

Molte implementazioni IoT comportano la distribuzione di grandi volumi di dispositivi economici a causa di vincoli di bilancio, il che significa tipicamente dispositivi con sicurezza e hardening immaturi o insufficienti, che a loro volta comport anosuperfici di attacco associate.

Ecco alcuni esempi di minacce che si possono incontrare con questi tipi di dispositivi:

  • Una falla nella sicurezza di un dispositivo distribuito che potrebbe essere utilizzata da un aggressore per ottenere l'accesso al dispositivo, alla rete di dispositivi o persino al server delle applicazioni. Questo accesso potrebbe essere sfruttato per inserire dati errati, estrarre dati o iniettare malware nel sistema.
  • Un dispositivo fisicamente insicuro potrebbe essere rubato da un aggressore e portato in un luogo più adatto alla progettazione di ulteriori attacchi.
  • Utilizzando la connettività da un dispositivo compromesso, un aggressore potrebbe emulare un dispositivo legittimo per ottenere l'accesso alla rete di dispositivi o al server delle applicazioni.
  • Un dispositivo o un abbonamento non configurato correttamente che potrebbe essere utilizzato da un utente malintenzionato per ottenere l'accesso a servizi che non dovrebbero essere disponibili nell'applicazione progettata.

Non tutti i casi d'uso dispongono del budget necessario per supportare dispositivi IoT con una sicurezza rafforzata, o dispositivi che sono stati testati e convalidati in modo approfondito da organizzazioni affidabili. E molte implementazioni si affidano con successo a un hardware semplice. Tuttavia, è importante comprendere le conseguenze che la mancanza di una solida sicurezza potrebbe avere sul resto della soluzione durante la sua vita.

Ad esempio, un dispositivo economico e semplice potrebbe non avere capacità di aggiornamento del firmware e, anche se il dispositivo ha la capacità di aggiornare il firmware, bisogna chiedersi se si può permettersi di spendere la batteria necessaria per eseguire le azioni associate. Se tra qualche anno si scopre un difetto critico, come si potranno gestire e mitigare gli effetti? Le soluzioni ci sono, ma il progetto per gestire tali problemi potrebbe dover essere implementato fin dall'inizio.

Inoltre, è importante tenere traccia dei dispositivi distribuiti, come la loro posizione e il loro stato. Con migliaia di dispositivi potenzialmente distribuiti, è difficile tenere traccia manualmente della scomparsa o della ricomparsa di un singolo dispositivo e potreste trovarvi a cercare risposte alle seguenti domande:

  • Cosa ha causato l'abbandono della rete da parte di un dispositivo?
  • Si è ricollegato in una posizione diversa?
  • È cambiato qualcos'altro mentre era via?

Tutti questi sono segni di manomissione che potrebbero essere l'inizio di un tentativo di violazione della rete e ci sono modi per mitigare questo tipo di minacce.

La nostra raccomandazione è di utilizzare un qualche tipo di funzione per l'autenticazione del dispositivo, che si tratti di certificati del dispositivo o di una funzionalità integrata nella vostra piattaforma di gestione della connettività (CMP) utilizzando le capacità di autenticazione già esistenti sulla scheda SIM, preferibilmente in combinazione con il rilevamento della posizione del dispositivo e i trigger di modifica del dispositivo (notifica di modifica dell'IMEI).

Un aggressore che ha accesso fisico a un dispositivo può accedere alla SIM. Utilizzando la connettività fornita dalla SIM in un altro dispositivo, l'aggressore può avere maggiori possibilità di violare la rete. L'aggressore può anche ottenere l'accesso a servizi che non erano destinati a essere utilizzati ma che sono stati lasciati attivati nell'abbonamento.

Ad esempio, quando si implementano più casi d'uso diversi, i servizi voce e dati vengono forniti su tutti gli abbonamenti, ma in realtà la voce viene utilizzata solo da alcuni dispositivi in un caso d'uso specifico. Un utente malintenzionato che acceda a qualsiasi SIM in un' installazione di questo tipo potrebbe potenzialmente generare chiamate vocali ad alto costo o causare danni finanziari in altro modo.

La principale mitigazione che proponiamo per queste minacce è rappresentata dai trigger di cambio dispositivo e dalle regole di automazione associate in Cisco IoT Control Center (notifica di cambio IMEI), che possono bloccare automaticamente l'abbonamento e la SIM se viene inserita in un dispositivo diverso. Altre funzionalità di mitigazione includono il provisioning del set di servizi corretto tramite API una volta che il dispositivo è stato distribuito e il monitoraggio continuo dell'utilizzo del servizio.

Altre minacce al vostro servizio IoT

Al di fuori delle minacce ai dispositivi, una delle minacce più preoccupanti per un servizio IoT sono gli attacchi denial-of-service. Se un aggressore identifica alcuni elementi chiave dell'infrastruttura, può sferrare un attacco di sovraccarico che potrebbe mettere completamente offline l'intera soluzione IoT. Ciò è possibile quando una soluzione si basa su Internet per il trasporto dei dati. Anche se i dati sono crittografati, i gateway hanno interfacce verso Internet e sono quindi esposti ad attacchi in caso di identificazione.

L'attenuazione di questo tipo di rischi consiste nel togliere il percorso di trasmissione da Internet e portarlo in un dominio privato. Utilizzando un'interconnessione privata, un'interconnessione cloud privata o persino un'interconnessione privata virtuale, viene fornito un percorso separato dal dispositivo al data center del cliente, dove non transita mai su un mezzo condiviso, il che a sua volta rende sempre più difficile per un aggressore trovare superfici di attacco per attacchi denial-of-service.

C'è anche il tema della segmentazione dei dati e della rete. L'utilizzo di un'interconnessione privata consente di includere i dispositivi IoT sul campo nella propria intranet, garantendo l'implementazione degli stessi principi di sicurezza degli altri servizi IT del cliente, anche se non sempre questa è la configurazione preferita.

Forse ci sono sottoinsiemi di dispositivi che è meglio tenere fuori, ed è qui che entra in gioco la segmentazione. Utilizzando gli APN privati, il cliente può segmentare i propri dispositivi in categorie di rete o persino separare idati in categorie di classificazione dei dati, ognuna con indirizzi e punti finali lato server separati . Quando configuriamo un nuovo cliente, i nostri service manager esaminano in genere il progetto nei dettagli, scegliendo una configurazione adatta alleesigenze e ai requisiti delcaso d'uso delcliente .

Sistemi che interagiscono

Tele2 IoT utilizza Cisco IoT Control Center come piattaforma di gestione della connettività. IoT Control Center è molto capace in termini di controllo, monitoraggio e automazione degli abbonamenti ed è dotato di un ampio set di API per il controllo esterno da parte del cliente. Il cliente deve richiedere che anche gli altri sistemi che acquista supportino le API per consentire ai sistemi di controllo di interagire tra loro.

Un esempio in cui entrano in gioco questo tipo di interazioni di sistema potrebbe essere quello di un dispositivo (dispositivo A) installato e attivato sul campo con l'installatore che seleziona il caso d'uso B come attività designata. La piattaforma di gestione dei dispositivi chiamerebbe quindi il CMP tramite un'API per richiedere il provisioning del profilo di servizio associato al caso d'uso B sul dispositivo A. Il CMP potrebbe quindi informare l'applicazione del cliente che può aspettarsi che i dati associati al caso d'uso B arrivino dall'abbonamento C che ha associato al dispositivo A attraverso il collegamento associato all'APN D.

Se la SIM viene spostata su un dispositivo diverso, la relazione tra il dispositivo A e l'abbonamento C si interrompe e il CMP può intervenire, informando sia la gestione del dispositivo che l'applicazione del cliente. Entrambi potrebbero contenere una logica per richiedere l'intervento del CMP, oppure, se configurato localmente nel CMP, agirebbe per primo e poi informerebbe i sistemi esterni per evitare ulteriori implicazioni di sicurezza.

Se correttamente pianificata, progettata e configurata, un'implementazione IoT è molto sicura, anche quando i vincoli del caso d'uso, come il budget, impongono scelte progettuali in cui la sicurezza non è al livello che dovrebbe essere in base alle politiche. 

Le migliori pratiche

  • Tenete sotto controllo i vostri dispositivi:
  • Dove si trovano, quando sono stati collocati, saranno fissi o si muoveranno, e come dovrebbero comunicare?
  • Pensare al ciclo di vita del dispositivo, compresa la manutenzione del firmware.
  • Accesso fisico, password e disponibilità del servizio
  • Monitoraggio automatico dell'utilizzo del servizio, modifica della posizione e del dispositivo, notifiche sull'identità.
  • Segmentazione di reti e dati, connessioni private per ridurre l'esposizione
  • Permettere l'integrazione API tra i componenti per aumentare le capacità di applicazione dei criteri di sicurezza e di intervento in caso di violazioni.

 Se desiderate saperne di più su sicurezza e privacy dei dati e su come proteggere al meglio la vostra soluzione IoT, contattateci.

Jonas Hallman
Architetto IoT
Tele2 IoT

 

Contattate