L'hardware connesso all'Internet of Things (IoT) può ricevere e inoltrare non solo dati ma anche comandi o codice malware sotto controllo esterno. I sensori esistenti non devono essere punti ciechi nella sicurezza IT. Sei suggerimenti per rilevare e analizzare gli attacchi dall'Internet of Things.
I responsabili della sicurezza IT hanno bisogno di metodi di difesa in grado di rilevare, analizzare e scongiurare un attacco, ad esempio tramite una telecamera IP o altri sensori. Chiunque veda il traffico di rete risultante può bloccare gli attacchi in una fase iniziale o contenerli rapidamente in caso di emergenza. Network Detection and Response (NDR) fa parte di un sistema di difesa informatica completo, anche per aziende di medie dimensioni.
Molti dispositivi IoT in rete rappresentano un pericolo
Il networking tramite dispositivi IoT è in costante aumento. Nel dicembre 2021, gli esperti di IoT Analytics hanno ipotizzato che il numero di endpoint attivi in tutto il mondo sarebbe aumentato del 12,3% a 2025 miliardi di dispositivi entro la fine dell'anno. Il numero totale di connessioni supererebbe quindi i 27 miliardi nel XNUMX. Le aziende industriali e sanitarie hanno implementato sempre più dispositivi connessi alla rete aziendale centrale. Anche le piccole e medie imprese si stanno aprendo sempre di più a Internet, spesso senza un piano di sicurezza IT corrispondente e con poche risorse di difesa.
Gateway per l'Internet delle cose
L'hardware IoT è un obiettivo attraente per gli hacker: dirottano le telecamere IP collegate alla rete aziendale per botnet e poi le usano per eseguire attacchi denial-of-service. Un pericolo diffuso è il router privato o altri dispositivi IoT nell'home office. Gli aggressori possono utilizzarli per ottenere l'accesso all'infrastruttura IT centrale dell'azienda. In definitiva, anche piccole lacune aprono porte e cancelli ad attività di hacker di vasta portata.
Ci sono vari motivi per cui i sensori e l'hardware IoT sono un punto debole nelle difese IT: Molti amministratori spesso non sanno quali dispositivi fanno parte della loro rete. Inoltre, le aziende utilizzano i dispositivi finché funzionano in qualche modo, più a lungo di quanto previsto dal produttore. Se poi i produttori non supportano più tali sistemi, questi dispositivi diventano una lacuna di sicurezza, soprattutto perché gli utenti spesso non aggiornano i dispositivi. Se ci sono aggiornamenti.
Esaminare il traffico per le anomalie
È necessario l'accesso immediato ai dispositivi IoT per rilevare e difendersi dallo scambio di comandi tra il sensore e il server di comando e controllo o da movimenti laterali per scopi dannosi in una fase iniziale. Se i dispositivi hanno un indirizzo IP e fanno parte della rete aziendale, NDR può vedere e valutare il traffico della telecamera IP, del sensore in produzione o della serratura intelligente.
L'impronta digitale di una comunicazione anomala con dispositivi IoT gestiti basati su IP si distingue chiaramente dal normale traffico di dati: i sensori in produzione, ad esempio, inviano regolarmente piccoli pacchetti a sistemi e applicazioni centrali in operazioni standard sicure e raramente ricevono indietro pacchetti di dati - da un aggiornare a parte questo. D'altra parte, nessun dato deve essere trasmesso all'esterno, a meno che un fornitore non voglia inviare dati al partner. Tuttavia, un'analisi del traffico di rete addestrato dall'intelligenza artificiale e dall'apprendimento automatico riconosce processi imprevisti e lancia un allarme.
Sei consigli per respingere gli attacchi dell'Internet of Things
1. Segmentare le reti aziendali
I dispositivi IoT dovrebbero muoversi nella propria rete. Una rete ospite è sufficiente per raccogliere e inoltrare i dati in loco. L'accesso a tale rete o modelli cospicui nel traffico di dati tra l'IoT e la rete centrale possono quindi essere visti e monitorati in modo efficiente.
2. Zero trust come protezione di base
Nessun accesso a un dispositivo IoT dovrebbe essere consentito senza controllo. Questo controllo di accesso predefinito crea sicurezza immediata e impedisce la crescita incontrollata dell'hardware IoT con accesso alla rete.
3. Patching virtuale
Una patch virtuale in un firewall dell'applicazione aiuta a controllare il traffico di dispositivi IoT non aggiornabili o gestibili verso la rete. Risolvono i problemi di sicurezza esistenti tramite un blocco a livello di firewall.
4. Un allarme deve essere seguito da un'azione immediata
Schemi anomali del traffico di dati nella rete devono attivare contromisure attraverso firewall, antivirus, rilevamento e risposta degli endpoint o gestione delle identità. I sistemi di blocco o un backup istantaneo automatico quando si verifica per la prima volta un attacco sospetto e durante i preparativi sono misure immediate automatizzate per prevenire danni.
5. Costruisci una strategia di difesa completa
Rilevamento e risposta della rete: ecco come diventano visibili gli attacchi che iniziano tramite l'Internet of Things (Immagine: ForeNova).
Se i sistemi IT non fanno parte della rete aziendale, gli amministratori IT possono teoricamente installare localmente un sensore NDR, il che comporta costi elevati e oneri amministrativi. Altre tecnologie di sicurezza svolgono quindi un ruolo importante, ad esempio con il router domestico non gestito: un client EDR garantisce la protezione immediata di questo endpoint.
6. Analizzare gli eventi per prevenire gli attacchi di domani
Se il rapporto di mancato recapito ha respinto un attacco con l'aiuto di altre tecnologie, l'analisi dell'incidente svolge un ruolo importante nel colmare il divario e prevenire gli attacchi successivi. I percorsi di un attacco, che una rete di rilevamento e risposta registra in una sequenza temporale da e verso l'esterno e all'interno del sistema in uno specchio di tutto il traffico di dati, rimangono visibili. L'intelligenza artificiale e l'apprendimento automatico stanno anche creando nuovi modelli di attacco al traffico che potrebbero indicare un attacco IoT e aiutare con la mitigazione futura.
Riconoscere le tracce nel traffico dati
Il pericolo dell'Internet of Things travolge rapidamente i team IT con poche risorse IT umane e tecniche. Ma ogni volta che l'IoT è il punto di partenza per un attacco all'infrastruttura IT centrale con sistemi, applicazioni e conoscenze aziendali, questi eventi si riflettono nel traffico dati. Network Detection and Response, che sviluppa normali modelli di traffico basati su intelligenza artificiale, machine learning e informazioni sulle minacce, avvisa in caso di anomalie e adotta contromisure automatiche. Tale difesa è ora alla portata delle piccole e medie imprese.
Altro su Forumova.com
A proposito di ForNova ForeNova è uno specialista della sicurezza informatica con sede negli Stati Uniti che offre alle aziende di medie dimensioni servizi di rilevamento e risposta di rete (NDR) convenienti e completi per mitigare in modo efficiente i danni causati dalle minacce informatiche e ridurre al minimo i rischi aziendali. ForeNova gestisce il data center per i clienti europei a Francoforte a. M. e progetta tutte le soluzioni conformi al GDPR. La sede europea è ad Amsterdam.