Unità di crisi informatica: le basi per gestire al meglio l’emergenza
9 luglio 2018
Specifiche soluzioni di mitigazione ad ogni tipologia di attacco informatico
11 luglio 2018

Assessment di sicurezza su Ecosistemi IoT

IoT è un neologismo riferito all’estensione di Internet al mondo degli oggetti e dei luoghi concreti introdotto da Kevin Ashton, cofondatore e direttore esecutivo di Auto-ID Center (consorzio di ricerca con sede al MIT) durante una presentazione presso Procter & Gamble nel 1999.

Già, dal 1999 sembra passata un’era geologica e stiamo assistendo nell’ultimo periodo (ma già annunciato da diverso tempo) ad un aumento dei servizi basati su IoT andando verso una logica di Smart City dove un ecosistema di sensori registra, processa e immagazzina dati localmente e interagisce in modo autonomo tramite internet e protocolli in radio frequenza.

L‘internet delle cose è in forte espansione (ad esempio oggi non esiste un comune che non ha almeno un progetto IoT avviato) e a livello di verifiche di sicurezza siamo molto indietro, occorre quindi un approccio metodologico di ICT Risk management completamente differente rispetto alle classiche infrastrutture ICT e definire nuovi modelli di Assessment con un approccio a servizio e non su applicazioni monolitiche come fatto in passato.

Evoluzione tecnologica

I sistemi nel tempo si sono evoluti passando da tecnologie Mainframe a Client-server per abbracciare infrastrutture / ecosistemi distribuiti sempre più complessi. La Terza Piattaforma è un nuovo paradigma tecnologico costituito da ecosistemi di risorse e applicazioni che includono servizi cloud, infrastrutture mobili, Big Data, IoT, social media e altro ancora con un aumento vertiginoso degli utenti e dei dati e (di nostro particolare interesse) della superfici di rischio.

Senza entrare nel teorico (ma fatemelo fare), ogni azienda deve applicare rigidamente il I requisito del NIST e del framework nazionale di sicurezza che stabilisce l’esigenza di inventory e catalogazione delle componenti ICT, che occorre un’impalcatura di norme a supporto della sicurezza, che occorrono campagne di awareness periodiche e mirate, che occorre limitare il numero di sistemi, ecc & ecc… in piena trasformazione, stiamo assistendo ad un forte cambiamento nello stile di vita quotidiano.

Viviamo una digital-experience sempre più connessa alla rete; basta pensare quanto tempo un italiano medio passa guardando il proprio telefono o i social network / chat sul proprio smartphone.
Uno studio parla di 4,5 ore online delle quali 2,5 sui social, una percentuale significativa del nostro tempo che ci porta a lasciare tracce “consistenti” sui nostri comportamenti, sulle nostre abitudini, sulle nostre preferenze e molto altro ancora.

Questi dati oggi sono di interesse strategico per molte forme di business (un esempio il caso Cambridge Analytica) e stiamo assistendo ad un inversione del paradigma sull’appetibilità dei dati passando da un paradigma “Business & Data Centric” in 1st & 2nd platform a “User Centric” in 3rd platform (come vediamo nella figura in calce) con nuovi tipi di sistemi e servizi.

Rischio e Minacce

Mentre stiamo progettando i nostri sistemi IoT, cominciamo a diffondersi dai giornali le prime notizie sui sistemi violati e non sono molto rassicuranti:

  • Akamai Finds Longtime Security Flaw in 2 Million Devices
  • Hackers Remotely Kill a Jeep on the Highway
  • TalkTalk Hack Data Was Unencrypted.
  • Hacker Can Send Fatal Dose to Hospital Drug Pumps
  • DDOS Botnet Mirai

Nuove forme di impatti si cominciano ad intravedere che vedono sempre più l’utente al centro contornato da una moltitudine di ecosistemi complessi, queste minacce fanno intravedere nuovi rischi fino ad oggi mai valutati.

Sappiamo inoltre che la sicurezza è una grandezza «inversamente proporzionale» alla complessità applicativa e mentre i sistemi cominciano ad essere sempre più complessi il Livello Massimo di confidenza (LMC) nelle attività di Assessment risulta in costante diminuzione oltre ad un aumento della richiesta di controllo e tempistiche sempre più stringenti anche in virtù delle nuove normative in atto (ad esempio il GDPR).

Possiamo quindi asserire che il rischio cambia forma e aspetto.

L’internet mobile oramai è storia passata (il nostro smartphone è diventato una protesi strutturale della nostra persona e ne siamo tutti consapevoli) ma altre nuove “utility” cominciano ad affacciarsi nel nostro mondo, ma tutto questo ottimismo, questa “esaltazione” rende le nostre cose e le nostre vite più al sicuro? Una SmartCar a guida autonoma, quanto ci fa paura?

Occorre quindi coniugare nuove grandezze fino ad oggi mai pensate perché oltre al rischio privacy (sulla quale abbiamo costruito la Riservatezza, Integrità e Disponibilità del dato e misurato il rischio da diversi anni a questa parte) non basta più…

Ecosystem Security Assessment

L’approccio nelle attività di Assessment dovrà cambiare verificando l’ecosistema nel suo complesso (il servizio) e non effettuare più controlli monolitici su una singola Applicazione (ad es. solo sull’APP Mobile).

Ecco l’avvento degli Ecosystem Security Assessment (ESA) che consentono di misurare il livello di rischio su un ecosistema complesso composto da apparati Classic-ICT, Reti Zegbee, WiFi Network, App Mobile e web application e backand misti on-premise/Cloud per poi misurare gli impatti sull’utente finale.

Modello di Verifica

In una logica ESA, l’approccio metodologico all’Assessment cambia completamente approccio anche in relazione al sistema stesso, ai device interconnessi definendo 4 direttrici di verifica che vengono sintetizzate in calce.
Viste le tempistiche limitate di verifica, l’information gathering garantirà di individuare con buoni margini di confidenza le corrette direttrici / percentuali di verifica da dedicare ad ogni “strato” in quanto ogni sistema è differente e non esiste una metodologia standard, ma deve essere definita di volta in volta.

Si evolvono quindi anche le tecniche disponibili introducendo oltre al classico penetration test anche verifiche documentali sugli standard Cloud (dove non è possibile praticare una verifica in campo) e soprattutto vede la luce una nuova forma di verifica quale l’Hardware Security e gli assessment di Orchestration Application Management di gestione dei device.

In Hardware Security infatti non basta più verificare il software degli apparati perché un utente malintenzionato può avere accesso “fisico” al device e condurre attacchi mirati. Occorre quindi valutare Firmware, reti wifi (ad es. protocollo Zigbee), Component Analysis ecc… tecniche fino ad oggi mai utilizzate sui sistemi “Classic ICT” e nasce l’esigenza di disporre di un laboratorio per queste particolari tecniche.

Da tener in considerazione che in ambiente IoT esiste molta meno “consapevolezza” al rischio (soprattutto su soluzioni off the shelf), infatti non è difficile trovare in Hardware Security problematiche di chiavi condivise tra device o password predicibili banali (principale direttrice di attacco della botnet MIRAI).

Security By Design

Sempre di rilevanza strategica rimane la «Security By Design» ovvero quella fase nella quale identificare i requisiti di sicurezza da implementare in maniera nativa e quindi scegliere il giusto device prima della messa in catena. Tale verifica consentirà di identificare il device a minor rischio in modo da poter sviluppare su questo il nostro ecosistema evitando di procedere ad effettuare tale verifica in fase di roll-out.

Conclusioni

Per chi si occupa di sistemi occorre una vera riflessione su come la sicurezza in passato veniva implementata (valore accessorio) e quanto la sicurezza diventa oggi un elemento “abilitante” che non può essere più sottovalutato. La sicurezza nasce dalla Progettazione di un sistema e dal suo sviluppo, errori fatti in queste fasi (molto prima dell’avvio in produzione di un servizio) possono compromettere completamente la sicurezza di un ecosistema, questi aspetti non possono essere più sottovalutati da chi si occupa di progettazione dei sistemi in 3rd platform.

Chi produce applicazioni di 3rd platform deve prevedere all’interno dei team esperti di sicurezza che valutino le architetture, seguano il programma e gli sviluppi, forniscano linee guida per il collaudo e l’esercizio del sistema. Tutto questo per applicare la “Security By Design” che non è l’headline di un prodotto di bellezza, ma è la chiave di volta per realizzare sistemi sicuri.

Purtroppo in ambito IoT vale ancor di più il concetto che la sicurezza se non applicata è una tassa non pagata. Dopo cinque anni può andare in prescrizione, ma se contestata occorre pagare more e more rimpiangendo di non averci pensato a suo tempo

A cura di: Massimiliano Brolli

Attualmente responsabile delle funzione di monitoraggio dei piani di sicurezza e delle attività di risk Assessment sui sistemi TIM e società partecipate, ha rivestito diversi incarichi manageriali in Telecom Italia e TIIT (Telecom italia information tecnology) spaziando da attività di governance e Audit di sicurezza ad  attività di gestione applicativa di piattaforme centralizzate con un passato nello sviluppo del software in società come IBM, 3inet, Praxi e Bnl oltre a numerose attività di docenza svolte su ambiti come uml, object oriented e differenti framework e linguaggi di programmazione.

Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy