Un nuovo rapporto Forrester Research pone l’accento sulla necessità di prevedere nuovi strumenti di sicurezza nel campo dell’Internet of Things. Purtroppo anche in questo settore le minacce non sono più teoriche, ma reali. Il 21 ottobre 2016 il service provider Dyn ha subito un massiccio attacco DDos che ha rivelato come i criminali informatici attacchino molti dispositivi connessi ad Internet al fine di sfruttarne le relative debolezze in termini di sicurezza.
Partendo da tali preoccupanti prospettive la ricerca ha cercato di fare il punto della situazione sulle più importanti categorie tecnologiche individuando quattro fattori fondamentali per ciascuna categoria:
1. Il valore di business corrente
2. la possibilità di aumentare il proprio volume di affari in futuro
3. l’attuale stato del mercato
4. il tempo necessario per raggiungere un’ulteriore evoluzione del mercato.
Anche se vi è una crescente consapevolezza delle potenziali vulnerabilità e rischi di sicurezza degli strumenti IoT, non esiste un’unica misura o strumento che possa facilmente risolvere tutti i problemi di sicurezza dell’IoT.
Di conseguenza, una vasta gamma di tecnologie sono nate per aiutare a proteggere le implementazioni IoT.
Le tecnologie classiche per la sicurezza internet delle cose
Al fine di aiutare i professionisti ad orientarsi nel panorama della sicurezza degli oggetti, Forrester ha individuato le tecnologie più significative, che sono evidenziate nel rapporto. Tutte queste tecnologie possono essere utilizzate
in modo indipendente (e in molti casi si completano a vicenda) per aiutare le aziende digitali a risolvere i problemi di sicurezza.
Si tratta di tecnologie fondate sulle best practices per la rete e la sicurezza degli endpoint, di ampio respiro per la sicurezza dei prodotti, emergenti e progettate per soddisfare nuovi livelli di sicurezza.
Sempre secondo il rapporto nell’ottica di una previsione futura nell’ambito della sicurezza dell’IoT sono fondamentali:
- – la sicurezza degli oggetti che richiede un approccio end to end per cui se si hanno due applicazioni che comunicano tramite una rete, tutte le funzioni e le operazioni specifiche richieste da tali applicazioni, come il controllo di errori, devono essere realizzate ed eseguite in modo completo nei nodi terminali (o end point) e non nei nodi intermedi (o intermediate node) della rete;
- – la crittografia;
- – gli scenari di sicurezza dell’IoT che meritano un ruolo di primo piano;
- – l’analisi dei rischi che deve avere un ruolo significativo nell’individuazione di soluzioni di sicurezza;
- – l’individuazione degli standards di sicurezza nell’IoT anche se i tempi non sono ancora maturi.
- Allo stato attuale, secondo il rapporto, possono essere individuate diverse tecnologie disponibili ed ormai commercializzate nel settore dell’IoT che includono:
- – la sicurezza degli oggetti API (Application Programming Interface).
- – l’IoT blockchain intesa come un database distribuito che sfrutta la tecnologia peer-to-peer che chiunque può prelevare dal web, diventando così un nodo della rete. In altre parole è il libro contabile in cui sono registrate tutte le transazioni fatte in Bitcoin dal 2009 ad oggi.
- – Dispositivi IoT rigidi che assicurino una piena integrità attraverso funzionalità come firmware sicuro, affidabili ambienti di esecuzione per ridurre al minimo i rischi di manomissione dei dati ed accesso non autorizzato.
- – Dispositivi IoT versatili dal punto di vista privacy in grado di fornire soluzioni dirette o tramite interfaccia web che consentano agli utenti di gestire adeguatamente la propria policy privacy. In effetti la complessità dell’ecosistema dell’IoT, caratterizzato non solo dall’enorme quantità di dati che possono essere raccolti dai diversi dispositivi che comunicano automaticamente tra di loro, ma anche dalla possibilità che gli stessi siano condivisi tra più soggetti – quali ad esempio i produttori di dispositivi, gli sviluppatori di software, i fornitori di capacità di calcolo ,i cloud providers, gli analisti e altri terzi -comporta un’elevata probabilità che l’utilizzatore non abbia una sufficiente consapevolezza di quali dei suoi dati personali vengono trattati, in capo a chi sono le responsabilità del trattamento e per quali finalità avviene lo stesso.
- – Segmentazione della rete IoT al fine di creare specifiche aree di isolamento di dispositivi IoT da altri dispositivi IT per avere la possibilità di mettere in quarantena dispositivi potenzialmente infetti o compromessi.
- – IoT PKI e quindi soluzioni in grado di fornire certificati digitali X.509 e funzionalità chiave di carattere crittografico, tra cui la generazione di chiavi private e pubbliche, nonché la relativa distribuzione, gestione e revoca.
- – Analisi di sicurezza IoT che possano raccogliere, aggregare, monitorare e normalizzare i dati dei dispositivi IoT e fornire report fruibili nonché suggerimenti su specifiche attività o politiche di sicurezza.
- – Rilevamento delle minacce IoT che possa identificare attacchi wireless basati sull’IoT al fine di limitare e tenere sotto controllo gli attacchi esterni.
Le tecnologie promettenti per la sicurezza internet delle cose
Ma il rapporto individua anche alcune tecnologie in fase di crescita che rispondono maggiormente a dettami normativi e di sicurezza. Esse sono:
- – l’autenticazione IoT con soluzioni che offrono la possibilità di gestire più utenti su un singolo dispositivo autenticandosi mediante semplici password statiche/PIN o attraverso meccanismi più robusti a due fattori, certificati digitali/PKI e biometria.
- – La crittografia IoT con soluzioni che possano cifrare i dati a riposo e in transito utilizzando algoritmi di crittografia standard che assicurino l’integrità dei dati impedendo l’attività di sniffing degli hacker. Ormai la crittografia dei dati sensibili è diventato un requisito standard.
- – IoT IAM (Identity and Access Management). Le soluzioni IAM consentono al dispositivo di essere identificato nonché di controllarne gli accessi. La standardizzazione in questo settore sta andando avanti ma ci sono molti aspetti da considerare, difatti i dispositivi IoT diventano sempre più intelligenti, sono in grado di raccogliere e inviare ulteriori informazioni, offrono una vasta gamma di meccanismi di controllo remoto.
- – Archivio di identità IoT che consenta la memorizzazione di tutte le informazioni sul dispositivo dell’utente basate sullo standard LDAP, ma che potrebbe includere anche modelli di database, tra cui non-SQL o un grafico DB.
- – Sicurezza della Rete IoT con soluzioni che possano proteggere l’intera rete che collega il dispositivo IoT.
Il rapporto conclude la sua ricerca chiarendo che è necessario il raggiungimento nel mercato dell’IoT di un equilibrio fondamentale. I clienti ed i fornitori devono comprendere i vantaggi ed i limiti di queste tecnologie e servizi, solo in questo modo sarà possibile assicurare un periodo lungo e tranquillo di transazioni commerciali nel settore.
