Proteggere i dispositivi IoT di rete o proteggere la rete dai dispositivi IoT?

 
Tratto da Blog Kaspersky
Autore: Nikolay Pankov – 07/06/2021
 
 
I dispositivi IoT tendono ad aumentare notevolmente la superficie di attacco di un’azienda, ma si possono ridurre i rischi.
 
 

 

Nella conferenza Into the Mind of an IoT Hacker (“Nella mente di un Hacker IoT”) tenutasi alla RSA Conference 2021, gli specialisti della sicurezza Itzik Feiglevitch e Justin Sowder hanno sollevato la questione delle vulnerabilità presenti nei vari dispositivi IoT e il trattamento speciale che richiedono per salvaguardare la cybersecurity aziendale. I ricercatori hanno offerto alcuni esempi sorprendenti che mostrano lo situazione della sicurezza IoT nelle aziende di oggi.

Pochi specialisti di cybersecurity tengono traccia dei sistemi hardware IoT aziendali. Molto spesso ascensori intelligenti, sensori di ogni tipo, sistemi IPTV, stampanti, telecamere di sorveglianza e simili sono solo una collezione eterogenea di dispositivi disparati, ognuno con il proprio sistema operativo e i propri protocolli, e molti sono privi di qualsiasi tipo di interfaccia di controllo adeguata… insomma, potete farvi un’idea del panorama. La vostra azienda potrebbe avere migliaia di dispositivi IoT da monitorare.

Perché i dispositivi IoT aggiungono ulteriori rischi alla sicurezza informatica?

I dispositivi IoT non sono sempre considerati come appartenenti all’infrastruttura principale; se una stampante di rete normalmente conta come un dispositivo di rete, non è lo stesso per i componenti di “smart building” o per i sistemi di telefonia IP. Eppure, questi dispositivi tendono a essere collegati alla stessa rete delle workstation aziendali.

Il ricambio del personale può complicare ulteriormente la situazione. Quante più persone entrano e abbandonano la divisione IT e di cybersecurity dell’azienda, maggiore sarà la probabilità che una nuova persona non sappia nulla dello “zoo” di dispositivi IoT collegato alla rete.

Tuttavia, forse l’aspetto più grave è che alcuni di quei dispositivi sono accessibili dall’esterno. Le ragioni possono essere legittime (controllo da parte del vendor su alcuni aspetti di un dispositivo, disponibilità di lavoro da remoto, manutenzione), eppure il fatto che ci siano dispositivi sulla rete aziendale che sono costantemente collegati a Internet, costituisce un gran bel rischio.

Può sembrare paradossale ma la robustezza stessa dell’elettronica moderna è un altro fattore di rischio: alcuni dispositivi IoT hanno una vita molto lunga e funzionano in ambienti di sicurezza molto più complessi di quelli per cui sono stati progettati.

Per esempio, alcuni dispositivi eseguono sistemi operativi obsoleti e vulnerabili che non vengono più aggiornati e, anche quando l’aggiornamento è disponibile, può essere necessario accedere fisicamente al dispositivo, un compito che a volte può essere difficile se non impossibile. Alcuni dispositivi presentano password che non possono essere cambiate, backdoor di debugging erroneamente lasciate nella versione finale del firmware e molte altre sorprese che rendono la vita di un professionista della sicurezza IT davvero movimentata.

Perché ai criminali informatici interessano i dispositivi IoT?

I criminali informatici trovano interessanti i dispositivi IoT  per diverse ragioni, sia per le possibilità che offrono per portare a termine attacchi all’azienda ospite, sia per gli attacchi ad altre aziende. I principali usi dei dispositivi intelligenti compromessi sono:

  • Creare una botnet per attacchi DDoS;
  • Effettuare il mining di criptomonete;
  • Rubare informazioni riservate;
  • Sabotare l’azienda dall’interno;
  • Avere un trampolino di lancio per ulteriori attacchi e movimenti laterali nella rete.

Casi di studio

I ricercatori hanno descritto alcuni casi che sono abbastanza sorprendenti, che si riferiscono sia a dispositivi standard collegati a Internet, sia ad apparecchiature piuttosto specializzate. Due esempi di spicco riguardano apparecchiature a ultrasuoni e dispositivi che utilizzano protocolli Zigbee.

Apparecchiature a ultrasuoni

Le aziende moderne che lavorano nel settore sanitario fanno uso di numerosi dispositivi IoT. Per testare la sicurezza di tali dispositivi, i ricercatori hanno acquistato un’apparecchiatura a ultrasuoni usata per violarne la sicurezza. Hanno avuto bisogno solo di cinque minuti circa per raggiungere il loro scopo, perché il dispositivo eseguiva una versione di Windows 2000 che non era mai stata aggiornata. Inoltre, non solo sono stati in grado di ottenere il controllo del dispositivo, ma anche di accedere ai dati dei pazienti che il precedente proprietario non aveva eliminato.

I medici spesso usano i dispositivi medici per anni, o addirittura decenni, senza aggiornarli o effettuare l’upgrade. È comprensibile se durante gli anni continuano a funzionare bene; tuttavia, la vita di questi dispositivi non finisce nella prima azienda che li ha acquistati, spesso continua in un’altra azienda alla quale sono stati rivenduti.

Protocolli Zigbee

Le aziende utilizzano i protocolli di rete Zigbee (sviluppati nel 2003 per la comunicazione wireless ad alta efficienza energetica tra dispositivi), per costruire reti mesh e spesso per collegare vari componenti all’interno di un edificio intelligente. Il risultato è un gateway in ufficio che controlla decine di dispositivi diversi come, ad esempio, un sistema di illuminazione intelligente.

Alcuni ricercatori ritengono che un criminale informatico potrebbe facilmente emulare un dispositivo Zigbee su un normale computer portatile, connettersi a un gateway e installare un malware. Il criminale informatico dovrebbe solo trovarsi all’interno dell’area di copertura della rete Zigbee, per esempio nella hall dell’ufficio. Una volta preso il controllo del gateway, potrebbe sabotare il lavoro dell’azienda in molti modi, per esempio spegnendo il sistema di illuminazione intelligente dell’ intero edificio.

Come rendere sicura una rete aziendale

I responsabili della sicurezza a volte non sanno se devono proteggere i dispositivi IoT sulla rete aziendale o proteggere la rete aziendale dai dispositivi IoT. In realtà, entrambi i problemi andrebbero risolti. L’importante è assicurarsi che ogni elemento e azione sulla rete sia visibile. Per garantire una reale  sicurezza aziendale bisogna innanzitutto identificare tutti i dispositivi collegati alla rete, classificarli correttamente e, idealmente, analizzare i rischi associati.

Il passo successivo è, ovviamente, quello di segmentare la rete servendosi dei risultati dell’analisi. Se un dispositivo è necessario e insostituibile ma contiene una vulnerabilità che gli aggiornamenti non possono risolvere, allora è necessario configurare la rete per negare ai dispositivi vulnerabili l’accesso a Internet e anche per rimuovere il loro accesso ad altri segmenti di rete. Insomma, bisognerebbe seguire il concetto di Zero Trust per la segmentazione.

Il monitoraggio del traffico di rete per le anomalie nei segmenti rilevanti è anche fondamentale per poter rintracciare i dispositivi IoT compromessi utilizzati per gli attacchi DDoS o il mining.

Infine, per il rilevamento precoce di attacchi avanzati che impiegano dispositivi IoT come sistemi di appiglio alla rete per poi accedere ad altri sistemi, è indispensabile l’uso di una soluzione EDR.

9 Giugno 2021

Hanno cifrato i vostri dati: e adesso?

 

 
 
Tratto da: Blog Kaspersky
Autore: Chris Connell – 18/02/2021
 
 
Ecco come ridurre al minimo le conseguenze di un attacco ransomware aziendale
 
 

 

A volte, nonostante tutte le precauzioni, un’infezione riesce a insinuarsi nella vostra rete. In questo caso, bisogna avere sangue freddo per portare a termine operazioni rapide e decisive. La vostra risposta contribuirà a determinare se l’incidente diventerà un enorme grattacapo per l’azienda o sarà il suo fiore all’occhiello grazie a un’eccellente gestione della crisi.

Durante il processo di ripristino della situazione normale, non dimenticate di conservare testimonianze di tutte le vostre azioni, che assicurino la trasparenza agli occhi dei dipendenti e del mondo intero. E cercate di preservare ogni traccia possibile del ransomware per i successivi sforzi di localizzare qualsiasi altro strumento dannoso che prende di mira il vostro sistema. Questo significa salvare i log e altre tracce del malware che possono tornare utili durante le indagini successive.

Step 1: individuare e isolare

Il primo passo è quello di determinare la portata dell’intrusione. Il malware si è diffuso in tutta la rete? In più di un ufficio?

Cominciate a cercare i computer e i segmenti di rete infetti nell’infrastruttura aziendale e isolateli immediatamente dal resto della rete, per contenere la contaminazione.

Se l’azienda non ha molti computer, iniziate con un antivirus, una soluzione EDR e dei file log firewall. In alternativa, per implementazioni molto limitate, passate fisicamente da un dispositivo all’altro e controllate.

Se stiamo parlando di molti computer, vorrete analizzare gli eventi e i log nel sistema SIEM. Questo non eliminerà tutto il lavoro successivo di passaggio da un dispositivo all’altro, ma è un buon inizio per delineare il quadro generale.

Dopo aver isolato i dispositivi infetti dalla rete, create delle immagini disco e, se possibile, non toccate questi dispositivi fino alla fine dell’indagine (se l’azienda non può permettersi il tempo di inattività dei computer, create comunque le immagini, e salvate il dump della memoria per l’indagine).

Step 2: analizzare e agire

Avendo controllato il perimetro, ora disponete di una lista dei dispositivi i cui dischi sono pieni di file cifrati, più le immagini di quei dischi. Tutti i sistemi sono stati scollegati dalla rete e non rappresentano più una minaccia. Si potrebbe iniziare subito il processo di recupero, ma prima occupatevi della messa in sicurezza del resto della rete.

Ora è il momento di analizzare il ransomware, capire come è entrato e quali categorie lo usano di solito; va iniziato, quindi, il processo di caccia alle minacce. Il ransomware non compare dal nulla: un dropper, un RAT, un Trojan loader o qualcosa di simile lo ha installato. È necessario sradicare quel qualcosa.

Per farlo, conducete un’indagine interna. Scavate nei log per determinare quale computer è stato colpito per primo e perché quel computer non è riuscito a fermare l’assalto.

Sulla base dei risultati dell’indagine, liberate la rete dal malware avanzato e, se possibile, riavviate le operazioni aziendali. Successivamente, cercate di capite cosa avrebbe potuto fermarlo: cosa mancava in termini di software di sicurezza? Colmate le lacune riscontrate.

Step 3: fare pulizia e ripristinare

A questo punto, avrete già gestito la minaccia alla rete, così come la relativa falla da cui è passata. Ora, rivolgete la vostra attenzione ai computer che sono fuori servizio. Se non sono più necessari per l’indagine, formattate le unità e poi ripristinate i dati con il backup pulito più recente.

Se non disponete di una copia di backup adeguata, allora dovrete cercare di decifrare ciò che si trova sulle unità. Iniziate dal sito No Ransom di Kaspersky, dove potrebbe già esistere un decryptor per il ransomware in cui vi siete imbattuti e, se non esiste, contattate il vostro fornitore di servizi di sicurezza informatica per verificare l’esistenza di un aiuto. In ogni caso, non eliminate i file cifrati: di tanto in tanto appaiono nuovi decryptor, e domani potrebbe essercene uno che fa al caso vostro (non sarebbe la prima volta).

Indipendentemente dai particolari, non pagate il riscatto. Sponsorizzereste un’attività criminale, e comunque, le possibilità di ottenere indietro i vostri dati non sono alte. Oltre a bloccare i vostri dati, gli autori del ransomware potrebbero averli rubati proprio a scopo di ricatto. Infine, pagare gli avidi criminali informatici li incoraggia a chiedere più soldi. In alcuni casi, solo pochi mesi dopo essere stati pagati, gli intrusi sono tornati per chiedere un’ulteriore somma di denaro, minacciando di pubblicare tutto se non l’avessero ottenuta.

In generale, considerate qualsiasi dato rubato di dominio pubblico e siate pronti ad affrontare una fuga di informazioni. Prima o poi dovrete parlare dell’incidente: con i dipendenti, gli azionisti, le agenzie governative e, molto probabilmente, anche con i giornalisti. Apertura e onestà sono importanti e saranno sempre qualità apprezzate.

Step 4: prendere misure preventive

Un grande incidente informatico equivale sempre a grossi problemi; perciò, la prevenzione è la miglior cura. Preparatevi in anticipo a ciò che potrebbe andare storto:

  • Installate una protezione affidabile su tutti gli endpoint della rete (compresi gli smartphone);
  • Segmentate la rete e dotatela di firewall ben configurati; meglio ancora, utilizzate un firewall di nuova generazione (NGFW) o un prodotto simile che riceva automaticamente i dati sulle nuove minacce;
  • Guardate oltre l’antivirus e fate uso di potenti strumenti di caccia alle minacce;
  • Impiegate un sistema SIEM (per le grandi aziende) per ricevere notifiche immediate;
  • Informate i dipendenti sull’importanza della cybersecurity mediante sessioni regolari e interattive di formazione.

22 Febbraio 2021

Blog & News

Categorie