info@rislab.it - PARTNERSHIP: CNS | VIDES | FEDERICO II

Security by design per i dispositivi IoT

Security by design per i dispositivi IoT

Le nostre abitazioni si stanno popolando di dispositivi connessi alla rete e controllabili da remoto. Una bella comodità, certo, ma connessione alla rete può essere anche sinonimo di vulnerabilità se non si adottano misure di sicurezza opportune. La soluzione è ripensare la progettazione dei dispositivi IoT adottando il principio di security by design.

Security by design per i dispositivi IoT: che significa?

Security by design è un approccio allo sviluppo di componenti hardware e software in cui la sicurezza è costruita sin dall’inizio della progettazione. L’aspetto essenziale di questo approccio è smettere di considerare la sicurezza come ad un upload da implementare solo dopo un attacco hacker.

La necessità di ripensare la progettazione di dispositivi tramite il Security by Design è diventata un imperativo da quando l’impiego e la produzione di dispositivi IoT è cresciuta a dismisura.

Perché i dispositivi IoT sono attaccati dagli hacker?

I baby monitor, le lampadine intelligenti, gli impianti di climatizzazione, si sono tutti dimostrati particolarmente vulnerabili ai cyber attacchi. Questo accade perché molti dispositivi sono stati immessi sul mercato senza alcun tipo di protezione integrata, rendendoli bersagli semplicissimi per i breach.

Quali sono le vulnerabilità dei dispositivi IoT?

Le vulnerabilità nei dispositivi IoT possono appartenere a tre categorie:

  • Vulnerabilità della fase di sviluppo
  • Vulnerabilità di produzione
  • Vulnerabilità legate all’utilizzo

Dispositivi IoT: quali sono le vulnerabilità della fase di sviluppo?

Le Vulnerabilità della fase di sviluppo si verificano quando gli errori di codifica determinano una debolezza che può essere sfruttata durante un attacco informatico. Un altro errore comune è il seeding errato di generatori di numeri casuali, che si traducono in password facili da indovinare.

Dispositivi IoT: quali sono le vulnerabilità di produzione?

Le vulnerabilità di produzione provengono dall’incapacità di includere adeguate misure di sicurezza durante la produzione del dispositivo.

Si tratta di password codificate, interfacce di controllo senza autenticazione dell’utente oppure protocolli di comunicazione che inviano password e dati sensibili in chiaro.

Dispositivi IoT: quali sono le vulnerabilità legate all’utilizzo?

Le vulnerabilità legate all’utilizzo sorgono durante l’uso, il funzionamento o l’installazione del dispositivo. Parliamo, quindi, di password non modificate rispetto a quelle di default, oppure deboli, o ancora la mancata abilitazione di funzionalità di sicurezza.

Security by design e dispositivi IoT: gli imperativi

  • Comunicazione sicura

I dispositivi IoT, per definizione, supporteranno la comunicazione remota con altri dispositivi, uno smartphone o un tablet, ad esempio. I meccanismi di comunicazione varieranno a seconda del dispositivo. È importante garantire che tutte le comunicazioni siano protette.

  • Protezione dati

I protocolli di sicurezza forniscono protezione ai dati in trasmissione, ma non proteggono quelli memorizzati sul dispositivo. Grandi violazioni sono il risultato dei dati recuperati da apparecchiature rubate o scartate. Gli ingegneri dovrebbero considerare la crittografia di tutti i dati sensibili memorizzati sul dispositivo.

  • Gateway sicuri e dispositivi IoT Edge

È necessario affrontare la sicurezza dell’intera rete. I sensori IoT comunicano spesso con un gateway o un dispositivo periferico che esegue la raccolta o l’analisi dei dati. Il gateway o il dispositivo perimetrale deve fornire elevati livelli di sicurezza, sia per sé stesso che per proteggere i sensori su cui raccoglie i dati.

Security by design: come ottenere IoT sicuri?

Per ottenere dispositivi IoT completamente sicuri bisogna partire dal security by design. Gli esperti di RisLab hanno elaborato alcune linee guida per verificare la sicurezza dei dispositivi:

  • Verificare sempre la totale sicurezza dell’ambente di sviluppo e la sicurezza di partner e fornitori
  • Prevenire ogni vulnerabilità, riducendo al minimo le superfici di attacco di un dispositivo ed integrare nel prodotto soluzioni in grado di contrastarle
  • Assegnare i giusti privilegi e le giuste autorizzazioni a ciascun componente o prodotto, senza eccedere
  • Limitare le vulnerabilità legate all’uso: no, quindi, alle password statiche
  • Tenere sempre in considerazione il ciclo di vita del prodotto così come prescritto dall’ENISA