Il livello di sicurezza di un sistema è pari a quello del suo elemento più debole. Questa semplice considerazione rappresenta un terreno su cui si gioca una partita sempre più importante a livello di cyber security. A impattare sulla robustezza delle reti aziendali, infatti, non sono sempre (o solo) clamorose falle di sicurezza nei sistemi principali, ma anche le piccole vulnerabilità che si annidano in quella galassia composta da tutti quei dispositivi collegati a Internet che non sono normalmente raggiungibili attraverso il World Wide Web. Si tratta di stampanti, router e device IoT, che finiscono spesso in una sorta di “area grigia” della rete aziendale.
Invisibili ma vulnerabili
La caratteristica dei dispositivi in rete è spesso quella di essere “invisibili”: normalmente, infatti, non è possibile collegarvisi attraverso i normali strumenti di navigazione sul web. Tuttavia, tutti questi device sono comunque connessi a Internet e possono essere raggiunti attraverso strumenti alternativi, come protocolli FTP o Telnet. Le casistiche sono estremamente variegate, anche a causa del fatto che i produttori introducono spesso funzionalità avanzate all’interno di qualsiasi tipo di dispositivo. Non è raro trovare funzioni di web server o condivisione di file all’interno di dispositivi assolutamente insospettabili. Insomma: si tratta di veri e propri endpoint che, nella percezione comune, non ricevono però quelle “attenzioni” a livello di cyber security che vengono normalmente riservate a PC e server. Non è un caso che molti di questi dispositivi finiscano nel mirino dei pirati informatici che li usano come “testa di ponte” per accedere alla rete aziendale. «Spesso i dispositivi connessi in rete diventano un bersaglio privilegiato per portare attacchi alla rete aziendale» conferma Riccardo Pranovi, Business Developer Manager di HP. «Raramente, infatti, dispongono di strumenti di protezione dedicati».
Who's Who
Riccardo Pranovi
Un bersaglio facile
Uno degli aspetti che rendono particolarmente vulnerabili i dispositivi in rete è legato al fatto che pochi di essi sono progettati secondo una filosofia di “security by design”. Specialmente nel caso dei dispositivi IoT, la cui diffusione ha subito un vero boom negli ultimi anni, l’attenzione per gli aspetti legati alla cyber security è spesso insufficiente. Il caso della botnet Mirai, che nel 2016 ha consentito a un gruppo di pirati informatici di compromettere più di 250.000 device e utilizzarli per portare attacchi a reti aziendali in ogni parte del mondo, è esemplificativo dei rischi legati a una gestione inadeguata dei dispositivi IoT. La prima versione di Mirai, infatti, ha sfruttato un semplice elenco di credenziali predefinite per la connessione in remoto ai dispositivi. In alcuni casi si trattava di username e password che gli utenti non si sono preoccupati di modificare, in altri di vere e proprie backdoor, utilizzate dal produttore per la gestione in remoto dei dispositivi, che i pirati hanno potuto sfruttare per prenderne il possesso. Da allora Mirai si è evoluta, sfruttando attacchi di brute forcing e nuovi exploit per allargare il suo campo di azione. Una variante di Mirai, nell’agosto 2021, ha portato l’attacco DDoS più imponente mai registrato, sommergendo i server di una società operante nel settore finanziario con un volume di traffico impressionante: ben 17,2 milioni di richieste al secondo.
Un punto di accesso alla rete aziendale
Le problematiche legate ai dispositivi in rete, però, non sono legate soltanto alla possibilità che possano essere compromesse ed essere utilizzate per attacchi “esterni” all’azienda. In molti casi i device vengono utilizzati dai pirati informatici come primo punto di accesso alla rete aziendale, per poi eseguire quello che in gergo viene chiamato “movimento laterale” e che permette loro di raggiungere i reali bersagli. «Spesso questo tipo di attacchi è facilitato dall’assenza di controlli e sistemi di protezione del firmware (il software di controllo del dispositivo – ndr) da manipolazioni in remoto» spiega Riccardo Pranovi. «In questi casi i pirati informatici hanno gioco facile a infiltrarsi nella rete». Senza contare che per le loro stesse caratteristiche, i dispositivi collegati alla rete aziendali possono consentire l’accesso a informazioni sensibili contenuti al loro interno. Nel caso delle stampanti, per esempio, la possibilità di leggere la memoria interna del dispositivo permette di esfiltrare le informazioni relative a tutti i documenti che vengono stampati, con conseguenze potenzialmente devastanti per il business dell’azienda.
La sicurezza per i dispositivi in rete
L’attenzione per ridurre questa “area grigia” che mette a rischio l’integrità della rete aziendale sta fortunatamente crescendo e sono sempre di più le imprese che utilizzano strumenti specifici per mettere in sicurezza i device a rischio. Uno degli approcci tradizionali per proteggere i dispositivi di questo genere è quello di implementare sistemi di monitoraggio del traffico di rete, attraverso il quale è possibile individuare tempestivamente eventuali comportamenti anomali. Anche sul fronte della progettazione, si sta facendo largo una logica di “security by design”, che prevede un processo di sviluppo e progettazione in cui la sicurezza dei dispositivi in rete viene valutata nel corso della progettazione stessa. Alcuni produttori, però, stanno adottando una stratega decisamente più efficace. «Soluzioni come quelle sviluppate da HP per i suoi servizi Wolf cambiano la prospettiva nella protezione dei dispositivi stessi» spiega Pranovi. «Nel caso delle stampanti, per esempio, l’uso di sistemi di autenticazione per gli utenti, la protezione del firmware e il blocco in lettura della memoria sono solo alcuni degli strumenti che permettono di elevare il livello di sicurezza». Insomma: il futuro prossimo della cyber security applicata ai dispositivi supera la semplice attenzione alle vulnerabilità per introdurre sistemi di protezione proattivi, che consentono di “blindare” i dispositivi esattamente come viene fatto normalmente per i computer.