Nov
08

5 FACILI PASSI PER PROTEGGERE LA TUA RETE DI PRODUZIONE

5 FACILI PASSI PER PROTEGGERE LA TUA RETE DI PRODUZIONE
 
Negli ultimi anni, grazie agli incentivi per l’industria 4.0, nelle aziende si sono moltiplicate le macchine che hanno a bordo uno o più sensori o controller che richiedono di essere connessi alla rete. Questi dispositivi vengono indentificati in gergo come IoT (Internet of Things – Internet delle cose).

I dispositivi IoT possono rappresentare una facile porta di accesso per gli aggressori, causando interruzioni alla produzione e gravi danni alle aziende.
Uno dei ritornelli che si sente spesso dai responsabili IT è che le loro risorse IoT sono di scarso valore. I produttori di macchine, ad esempio, non credono che i loro sistemi di controllo siano di alcun valore per gli hacker, in quanto non contengono informazioni critiche e sono facilmente ripristinabili ai valori di fabbrica in caso di violazione. Gli hacker, invece, considerano i dispositivi IoT come obiettivi molto preziosi.
Ecco cinque semplici passaggi per proteggere l'IoT aziendale da eventuali compromissioni, anche se si dispone di un budget limitato.

1. Identificare i dispositivi IoT
I dispositivi IoT più comuni includono telecamere di sicurezza, sistemi di illuminazione industriale, sistemi di rilevamento e controller di produzione gestiti da una soluzione basata sul Web. Un altro esempio di IoT è un telefono IP collegato un centralino PBX basato su cloud. In definitiva, un dispositivo IoT è qualsiasi dispositivo non tradizionale che sia collegato in rete e abbia un indirizzo IP. Sono questi sistemi che possono cadere nel dimenticatoio e diventare bersagli.
Alcuni dispositivi IoT comunemente trascurati sono le stampanti, i lettori di badge e gli scanner barcode collegati in rete. Un punto di partenza per identificare i dispositivi IoT è dare un'occhiata alla lista degli indirizzi IP in uso sulla rete. Dalla lista degli indirizzi si possono identificare tutti i dispositivi che non sono PC, server o dispositivi di rete e ottenere così una lista dei probabili dispositivi IoT connessi.
 

2. Isolare i sistemi
Una buona tecnica di mitigazione del rischio consiste nell'isolare i dispositivi dalla rete di produzione. Raramente c'è una buona ragione per cui i dispositivi IoT gestiti o non gestiti, debbano risiedere sulla stessa rete logica dei dispositivi e dei server degli utenti finali.
Un approccio solido consiste nel creare VLAN specifiche per i dispositivi IoT. Collocando i dispositivi in una rete isolata, gli amministratori hanno la possibilità di applicare i criteri di sicurezza di livello IP ad ampie porzioni della rete. L'isolamento della rete tramite VLAN consente di utilizzare le liste di controllo degli accessi esistenti sui router e sui firewall tradizionali per controllare il flusso di comunicazione tra i dispositivi IoT e la rete di produzione. Questo approccio consente di mitigare il rischio associato all'attacco dei dispositivi IoT ai sistemi IT di produzione, come le workstation e i server. In caso di compromissione della rete aziendale, si protegge la rete di produzione e viceversa.
 

3. Limitare l'accesso a Internet
La collocazione dei dispositivi IoT in una rete isolata offre anche la possibilità di negare l'accesso a Internet per impostazione predefinita. Gli operatori delle botnet cercano risorse di sistema da indirizzare verso obiettivi su Internet. Se i dispositivi sono isolati e quindi non hanno la possibilità di accedere a Internet né di infettare altri dispositivi con una connessione a Internet, l'appetibilità di questi dispositivi per gli intrusi risulta molto ridotta.
 

4. La sicurezza delle password è essenziale
Gli attacchi ai dispositivi IoT sono facili da realizzare perché molti di questi dispositivi hanno ancora password predefinite. Abbiamo riscontrato che questo è il caso di circa il 50% dei dispositivi IoT in generale, ed è ancora più elevato in categorie specifiche di dispositivi. Ad esempio, si calcola che il 95% dei dispositivi IoT per apparecchiature di videosorveglianza sia installato con le password predefinite. Anche quando i dispositivi non utilizzano password predefinite, abbiamo riscontrato che la maggior parte di essi ha subito una sola modifica della password in ben dieci anni. Idealmente, i dispositivi IoT, come i PC, dovrebbero essere dotati di password uniche e complesse che vengono ruotate periodicamente. Tuttavia, non tutti i dispositivi supportano password complesse. Alcuni vecchi dispositivi IoT possono gestire solo PIN di quattro cifre, mentre altri consentono solo otto caratteri e magari non accettano caratteri speciali. In ambiti dove la sicurezza è particolarmente importante, è opportuno considerare la possibilità di sostituire i dispositivi legacy che non sono in grado di fornire un buon livello di autenticazione con prodotti più moderni che consentano migliori pratiche di sicurezza.
 

5. Gestire il firmware dei dispositivi
La maggior parte dei dispositivi IoT si basa su un firmware obsoleto, che comporta rischi significativi per la sicurezza, dal momento che le vulnerabilità sono molto diffuse. Le vulnerabilità del firmware rendono i dispositivi esposti ad attacchi che includono malware di base, malware sofisticati e backdoor, attacchi di accesso remoto, furto di dati, ransomware, spionaggio e persino sabotaggio fisico. Alcune ricerche riportano che il firmware medio dei dispositivi ha sei anni e che circa un quarto dei dispositivi è a fine vita e non più supportato dal produttore.
Come i computer, anche i dispositivi IoT devono essere aggiornati con l'ultima versione del firmware e con le patch di sicurezza fornite dai fornitori. Certo, questo può essere un problema, soprattutto nelle grandi organizzazioni dove ci sono letteralmente migliaia di dispositivi. Ma in un modo o nell'altro, è necessario pianificare una strategia di aggiornamento per mantenere la rete sicura.
Tuttavia, a volte il firmware dei dispositivi deve essere declassato, piuttosto che aggiornato. Quando una vulnerabilità viene ampiamente sfruttata e non è disponibile una patch - poiché i fornitori IoT spesso impiegano più tempo a rilasciare patch rispetto ai produttori di dispositivi IT tradizionali - può essere consigliabile declassare temporaneamente il dispositivo a una versione precedente del firmware che non contiene la vulnerabilità.
 
Hai bisogno di supporto? Contattaci allo 0423.83699 o scrivi una mail a sales @ infotre.it