I team IT nello sviluppare strategie di sicurezza adeguate si trovano a dover gestire i vari dispositivi presenti nelle reti aziendali in un numero in continua crescita. Proteggere l’IoT è fondamentale per la sopravvivenza e la crescita del business, ma la sicurezza IoT presenta sfide uniche in tal senso. Un approccio alla sicurezza per l’IoT che comprenda anche l’uso del machine learning (ML) può costituire uno strumento utile ad affrontare queste sfide: permette di identificare i dispositivi sconosciuti su una rete, ad esempio, assicurandosi che siano inclusi nel quadro di sicurezza esistente, e rende la gestione dell’IoT più facile per i team IT.
L’apprendimento automatico nella sicurezza IoT
I dispositivi IoT sono tipicamente l’anello debole di una rete aziendale, ma sono infinitamente utili per un’azienda. Data la loro scalabilità, non è difficile capire perché le aziende continuano ad espandere il loro uso ma i team di cybersecurity hanno bisogno di nuove tecnologie per tenere traccia di tutti e mantenere la rete sicura.
A livello generale, il ML può proteggere l’IoT automatizzando la scansione e la gestione dei dispositivi in tutta la rete in modo da bloccare gli attacchi in modo autonomo, prima che i team IT se ne rendano conto. Questo è quello che è successo ad esempio nel 2018 con il software Windows Defender di Microsoft quando ha fermato un attacco malware Trojan in 30 minuti. Andando più in profondità, il ML aiuta a identificare tutti i dispositivi su una rete, compresi quelli che si connettono solo a intermittenza, e riesce ad automatizzare il rollout di una strategia di segmentazione della rete aggiungendo automaticamente i dispositivi al segmento adatto in base alle regole impostate in precedenza. I team IT sono così più liberi e possono lavorare su progetti tecnologici di maggior valore e gestire la strategia generale di cybersecurity dell’azienda in modo più rapido ed efficace.
Tutto ciò che serve sapere sul machine learning nella sicurezza IoT
Il ML aiuta i team di sicurezza IoT a fare previsioni e a ottenere risposte intelligenti basate sul comportamento passato. Nel caso di vulnerabilità e attacchi noti, come il distributed denial of service, confronta il comportamento attuale della rete con i modelli di comportamento degli esempi di attacco e intraprende azioni protettive.
I servizi, come AWS IoT Device Defender, le soluzioni di Extreme Networks o Microsoft Azure Security Center for IoT, offrono capacità del ML per la sicurezza IoT, compreso il rilevamento delle anomalie a livello di dispositivo e la risposta automatica alle minacce.
Nell’esempio di Windows Defender di Microsoft, i sistemi di ML lato client e basati su cloud confrontano automaticamente l’uso attuale della rete con 30 modelli di protezione della sicurezza in parallelo. Alcuni di questi modelli utilizzano milioni di fattori per determinare quale sia il comportamento relativo agli attacchi conosciuti.
Per proteggersi dalle vulnerabilità sconosciute e dagli attacchi zero-day, i modelli basati sul ML monitorano i dispositivi IoT e l’attività di rete per rilevare un comportamento anomalo in tempo reale e adottare immediatamente misure di protezione. Molti sistemi di ML si aggiornano automaticamente ogni giorno per stare al passo con il panorama delle minacce in continua evoluzione, ciò rende il ML ideale per proteggere reti complesse. Esamina istantaneamente la struttura generale di un insieme di dispositivi IoT e confronta il suo comportamento con le minacce note e il comportamento storico. Solo una rete che utilizza sistemi di ML può agire così rapidamente per individuare minacce prima che penetrino nella rete aziendale principale attraverso i dispositivi IoT.
Vantaggi del machine learning nella sicurezza IoT
Il principale vantaggio del ML nella sicurezza IoT è la velocità con cui scansiona, rileva e protegge dispositivi e reti. Può portare modelli e framework di sicurezza moderni a tutte le reti, comprese quelle che utilizzano ancora tecnologie legacy e dispositivi IoT. In particolare sono due i vantaggi del ML a chi guardare.
Trovare e identificare tutti i dispositivi IoT all’interno di una rete
Data l’estensione che un sistema di dispositivi IoT può avere, i team IT potrebbero non conoscere tutti quelli attualmente presenti nella loro rete, specialmente quelli che si connettono a intermittenza o che utilizzano protocolli legacy per inviare o ricevere dati. Sono “nascosti” dal punto di vista della sicurezza finché non diventano attivi o sono l’obiettivo di un attacco.
Il ML può identificare i dispositivi IoT su una rete perché scansiona e confronta automaticamente il comportamento storico della rete. Ad esempio, un modello di ML riesce a rilevare un potenziale dispositivo nascosto se sa che il traffico di rete aumenta in una particolare posizione in un certo giorno ogni mese. I responsabili IT possono a quel punto inviare un team a controllare fisicamente la posizione per verificare il dispositivo e incorporarlo nei futuri piani di sicurezza.
Aggiungere dispositivi IoT alla rete in modo più efficiente
La creazione di segmenti di rete è solo una parte di ciò che deve essere fatto; i team IT devono aggiungere anche i dispositivi ai segmenti per farli funzionare correttamente e, con l’enorme numero di dispositivi IoT connessi, questa è una grande sfida. La combinazione di ML con la segmentazione della rete rende tutto più facile e più efficiente: i team possono impostare i segmenti e le regole dei dispositivi edge, poi saranno i modelli di ML a monitorare, scansionare e proteggere automaticamente i dispositivi di conseguenza. Quando essi si connettono, i sistemi di ML li inseriscono automaticamente nel punto corretto del sistema di sicurezza in base alle regole stabilite in precedenza. Questo permette al personale IT di lavorare su attività e strategie tecnologiche più strategiche, pur mantenendo una sicurezza efficace e aggiornata per i dispositivi IoT.
Svantaggi del machine learning nella sicurezza IoT
Il ML può identificare i dispositivi IoT legacy e persino comunicare con loro ma se sono troppo vecchi o non aggiornati, restano comunque vulnerabili agli attacchi. Il sistema di ML deve essere impostato per identificare i dispositivi legacy e poi avvisare i responsabili IT quando non si connettono più altrimenti possono diventare solo una delle tante voci “precedentemente connesse” all’interno di un report e non venire controllati in tempo per prevenire un attacco.
Allo stesso modo, anche la diversità di dispositivi IoT può rendere difficile per il ML rimanere sempre aggiornato. A seconda del servizio di ML utilizzato, il modello può aggiornare i suoi elenchi di compatibilità dei dispositivi secondo un timing che non sta al passo con l’evoluzione continua del panorama delle minacce. I dispositivi che il ML può analizzare e proteggere oggi potrebbero non essere gli stessi domani quindi è valido solo quanto i sistemi e i modelli di sicurezza che lo supportano.
Molti dispositivi IoT richiedono una comunicazione ultra-affidabile e a bassa latenza, come i dispositivi chirurgici sensibili, i sistemi di produzione della catena di montaggio e i sistemi di monitoraggio del traffico. Sono in genere dispositivi utilizzati 24 ore su 24, 7 giorni su 7, il che significa che i protocolli di ML non possono essere impostati eseguiti durante le ore libere perché non ce ne sono.
Una scansione o un protocollo di monitoraggio avviati dal ML possono occupare una preziosa larghezza di banda per questi dispositivi, rendendoli troppo lenti o addirittura inutilizzabili in quel periodo. Questo esempio dimostra come i team IT debbano essere sempre consapevoli del ruolo e dell’uso dei dispositivi IoT quando implementano la loro strategia di ML perché non sempre la configurazione tipica è quella che funziona meglio.