Il 2024 sarà l’anno in cui la sicurezza del cosiddetto XIoT (Extended Internet of Things) diventerà cruciale. Il concetto di XIoT si riferisce a tutti gli asset connessi che sono alla base dei sistemi CPS (Cyber-Physical Systems) negli ambienti industriali, sanitari e commerciali. Claroty – società specializzata in soluzioni di sicurezza volte a proteggere i sistemi cyber-fisici in ambienti industriali, sanitari (IoTM) e aziendali (IoT) – parla in una sua recente ricerca di XIoT (Extended Internet of Things) Security focalizzandosi sull’importanza della sicurezza OT (Operational Technology) e dell’integrazione OT/IT. A supporto della sua indagine, si possono citare altri studi che confermano la centralità di questo ambito se le organizzazioni intendono tutelare i propri asset principali.
Gartner, ad esempio, stima che entro il 2025 il 60% dei CIO delle aziende ad alta intensità di asset aumenterà i propri investimenti nell’integrazione IT/OT e che entro il 2026 oltre il 70% degli investimenti in nuovi asset industriali incorporerà funzionalità di progettazione intelligente. La rilevanza di questi dati è legata alla circostanza che gli asset, un tempo isolati, oggi sono sempre più connessi anche grazie al fatto che le reti stanno convergendo man mano che aumenta l’adozione di sistemi CPS diversificati. In secondo luogo, non va sottovalutato che oggi ci sono tra i 15 e i 17 miliardi di dispositivi IoT, con una previsione di raddoppiamento nell’arco dei prossimi 24 mesi. Si calcola inoltre che nel 2024 questo numero monstre di dispositivi arriverà a generare oltre 80 miliardi di connessioni IoT. Di queste, il 70% riguarderà infrastrutture critiche.
I consigli di Claroty per la gestione efficace delle vulnerabilità CPS
Le raccomandazioni della società statunitense presuppongono che gli esperti di sicurezza XIoT abbiano una conoscenza approfondita dei modelli di traffico “noti come validi” per capire come le risorse debbano essere rese operative in modo sicuro. A cui si aggiunge la capacità di rilevare violazioni delle policy note e valide, in modo tale che le patch temporanee comuni possano rimanere temporanee. Non ultimo, è imprescindibile la segmentazione attraverso firewall, NAC (Network Access Control) e micro-segmentazione per rafforzare i canali e garantire certezza nelle comunicazioni di rete. Tutti questi consigli mirano a far comprendere che la gestione tradizionale delle vulnerabilità non è più applicabile ai moderni sistemi.
Il divario tra quelle dei CPS divulgate, corrette e sfruttate si sta allargando sempre di più a causa della rapida evoluzione e introduzione dei CPS in settori critici. Basti pensare che, sebbene quasi il 70% delle vulnerabilità CPS divulgate lo scorso anno abbia ricevuto un punteggio CVSS (Common Vulnerability Scoring System) tra “alto” e “critico”, soltanto meno dell’8% è stato sfruttato. Significa che i team di sicurezza che si basano su questi parametri possono indirizzare erroneamente le risorse verso vulnerabilità che hanno meno probabilità di essere sfruttate. Al contrario, le vulnerabilità effettive rischiano di rimanere non presidiate.
Come risolvere la criticità delle patch nelle reti sanitarie e negli IoMT
Il settore degli Internet of Medical Things (IoMT) è una chiara dimostrazione di quanto detto sopra. Da un sondaggio, condotto sempre da Claroty, nel campo dei dispositivi sanitari è emerso che più del 78% dei professionisti della sicurezza IT ha dichiarato che l’applicazione di patch alle vulnerabilità nei CPS clinici è la lacuna più significativa nelle difese informatiche. In particolare, il 63% delle vulnerabilità sfruttate note nel catalogo KEV (Known Exploited Vulnerabilities) dell’agenzia statunitense CISA si riscontra sulle reti sanitarie, mentre il 23% dei device medici – che comprendono i dispositivi di imaging, i dispositivi IoT clinici e i dispositivi chirurgici – possiede almeno una vulnerabilità sfruttata nota.
Il tema delle patch è essenziale soprattutto in quegli ambienti che sfruttano CPS mission-critical con lunghi periodi di ammortamento, di cui i dispositivi medici connessi e i sistemi di controllo industriale rappresentano i casi più emblematici. Entrambe queste tipologie non sono sviluppate per sopportare tempi di inattività eccessivamente lunghi né per essere esposti al rischio potenziale che una nuova patch potrebbe introdurre nei sistemi adiacenti. È il motivo per cui si sta affermando una tendenza verso metodologie di sicurezza predittiva e approcci Zero Trust in grado di apportare miglioramenti nelle difese informatiche.
Predittività, Zero Trust e Intelligenza Artificiale per la sicurezza XIoT
In un tale scenario il tradizionale punteggio di vulnerabilità CVSS potrebbe non essere più adeguato. Occorre un modello di punteggio che preveda quali vulnerabilità gli aggressori utilizzeranno con più probabilità. Altrimenti i dipartimenti di sicurezza XIoT potrebbero orientare i propri sforzi nella minimizzazione di minacce solo teoriche. Invece, predittività e Zero Trust possono mettere le aziende in condizione di prendere decisioni più efficienti in termini di priorità, correzione e gestione complessiva del rischio. Già oggi l’accesso Zero Trust è fondamentale per proteggere le reti fino ai livelli più granulari di utenti, macchine e carichi di lavoro.
Si tratta di un’evoluzione in cui non si può prescindere dal ruolo dell’Intelligenza Artificiale, la stessa che, nelle mani dei criminali informatici, è diventata una potentissima arma di offesa. Se da un lato infatti gli hacker stanno trasformando l’AI in uno strumento che potenzia la loro capacità di attacco, dall’altro è dalla medesima AI che le organizzazioni possono ottenere una maggiore resilienza informatica e operativa per i propri sistemi CPS. L’Intelligenza Artificiale può aiutare efficacemente gli esperti di sicurezza XIoT automatizzando i flussi di lavoro e offrendo visibilità sull’intera superficie di attacco. In definitiva, si candida a ricoprire un ruolo chiave nel contrasto e nella prevenzione degli attacchi agli asset e ai sistemi critici delle aziende.