Il nuovo protagonismo delle Smart City aggiunge un forte elemento di complessità allo scenario già di per sé denso di sfide dell’Internet of Things, su cui le multinazionali dell’Ict, nel corso degli ultimi anni, stanno costruendo le premesse per un mondo tecnologicamente perfetto e che, diversamente, si sta rilevando un fertile terreno di elezione per minacce informatiche di ogni tipo. Più nello specifico, risulta ancora molto diffusa una notevole incertezza circa la natura, il valore e la modalità di utilizzo delle informazioni sulle minacce. L’intelligence globale delle minacce rimane un concetto molto generale, cui si affiancano l’intelligence delle minacce relativa a un settore verticale, o sulle minacce locali, all’interno di un’azienda specifica. Sfruttare una di tali fonti di intelligence comporta una grande sfida, figuriamoci tutte. Ma oggi sono indirizzabili con la combinazione di piattaforme di prevenzione delle minacce innovative e SIEM (Security Information and Event Management).

La maggior parte delle aziende si sta attrezzando con strategie rivolte alla raccolta delle informazioni sulle minacce e all’analisi del loro impatto sugli endpoint tradizionali. Ma quando entreremo nel vivo dell’Internet of Things (IoT) bisognerà trovare il modo di non essere sommersi dai dati arginandoli e incanalandoli verso una corretta direzione.

L’IoT include termostati, rilevatori di fumo, e monitor video posizionati all’interno delle abitazioni, ma anche dispositivi aziendali, come i sistemi di riscaldamento e condizionamento, illuminazione, segnaletica interna ed esterna e sensori di trasporto, ma si stanno affacciando all’IoT anche terminali POS (point-of-sale) e controllori di produzione.

Inoltre, sono sempre più numerose le società che stanno facendo a gara per la creazione delle applicazioni più innovative per i dispositivi come gli smartwatch e i sensori, sia come servizi da commercializzare, sia per aumentare la produttività, l’efficienza o la sicurezza del personale.

Si tratta di dispositivi che trasmettono e memorizzano dati che possono essere non rilevanti ma anche molto personali, ma che soprattutto sono estremamente vulnerabili, non solo in quanto potenziali obiettivi di attacco, ma anche come potenziali vettori di accesso ai sistemi connessi. Con la crescita esponenziale della quantità di dispositivi connessi, prevediamo che gli attacchi mirati saranno sempre più indirizzati a tali dispositivi e allo sfruttamento delle loro vulnerabilità per riuscire a entrare nelle reti aziendali. Un numero di potenziali backdoor quasi incommensurabile. Abbiamo già visto reti compromesse a partire dai sistemi HVAC, dalle telecamere di sorveglianza, o dai contatori intelligenti. Perché non attraverso una pompa d’acqua, una lampadina, o una serratura?

I vendor stanno lavorando attivamente per proteggere l’IoT, introducendo la sicurezza a livello di chip, firewall, gateway, funzioni di boot sicure, controlli di autenticazione e di accesso e vincoli all’esecuzione delle applicazioni. L’intelligence da questo fronte sarà fondamentale per ridurre i tempi di rilevamento e contenimento delle minacce.

La sfida è dare un senso a questa intelligenza, date la varietà e la vastità della serie di dati.

Pensando al numero di dispositivi su una rete elettrica, in un sito di produzione, o in un quartiere della città, ci sono molti più zeri in quel numero che in una tipica rete aziendale. Ogni dispositivo, firewall e gateway pubblicherà informazioni sul comportamento di ogni singolo dispositivo connesso. Bus di messaggistica security possono portare rapidamente queste informazioni ai sistemi interessati, rendendole disponibili al team competente del SOC o dell’incident response. E poi?

Questa nuova ondata di dati si aggiunge al problema già attuale dei big data della security, dal momento che gli analisti di sicurezza sono già sommersi da eventi e avvisi, cercando di sfruttare analytics ad elevate prestazioni, come Hadoop, per trovare un significato nella mole delle informazioni disponibili. Il SIEM log management- oriented sta già cedendo il passo a sistemi avanzati molto abili nel filtraggio, elaborazione e valutazione di questi dati, in grado di individuare gli eventi anomali o per i quali si rendono necessarie indagini più approfondite.

L’intelligence delle minacce verticale, come stiamo vedendo ad esempio con il FS-ISAC (Financial Services Information Sharing and Analysis Center) e altre iniziative a livello governativo, sarà normalizzata e correlata con dati sulle minacce locali, sulla propria azienda, e globali, per aiutare i sistemi e il personale a decidere quali contromisure intraprendere.