INFRASTRUTTURE DIGITALI

Cybersecurity per IoT e 5G, il ruolo strategico degli standard

Entro il 2024 il numero di dispositivi connessi supererà di 4 volte quello della popolazione mondiale. Una leva per i processi produttivi ed economici che rischia però di mostrare il fianco agli attacchi cyber. Le sfide da affrontare sul fronte dell’infrastruttura di rete che integra IoT e 5G con le piattaforme verticali

03 Mar 2020
Giovanni Gasbarrone

Ingegnere - Associazione Ufficiali Tecnici Esercito (ANUTEI) - dirigente CIU Unione delle professioni intellettuali


La crescita esponenziale di dispositivi IoT collegati alle reti telco e alle infrastrutture cloud, combinata con lo sviluppo delle reti 5G necessarie per il loro sviluppo, sta creando un ambiente ricco di insidie in ambito cybersecurity. Questo panorama di minacce richiede alla industry Telco di modificare l’approccio alla sicurezza della rete, non più solo tesa a garantire quella interna legata alla resilienza delle infrastrutture agli attacchi informatici ma anche quella esterna legata alla nuova superficie di attacco DDOS generato dalla crescita incontrollata dei dispositivi IOT non tutti conformi agli standard minimi di sicurezza. Una panoramica dei fronti security che interessano lo sviluppo di IOT e 5G.

Le considerazioni non pretendono di essere esaustive, ma offrono qualche spunto di riflessione su un tema molto ampio che viene affrontato negli organismi internazionali di standardizzazione e che richiede un intero evento con gli esperti del settore solo per approfondire gli aspetti tecnici principali sulle architetture e protocolli nella infrastruttura di rete che integra IOT e 5G con le piattaforme verticali.

2025, un mondo di dispositivi connessi

Secondo il WEF ( World Economic Forum ) i dispositivi connessi IOT saranno di gran lunga più numerosi della popolazione mondiale.  Entro il 2025, il numero di dispositivi IoT dovrebbe superare i 40 miliardi,  un numero superiore a quattro volte quello della popolazione mondiale. Di conseguenza, i dispositivi IoT entreranno in modo pervasivo in quasi tutti gli aspetti della vita quotidiana.

La crescita esponenziale di dispositivi IoT collegati alle reti Telco e alle infrastrutture cloud, combinato con lo sviluppo delle reti 5G necessarie per la loro diffusione, sta tuttavia creando un ambiente ricco di insidie in ambito cybersecurity. Questo panorama di minacce richiede alla industry Telco di modificare l’approccio alla sicurezza della rete , non più solo tesa a garantire quella interna legata alla resilienza delle infrastrutture agli attacchi informatici ma anche quella esterna legata alla nuova superficie di attacco DDOS generato dalla crescita incontrollata dei dispostivi IOT non tutti conformi ai standard minimi di sicurezza.

Abbiamo visto che i vantaggi della rete 5G sono molteplici, per lo sviluppo di applicazioni verticali. In ambito IOT è in grado di supportare una densità nettamente maggiore (fino a 100 volte più dispositivi connessi per unità di area rispetto alle precedenti tecnologie mobili, tutti con la medesima velocità e latenza) e un migliore utilizzo dell’energia della rete in termini di consumi che si riflette in innegabili vantaggi nella durata dei dispostivi connessi alla rete.

Su questo aspetto lo standard 5G prevede una riduzione del 90 percento del consumo di energia, che si traduce in dispositivi IoT a bassa potenza in ambienti industriali con una durata stimata della batteria di 10 anni.

Tuttavia le minacce alla sicurezza delle applicazioni verticali IoT alla integrità delle infrastrutture sono il principale problema nella progettazione di soluzioni IOT per tutti i mercati verticali: Industry 4.0, E-ealth, Smart factory, Smart City, public safety .

Le soluzioni sul mercato dei vendor world–class per controllare attacchi DDOS in ambito IOT forniscono strumenti validi per la Pubblica Amministrazione e per il mondo delle imprese e dell’industria. Ma se tutte le difese predisposte vengono superate non resta che attivare misure drastiche sulle infrastrutture di rete.

Il perimetro di sicurezza nazionale

Infatti in caso di “rischio grave e imminente per la sicurezza nazionale connesso alla vulnerabilità di reti, sistemi e servizi”, l’art. 5 del Perimetro di Sicurezza Nazionale Cibernetica concede al Presidente del Consiglio dei Ministri il potere di disattivare, in modo parziale o totale, uno o più apparati o prodotti impiegati nelle reti e nei sistemi colpiti.

Tra gli strumenti tecnologici previsti di controllo e disattivazione di elementi critici delle infrastrutture l’architettura dello slicing di rete nel 5G rappresenta quindi un ulteriore opportunità per la sicurezza se gestito correttamente. Ricordiamo dai precedenti articoli che il network slicing è la capacità di poter configurare reti per diverse categorie o gruppi di clienti attivando il funzionamento simultaneo di reti virtuali / logiche per supportare operatività aziendali indipendenti (ad esempio con scenari specifici di casi d’uso verticali nel trasporto, nella sanità o pubblica sicurezza) utilizzando una infrastruttura fisica comune.

Il network slicing è una componente di architettura di rete fondamentale nel 5G. La suddivisione in rete E2E sfrutta le network capabilities della tecnologia di virtualizzazione centrale nel 5G per affrontare in modo flessibile un’ampia varietà di casi d’uso con requisiti diversi.

Tuttavia, lo slicing di rete solleva una serie di problemi di sicurezza, dall’isolamento della porzione di rete ( slice ) al possibile simultaneo accesso alle sezioni da parte di un singolo utente, che richiede l’indirizzamento. Le porzioni di rete 5G devono essere pertanto adeguatamente protette per i diversi use case previsti. Questa nuova architettura che presenta innegabili vantaggi introduce nuovi tipi di minacce alla sicurezza poiché crea una superficie d’attacco aumentata.

Un operatore della Rete può anche isolare i dispositivi IoT a bassa priorità su una porzione separata per garantire che questi non interferiscano con altri utenti in caso di problemi con dispositivi IoT mission critical o per servizi di public safety.

I rischi che si corrono con lo slicing di rete

WHITEPAPER
Digital Twin: 25% di riduzione dei tempi di sviluppo per le aziende che li usano
IoT
Manifatturiero/Produzione

L’introduzione della sofisticata suddivisione in sottoreti nel 5G (network slicing) espande potenzialmente anche la superficie di attacco attraverso la quale è possibile effettuare attacchi DDOS ed introdurre malware nelle piattaforme del cliente. Tuttavia, le nuove protezioni 5G isolano queste sezioni attraverso più livelli della rete e forniscono sicurezza end-to-end attraverso un frame work di autenticazione comune.

Questa suddivisione facilita inoltre l’implementazione personalizzabile delle funzioni sensibili alla sicurezza dell’accesso 5G NR, come la crittografia utente, in una posizione centrale sicura, mantenendo le funzioni non critiche per la sicurezza in posizioni distribuite meno sicure.

5G –Network slicing

Source: NGMN 5G White Paper, 2015

La rete 5G abiliterà applicazioni Massive Internet of Things (MIoT) come i sensori del traffico e servizi di Vehicle-to-Infrastructure (V2I) che sono fondamentali per le smart cities. È fondamentale che gli hacker non possano superare le basse difese dei dispostivi IoT e prenderne il controllo per utilizzarli negli attacchi massivi Distributed Denial of Service (DDoS).

Fortunatamente, la sicurezza è da tempo la massima priorità nella architettura 5G e IOT con un approccio security by design e l’organismo di standardizzazione 3GPP ha rilasciato nella Release 8 una molteplicità di meccanismi avanzati di sicurezza/ autenticazione nei nodi e server, e con la release 11 sono state introdotte ulteriori “network capabilities” per abilitare un accesso sicuro alla rete “core”

Tuttavia l’ampliamento della superficie di attacco con i dispostivi IOT aumenta i rischi poiché i dispositivi IoT sono potenzialmente capaci di lanciare attacchi DDoS di elevato grado di complessità, inclusi gli attacchi portati a livello di applicazione come raffigurato in figura 2. Vista l’efficacia delle botnet IoT ed il permanere in rete di un numero crescente di dispositivi IoT non aggiornabili nel firmware e scarsamente protetti (sistemi legacy), possiamo aspettarci un aumento nel numero e volume di questa tipologia di attacchi con una modalità” multi vector” sempre più articolata e complessa.

Fig 2 – modalità di attacco con Bot Net IOT

Infatti gli attacchi DDOS “multi vector” avvengono a vari livelli e interessano tutte le componenti architetturali secondo strategie precise che mirano a superare le difese saturandole per arrivare all’applicazione d’utente come ad esempio nella smart factory. Nella figura si esprime a livello concettuale la coesistenza degli attacchi “multi vector” delle Bot Net IOT con altri attacchi di tipo applicativo e attraverso l’infrastruttura Cloud.

Quindi un attacco cyber alle applicazioni d’utente interessa sia le infrastrutture mobile 4G-5G con le infrastrutture SDN, NFV e Cloud, che la componente dei dispositivi IOT.

Le linee guida di Enisa

ENISA ha rilasciato documenti e linee guida per la sicurezza IOT, ma il vero problema è la componente legacy dei dispostivi IOT già in campo o in produzione per la quale i meccanismi implementati di sicurezza sono di basso livello e spesso non è possibile effettuare aggiornamenti firmware dei prodotti.

Le aziende produttrici dei dispositivi IOT intendono sicuramente migliorare i meccanismi di sicurezza e ad investire effettivamente di più nella sicurezza, tuttavia può rivelarsi difficile per le aziende stesse attuare tali iniziative a causa della mancanza di chiare linee guida e indicazioni su come dovrebbe essere la sicurezza per l’assenza di standard condivisi per la molteplicità di enti che sono coinvolti. I clienti finali che si trovano a gestire applicazioni IOT hanno una chiara necessità di assistenza su come aggiornare il firmware sui dispositivi per garantire che le vulnerabilità siano tenute sotto controllo, e al tempo stesso l’industria deve confrontarsi con una carenza di competenze in termini di personale con la capacità di avere una conoscenza profonda dell’IoT e degli aspetti di sicurezza specie per i dispositivi IoT implementati nei servizi mission-critical.

A livello mondiale il World Economic Forum suggerisce come superare il problema tecnologico invitando a sostenere economicamente lo sviluppo e il mantenimento con aggiornamenti firmware nel tempo dei dispostivi IOT attraverso incentivi di mercato: “Creating Market Incentives for Secure Industrial IoT”

Dato che il numero dei dispositivi IoT continua a crescere e a trasformare il modo in cui viviamo, sarà fondamentale proteggere dalle minacce alla sicurezza e alla privacy i consumatori finali. I produttori devono quindi adottare misure per affrontare le sfide della sicurezza informatica e proteggere i consumatori dalle minacce digitali. Pertanto, i dispositivi collegati devono essere progettati tenendo conto della sicurezza. Di conseguenza, sia l’industria che i governi hanno lavorato per sviluppare le migliori pratiche per migliorare la sicurezza di questi dispositivi e consentire ai consumatori di utilizzarli in modo responsabile.

Sicurezza, le 13 regole del codice britannico

Un approccio di dialogo collaborativo con le diverse parti interessate è il codice di condotta del governo britannico per la sicurezza dei dispostivi IoT consumer. Si tratta dell’approccio “Secure by Design”: The Government’s Code of Practice for Consumer Internet of Things (IoT) Security for manufacturers, with guidance for consumers on smart devices at home.

Seguendo in analogia la linea concettuale di questa direttiva, è stata adottata una specifica tecnica ETSI per stabilire una base di sicurezza per i prodotti di tipo consumer IOT e fornire quindi una piattaforma per le future procedure di certificazione IoT in Europa per l’industria. Anche altre organizzazioni di player tecnologici IT che aderiscono ad accordi di cooperazione sul tema della cybersecurity sono fortemente interessati a questo approccio sulla standardizzazione dei dispositivi IOT. Il codice stabilisce 13 linee guida di sicurezza che i produttori di dispositivi consumer IoT sono incoraggiati a implementare, tra cui:

  • Nessuna password predefinita;
  • Attuare una politica di divulgazione delle vulnerabilità;
  • Mantieni aggiornato il software;
  • Archiviazione sicura di credenziali e dati sensibili alla sicurezza;
  • Comunicare in modo sicuro;
  • Ridurre al minimo le superfici di attacco esposte;
  • Garantire l’integrità del software;
  • Garantire che i dati personali siano protetti;
  • Rendere i sistemi resistenti alle interruzioni;
  • Monitorare i dati di telemetria del sistema;
  • Rendere facile per i consumatori eliminare i dati personali;
  • Semplifica l’installazione e la manutenzione dei dispositivi; e
  • Convalida dati di input.

Le 13 regole si devono pertanto calare negli standard, e nelle linee guida pubblicate da organizzazioni come l’Industrial Internet Consortium (IIC), Cloud Security Alliance (CSA), il National Institute of Standards and Technology (NIST), e l’Agenzia europea per la sicurezza delle reti e dell’informazione (ENISA). Ciò rende più semplice per gli sviluppatori sfruttare le linee guida esistenti e riconosciute, piuttosto che reinventare quanto già sviluppato.

*****************************

I progetti di innovazione digitale legati a Internet of Things rientrano tra quelli candidabili per l’edizione 2020 dei Digital360 Awards.

Dieci le categorie tecnologiche interessate: Cloud, Big Data Analytics, CRM/Soluzioni per Marketing e Vendite, Internet of Things, Machine Learning e intelligenza Artificiale, Mobile Business, Smart Working e Collaboration, Soluzioni B2b e di eSupply Chain, Soluzioni infrastrutturali e Blockchain.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Per avere informazioni sulla partecipazione ai Digital360 Awards 2020 clicca qui

@RIPRODUZIONE RISERVATA

Articolo 1 di 3