Protezione dai cavalli di Troia
Non tutti i router, le stampanti o i dispositivi intelligenti sono sicuri; una buona parte mette a rischio l'intero sistema informatico. Gli analisti del firmware IoT di IoT Inspector hanno alcuni consigli utili su come ottenere una protezione adeguata dell'infrastruttura IoT.
Secondo i campioni casuali della società di consulenza informatica IoT-Inspector di Bad Homburg, il 50% dei dispositivi presenta spesso vulnerabilità evidenti che consentirebbero un attacco hacker all'intera infrastruttura di sistema. È necessario prestare particolare attenzione all'acquisto di stampanti, router, telecamere di sicurezza e opzioni di illuminazione. Gli hacker conoscono le vulnerabilità e amano sfruttarle. Secondo IoT-Inspector, in ogni dispositivo sono presenti in media componenti software di oltre dieci produttori diversi, i cosiddetti produttori OEM. In una dettagliata lista di controllo, la società di consulenza informatica consiglia i seguenti suggerimenti per la sicurezza:
- In primo luogo, è necessario effettuare una valutazione delle esigenze di protezione e un'analisi delle minacce per stabilire linee guida chiare per la sicurezza dell'IoT.
- Definizione di requisiti tecnici di sicurezza concreti per gli appalti. Questi sono registrati in una specifica di sicurezza e devono essere implementati in modo verificabile dal produttore. Una guida in tal senso è fornita da specifiche internazionali come ISA/IEC 62443 o ETSI 303 645. Inoltre, esistono piattaforme di approvvigionamento incentrate sulla sicurezza da cui è possibile trarre testi concreti di approvvigionamento.
- Verifica dell'affidabilità e della diligenza del produttore nel contesto dello sviluppo di hardware e software. Per orientarsi, i modelli di maturità consolidati come OWASP SAMM o BSIMM. Il produttore deve dimostrare di aver implementato il livello di maturità richiesto - a seconda delle esigenze di protezione del dispositivo - per tutte le attività di sviluppo.
- Esecuzione di test di sicurezza automatizzati del firmware dell'unità, sia in fase di accettazione che a intervalli fissi, al fine di rilevare eventuali nuove vulnerabilità introdotte dagli aggiornamenti del firmware.
- Gli audit Whitebox sono raccomandati in base alla Guide di test OWASP IoT.
Richiedere al produttore una garanzia scritta che tutti i requisiti di sicurezza definiti siano stati rispettati. - Revisione della documentazione sulla sicurezza creata durante lo sviluppo del software (ad esempio, documentazione sull'architettura di sicurezza, analisi del flusso di dati, risultati dei test di sicurezza interni del produttore).
- Se un dispositivo IoT accede a informazioni riservate o viene utilizzato in aree particolarmente vulnerabili, è necessario condurre una revisione completa del codice sorgente di sicurezza del firmware, nonché una revisione della sicurezza fisica del dispositivo IoT stesso, concentrandosi sulle backdoor nascoste nel software e nell'hardware.
Per le parti interessate, IoT Inspector offre un Carta bianca scaricare.
Fonte: IoT Inspector GmbH
