Italiano 
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
La potenza del fingering passivo del sistema operativo per un'identificazione accurata dei dispositivi IoT
Si prevede che il numero di dispositivi IoT nelle reti aziendali e su Internet raggiungerà i 29 miliardi entro il 2030. Questa crescita esponenziale ha inavvertitamente aumentato la superficie di attacco. Ogni dispositivo interconnesso può potenzialmente creare nuove strade per attacchi informatici e violazioni della sicurezza. La botnet Mirai ha dimostrato proprio questo, utilizzando migliaia di dispositivi IoT vulnerabili per lanciare massicci attacchi DDoS su infrastrutture Internet critiche e siti Web popolari.
Per tutelarsi efficacemente dai rischi della diffusione dell’IoT, il monitoraggio continuo e il controllo assoluto sono cruciali. Tuttavia, ciò richiede un’identificazione accurata di tutti i dispositivi IoT e i sistemi operativi (OS) all’interno della rete aziendale. Senza questa conoscenza, i team IT e di sicurezza non hanno la visibilità e la comprensione necessarie per implementare in modo efficace controlli di sicurezza mirati, monitorare l’attività di rete, identificare anomalie e mitigare potenziali minacce.
In genere, gli amministratori possono identificare dispositivi e sistemi operativi tramite ID dispositivo univoci assegnati da agenti software eseguiti sugli endpoint di rete e raccogliere informazioni per l'identificazione del dispositivo. Tuttavia, potrebbe non essere possibile o fattibile installare tali agenti su tutti i sistemi operativi, in particolare quelli utilizzati nei sistemi embedded e nei dispositivi IoT. Questo perché i dispositivi IoT sono progettati per eseguire funzioni specifiche e spesso dispongono di risorse limitate: potenza di elaborazione, memoria e spazio di archiviazione. Spesso non hanno la capacità di supportare eventuali agenti software aggiuntivi.
Per questi motivi, abbiamo bisogno di un approccio passivo all’identificazione che non implichi installazioni di software e funzioni altrettanto bene con sistemi personalizzati e ridotti al minimo per soddisfare i requisiti specifici dei dispositivi IoT. Uno di questi metodi è il rilevamento delle impronte digitali basato sulla rete e il rilevamento delle impronte digitali passivo del sistema operativo.
In pratica, il fingering passivo del sistema operativo è come cercare di profilare le persone senza alcuna interazione diretta, semplicemente dal loro aspetto e dai loro comportamenti. Allo stesso modo, il modo in cui un dispositivo interagisce con la rete rivela molto sulla sua identità, capacità e potenziali rischi. Invece di installare un agente software, il rilevamento passivo del sistema operativo comporta l’analisi dei modelli di traffico di rete e dei comportamenti generati dai dispositivi per determinarne il sistema operativo.
Questo metodo si basa su tecniche consolidate e database di impronte digitali che memorizzano modelli di traffico e comportamenti specifici di vari sistemi operativi. Ad esempio, le opzioni specifiche impostate nelle intestazioni TCP o nelle richieste DHCP (Dynamic Host Configuration Protocol) possono variare a seconda dei sistemi operativi. L'impronta digitale del sistema operativo consiste, in sostanza, nel confrontare i modelli e gli attributi del traffico di rete di un dispositivo con i profili del sistema operativo noti e classificare il traffico di conseguenza.
È possibile utilizzare diversi protocolli di rete per il rilevamento delle impronte digitali del sistema operativo:
Nonostante i suoi limiti, l'analisi dei comportamenti e degli attributi per diversi protocolli nei livelli di rete può aiutare a identificare con precisione il dispositivo. Gli amministratori possono utilizzare l'impronta digitale del sistema operativo per prendere decisioni informate in merito al controllo degli accessi e alle policy di sicurezza.
L’impronta digitale del sistema operativo può essere utile per l’identificazione passiva dei dispositivi, data la rapida espansione delle reti IoT e le vulnerabilità che introducono. Tuttavia, il rilevamento manuale delle impronte digitali del sistema operativo è un compito arduo che richiede conoscenze e competenze approfondite nel settore.
La sfida principale è la scalabilità. È impossibile mappare manualmente gli identificatori univoci su migliaia di flussi di traffico attraverso le reti aziendali. Per superare questa sfida, le organizzazioni possono sfruttare le risorse e la portata di una rete convergente e di uno stack di sicurezza basato sul cloud. Uno stack di sicurezza nativo del cloud, come SASE (Secure Access Service Edge) o SSE (Secure Service Edge), può accedere alle risorse richieste e abilitare algoritmi di apprendimento automatico e analisi statistiche per estrarre modelli e comportamenti da grandi volumi di dati sul traffico di rete.
La convergenza delle funzioni di rete e sicurezza può consentire la raccolta e la correlazione automatizzate dei dati di rete e sicurezza da più fonti, come sistemi di rilevamento delle intrusioni, registri firewall e soluzioni di sicurezza endpoint, per fornire una panoramica dell'attività di rete e della sua relazione con i sistemi operativi e i dispositivi IoT .