La potenza del fingering passivo del sistema operativo per un'identificazione accurata dei dispositivi IoT
Si prevede che il numero di dispositivi IoT nelle reti aziendali e su Internet raggiungerà i 29 miliardi entro il 2030. Questa crescita esponenziale ha inavvertitamente aumentato la superficie di attacco. Ogni dispositivo interconnesso può potenzialmente creare nuove strade per attacchi informatici e violazioni della sicurezza. La botnet Mirai ha dimostrato proprio questo, utilizzando migliaia di dispositivi IoT vulnerabili per lanciare massicci attacchi DDoS su infrastrutture Internet critiche e siti Web popolari.
Per tutelarsi efficacemente dai rischi della diffusione dell’IoT, il monitoraggio continuo e il controllo assoluto sono cruciali. Tuttavia, ciò richiede un’identificazione accurata di tutti i dispositivi IoT e i sistemi operativi (OS) all’interno della rete aziendale. Senza questa conoscenza, i team IT e di sicurezza non hanno la visibilità e la comprensione necessarie per implementare in modo efficace controlli di sicurezza mirati, monitorare l’attività di rete, identificare anomalie e mitigare potenziali minacce.
In genere, gli amministratori possono identificare dispositivi e sistemi operativi tramite ID dispositivo univoci assegnati da agenti software eseguiti sugli endpoint di rete e raccogliere informazioni per l'identificazione del dispositivo. Tuttavia, potrebbe non essere possibile o fattibile installare tali agenti su tutti i sistemi operativi, in particolare quelli utilizzati nei sistemi embedded e nei dispositivi IoT. Questo perché i dispositivi IoT sono progettati per eseguire funzioni specifiche e spesso dispongono di risorse limitate: potenza di elaborazione, memoria e spazio di archiviazione. Spesso non hanno la capacità di supportare eventuali agenti software aggiuntivi.
Per questi motivi, abbiamo bisogno di un approccio passivo all’identificazione che non implichi installazioni di software e funzioni altrettanto bene con sistemi personalizzati e ridotti al minimo per soddisfare i requisiti specifici dei dispositivi IoT. Uno di questi metodi è il rilevamento delle impronte digitali basato sulla rete e il rilevamento delle impronte digitali passivo del sistema operativo.
In pratica, il fingering passivo del sistema operativo è come cercare di profilare le persone senza alcuna interazione diretta, semplicemente dal loro aspetto e dai loro comportamenti. Allo stesso modo, il modo in cui un dispositivo interagisce con la rete rivela molto sulla sua identità, capacità e potenziali rischi. Invece di installare un agente software, il rilevamento passivo del sistema operativo comporta l’analisi dei modelli di traffico di rete e dei comportamenti generati dai dispositivi per determinarne il sistema operativo.
Questo metodo si basa su tecniche consolidate e database di impronte digitali che memorizzano modelli di traffico e comportamenti specifici di vari sistemi operativi. Ad esempio, le opzioni specifiche impostate nelle intestazioni TCP o nelle richieste DHCP (Dynamic Host Configuration Protocol) possono variare a seconda dei sistemi operativi. L'impronta digitale del sistema operativo consiste, in sostanza, nel confrontare i modelli e gli attributi del traffico di rete di un dispositivo con i profili del sistema operativo noti e classificare il traffico di conseguenza.
È possibile utilizzare diversi protocolli di rete per il rilevamento delle impronte digitali del sistema operativo:
Nonostante i suoi limiti, l'analisi dei comportamenti e degli attributi per diversi protocolli nei livelli di rete può aiutare a identificare con precisione il dispositivo. Gli amministratori possono utilizzare l'impronta digitale del sistema operativo per prendere decisioni informate in merito al controllo degli accessi e alle policy di sicurezza.
L’impronta digitale del sistema operativo può essere utile per l’identificazione passiva dei dispositivi, data la rapida espansione delle reti IoT e le vulnerabilità che introducono. Tuttavia, il rilevamento manuale delle impronte digitali del sistema operativo è un compito arduo che richiede conoscenze e competenze approfondite nel settore.
La sfida principale è la scalabilità. È impossibile mappare manualmente gli identificatori univoci su migliaia di flussi di traffico attraverso le reti aziendali. Per superare questa sfida, le organizzazioni possono sfruttare le risorse e la portata di una rete convergente e di uno stack di sicurezza basato sul cloud. Uno stack di sicurezza nativo del cloud, come SASE (Secure Access Service Edge) o SSE (Secure Service Edge), può accedere alle risorse richieste e abilitare algoritmi di apprendimento automatico e analisi statistiche per estrarre modelli e comportamenti da grandi volumi di dati sul traffico di rete.
La convergenza delle funzioni di rete e sicurezza può consentire la raccolta e la correlazione automatizzate dei dati di rete e sicurezza da più fonti, come sistemi di rilevamento delle intrusioni, registri firewall e soluzioni di sicurezza endpoint, per fornire una panoramica dell'attività di rete e della sua relazione con i sistemi operativi e i dispositivi IoT .