Supply Chain IoT: quali i rischi
Lo svela una nuova ricerca di Palo Alto Networks.
-
- Tweet
- Pin It
- Condividi per email
-
La pandemia ha accelerato l’adozione dei dispositivi Internet of Things e durante la lenta riapertura delle aziende molti questi dispositivi contactless, come terminali dei punti vendita (POS) e telecamere per il controllo della temperatura corporea, sono stati ampiamente adottati per mantenere sicure le attività. Una nuova ricerca di Palo Alto Networks evidenzia che per l’89% dei responsabili delle decisioni IT globali il numero di dispositivi IoT sulla rete della loro organizzazione è aumentato nell’ultimo anno, con più di un terzo (35%) che ha registrato un incremento particolarmente significativo. Inoltre, IDC stima che nel 2025 saranno 41,6 miliardi i dispositivi IoT collegati.
Si tratta di una tendenza che aumenta la superficie di attacco, con dispositivi IoT e supply chain IoT che si troveranno maggiormente a rischio. La Unit 42 di Palo Alto Networks ha esaminato l’attuale ecosistema della supply chain IoT, analizzandone minacce multilivello, punti deboli e motivazioni degli attacchi. Avere una comprensione dei rischi e degli esempi del mondo reale a livello di hardware, firmware, funzionamento e vulnerabilità può aiutare a sviluppare efficacemente strategie di controllo e mitigazione del rischio che impediscono che un attacco di successo diventi realtà.
Rischi per la Supply Chain IoT
Una supply chain è la serie di collegamenti tra un vendor, un produttore o un rivenditore e i loro fornitori, che rendono possibile la produzione e l’approvvigionamento di prodotti hardware o software o di servizi operativi per i consumatori.
Spesso, quando si parla di attacchi alla supply chain IoT, la conversazione riguarda il software che verrà installato su un determinato dispositivo, come un router o una telecamera, che è stato compromesso per celare malware. Un attacco di questo tipo può riferirsi anche a una parte di hardware che è stata installata o modificata per cambiare il comportamento dei dispositivi. È anche importante considerare le vulnerabilità della supply chain, con installazioni di software di terze parti (come librerie, driver, kernel o componenti hardware) con vulnerabilità o parte di specifici componenti, come ad esempio un’applicazione o un firmware.
Un errore comune durante il ciclo di vita dello sviluppo del software e della progettazione di un dispositivo è quello di incorporare componenti software e hardware di terze parti senza elencare quali siano stati aggiunti. Di conseguenza, quando viene scoperta una nuova vulnerabilità su uno di questi componenti – come ad esempio una vulnerabilità zero-day – è difficile sapere quanti prodotti dello stesso fornitore sono interessati. Ancora peggio, può essere difficile determinare quanti dispositivi in generale, tra diversi vendor e produttori, siano colpiti dalla vulnerabilità. Spesso, il firmware installato su diversi dispositivi utilizza librerie o componenti non approvati che notoriamente contengono vulnerabilità. Tuttavia, questo firmware può ancora essere utilizzato in produzione in molti dispositivi presenti sul mercato.
Dal punto di vista dell’utente in fase di acquisto, è difficile sapere quali componenti ci siano all’interno di un dispositivo IoT. Tali elementi hanno proprietà di protezione intrinseche che dipendono da altri componenti, i quali a loro volta hanno le proprie proprietà di sicurezza e se uno qualsiasi di questi componenti fosse vulnerabile, un aggressore potrebbe compromettere l’intero dispositivo. Inoltre, gli utenti che gestiscono reti con dispositivi IoT non sempre dispongono di un inventario del numero di device collegati. Di conseguenza, tenere traccia dei dispositivi potenzialmente vulnerabili presenti in una rete aziendale trasforma la sicurezza e la gestione del rischio in un compito difficile – aumentando le possibilità di un attacco informatico di successo.
È fondamentale quindi mantenere un elenco di dispositivi collegati alla rete per identificarli, e dei vendor e produttori che utilizzano un componente vulnerabile, in modo che l’amministratore possa risolverli, monitorarli o scollegarli se necessario. A volte l’intero elenco dei dispositivi vulnerabili è sconosciuto, ma avere visibilità completa di quelli collegati alla rete e ricevere una notifica quando uno di loro genera traffico anomalo è fondamentale per proteggere la propria infrastruttura. Infine, è imperativo implementare cicli di sviluppo software sicuri e considerare l’integrazione di librerie di terze parti.
Contenuti correlati
-
7 milioni di fondi per rafforzare competenze nelle aziendeIl bando ‘Competenze&Innovazione’ di Regione Lombardia ha reso concreto quanto era contenuto in una delibera approvata dalla Giunta regionale pochi mesi, fa su proposta dell’assessore all’Università, Ricerca e Innovazione Alessandro Fermi: sono stati stanziati 7 milioni di euro...
-
PNI 2024, in scena le startup innovative nate da università ed enti di ricercaInnovazione sostenibile, formazione e investimenti sono, come evidenziato dal recente Rapporto Draghi, le leve fondamentali per affrontare le sfide globali di oggi e rilanciare la competitività del sistema Italia. In questo contesto, il Premio Nazionale per l’Innovazione...
-
Le previsioni di Unit 42: Il 2025 sarà l’anno della disruptionSam Rubin di Unit 42 di Palo Alto Networks analizza e condivide le tendenze di cybersecurity del 2025: “Anno delle interruzioni delle attività”, è questo il termine che contraddistinguerà il 2025, che si presenta come un periodo...
-
Scopri tutto il potenziale di pylon vTools di BaslerIn campo della visione artificiale, pylon vTools di Basler offre funzioni avanzate di elaborazione e analisi delle immagini, basate su algoritmi classici e di intelligenza artificiale. Grazie a un’interfaccia intuitiva, è possibile creare pipeline robuste per applicazioni...
-
Innovazione e sostenibilità su strada e in pista con Dallara e PTCCreo, la soluzione CAD 3D di PTC, è l’elemento cardine attorno al quale ruotano le attività di progettazione di Dallara, marchio iconico dell’industria automobilistica sportiva ed eccellenza mondiale che, con le sue vetture, è fornitore dei campionati...
-
Procurement dei materiali indiretti: risultati della Ricerca MRO 2024 di RS ItaliaRS Italia ha pubblicato la terza edizione dell’annuale Ricerca MRO 2024, sul procurement dei materiali indiretti comunemente detti MRO (Maintenance, Repair, Operations), realizzata in collaborazione con Adaci (Associazione italiana acquisti e supply management) e UER-Università Europea di...
-
Il 20% dei produttori utilizza la sicurezza di rete come prima linea di difesa contro gli attacchi informaticiSecondo un recente sondaggio condotto dalla società di ricerche ABI Research sullo stato della tecnologia nel settore manifatturiero, i produttori hanno individuato la sicurezza OT della rete come principale ambito di investimento per quanto concerne la sicurezza...
-
Black-out digitale: le fabbriche italiane nel mirino dei criminali informatici?Consideriamo uno scenario plausibile: un attacco ransomware compromette i sistemi OT di un’azienda manifatturiera, crittografando i sistemi di controllo di robot e macchine utensili. L’impatto? Linee di produzione bloccate, interruzione delle attività e richieste di riscatto milionarie....
-
Come quantificare il legame fra le particelle?Il Premio Nobel della Fisica 2022 ha premiato una serie di spettacolari esperimenti che hanno confermato l’esistenza dell’Entanglement, un fenomeno che trova spiegazione nella meccanica quantistica. L’Entanglement, correlazione quantistica, rappresenta la quantità di informazione aggiuntiva che possono...
-
Università, impresa e ricerca fanno rete con il Digital Transformation and Technology Transfer Hub di UnipaUn ecosistema aperto per promuovere e stimolare i processi innovativi di trasformazione delle imprese e, contemporaneamente, offrire opportunità di crescita e di successo ai tanti talenti e alle diverse professionalità che si formano all’interno dell’Ateneo in uno...
Scopri le novità scelte per te
-
7 milioni di fondi per rafforzare competenze nelle aziende
Il bando ‘Competenze&Innovazione’ di Regione Lombardia ha reso concreto quanto era contenuto in una delibera approvata dalla...
-
PNI 2024, in scena le startup innovative nate da università ed enti di ricerca
Innovazione sostenibile, formazione e investimenti sono, come evidenziato dal recente Rapporto Draghi, le leve fondamentali per affrontare...
Notizie Tutti ▶
-
Clusit, Anna Vaccarelli eletta presidenteÈ Anna Vaccarelli la nuova presidente di Clusit, Associazione Italiana per la Sicurezza Informatica. I...
-
Inclusione e parità: il percorso di RS Italia verso un futuro più equoPer RS Italia, il 2024 è stato un anno molto importante per rafforzare la...
-
AI generativa per le presse Mecolpress per lo stampaggio a caldoMecolpress, punto di riferimento nel settore della produzione di presse per lo stampaggio a...
Prodotti Tutti ▶
-
Gestione dell’energia nell’armadio di comando con EcoStruxure Panel Server di Schneider ElectricSchneider Electric presenta il suo gateway IoT della prossima generazione: “L’unità Panel Server PAS...
-
Protezione contro le sovratensioni per router in fibra otticaA fronte di un’inarrestabile espansione delle reti in fibra ottica, per le connessioni Internet...
-
Con un ‘clic’ per un cablaggio più sicuroVeloce come schioccare le dita: la nuova tecnologia di connessione Snap IN di Weidmüller...
