L’elaborazione dei dati ai margini della rete, che si tratti di dispositivi IoT, apparecchiature industriali o data center vicini, può ridurre la latenza delle applicazioni e consentire funzionalità ed esperienze utente più ricche e basate sull’intelligenza artificiale. Ma l’edge computing introduce nuove sfide alla sicurezza che, sostengono gli analisti, richiedono nuovi approcci alla protezione di dispositivi e reti.
L’edge computing, inclusa la digitalizzazione dei macchinari industriali, sta sfidando i modelli di sicurezza tradizionali. (Foto di FG Trade/iStock)
La centralizzazione dell’informatica – nelle reti locali, nei data center aziendali e, più recentemente, nei cloud iperscalabili – è stata positiva per la sicurezza. Ha consentito alle organizzazioni di “nascondere” i propri dati dietro livelli di difesa della sicurezza, sia virtuali che fisici.
Ora, tuttavia, l’informatica viene nuovamente ridistribuita lontano da questo core sicuro. Un fattore trainante è il picco del lavoro a distanza, il che significa che i dipendenti si connettono alle reti aziendali tramite Internet. Un altro è la crescente necessità che l’elaborazione dei dati si trovi vicino a utenti o dispositivi ai margini della rete, per ridurre la latenza e accelerare l’analisi. Ciò significa che i dati vengono sempre più elaborati e archiviati su dispositivi IoT, su apparecchiature industriali in località remote o in data center locali vicini all’utente.
I modelli convenzionali di sicurezza informatica non sono adatti a questa ridistribuzione. Man mano che l’informatica si sposta verso l’edge, questi modelli rischiano di esporre le risorse di dati aziendali, frenare la trasformazione digitale o entrambe le cose.
“Le architetture di sicurezza della rete che pongono il data center aziendale al centro dei requisiti di connettività sono un inibitore dei requisiti di accesso dinamico del business digitale”, ha scritto la società di analisi Gartner in un rapporto lo scorso anno. “Il business digitale e l’edge computing hanno invertito i requisiti di accesso, con più utenti, dispositivi, applicazioni, servizi e dati situati all’esterno di un’azienda che all’interno. “
Le architetture di sicurezza di rete che pongono il data center aziendale al centro dei requisiti di connettività ostacolano i requisiti di accesso dinamico del business digitale.
Gartner
Le organizzazioni che intraprendono casi d’uso di edge computing, sia che ciò significhi distribuire migliaia di sensori IoT sul campo o potenziare la potenza di elaborazione dei dati dei loro macchinari industriali, dovranno adattare i controlli e le pratiche di sicurezza per adattarli al nuovo paradigma.
Fortunatamente, gli utenti edge sembrano esserne consapevoli: un sondaggio condotto su oltre 1.500 aziende dalla divisione cybersecurity del colosso delle telecomunicazioni statunitense AT&T ha rilevato che le aziende che perseguono casi d’uso edge in genere si aspettano di spendere tra l’11% e il 20% del loro investimento in sicurezza.
Contenuti dai nostri partner
Le sfide alla sicurezza dell’edge computing e i controlli necessari per affrontarle possono essere semplificate in due categorie sovrapposte: quelle che si applicano ai dispositivi e quelle che riguardano le reti.
Protezione dei dispositivi di edge computing
Un modo in cui l’edge computing aumenta il rischio di sicurezza informatica è una semplice questione di geografia: più dispositivi in luoghi più dispersi significano un rischio maggiore di interferenze fisiche o altri danni. “Le minacce fisiche potrebbero includere la manomissione dei dispositivi per introdurre malware attraverso l’accesso fisico o azioni non intenzionali che danneggiano il dispositivo e i dati”, ha spiegato il fornitore di servizi IT Atos in una recente panoramica dell’edge computing.
Le misure per controllare i rischi per la sicurezza fisica dei dispositivi edge includono una maggiore sicurezza per i locali aziendali, consiglia Atos, e il monitoraggio ambientale per rilevare movimenti o condizioni avverse.
La proliferazione di dispositivi perimetrali in grado di archiviare ed elaborare dati aumenta anche i rischi per la sicurezza virtuale. L’accesso remoto a questi dispositivi potrebbe consentire agli hacker di rubare dati, sabotare operazioni o accedere ai sistemi aziendali. “Se un dispositivo è compromesso, l’attaccante può usarlo per entrare nella rete”, afferma Raj Sharma, fondatore della società di consulenza CyberPulse e direttore del corso AI per la sicurezza informatica dell’Università di Oxford.
Le sfide alla sicurezza derivanti dai dispositivi di edge computing aumenteranno con il miglioramento delle loro capacità di elaborazione dei dati, aggiunge Bola Rotibi, direttore della ricerca presso la società di analisi del settore CCS Insight. “Con una maggiore capacità di elaborazione si ottengono maggiori opportunità per un attore di ottenere il controllo”.
Con una maggiore capacità di elaborazione si ottengono maggiori opportunità per un attore di ottenere il controllo.
Rotibi Ball, CCS Insight
Il controllo di questi rischi inizia quando i dispositivi vengono acquistati. I criteri di selezione dei dispositivi dovrebbero includere l’adesione a standard e pratiche di sicurezza, ha scritto Daniel Paillet, architetto responsabile della sicurezza informatica presso la divisione di gestione dell’energia di Schneider Electric, in un recente white paper sulla sicurezza edge. Ciò può includere Security Development Lifecycle di Microsoft, che stabilisce le migliori pratiche per i fornitori di tecnologia, o IEC 62443, uno standard di sicurezza internazionale per la tecnologia operativa (OT).
Il firmware di un dispositivo edge è fondamentale per la sua sicurezza, consiglia Atos. La manomissione di questo potrebbe consentire agli hacker di utilizzare un dispositivo per trasmettere dati “falsi o danneggiati” nei sistemi aziendali. L’azienda consiglia agli acquirenti di cercare una “radice di fiducia basata sull’hardware”, che impedisce la manomissione dell’identità di un dispositivo, nonché la crittografia a livello di dispositivo.
Ovviamente anche i dispositivi devono essere configurati correttamente. Ciò include lo svolgimento di una valutazione della vulnerabilità, la disabilitazione di qualsiasi funzionalità non operativa e l’applicazione di patch a tutti i sistemi prima della distribuzione, scrive Paillet.
Una volta in funzione, i dispositivi devono essere patchati, testati, valutati per nuove vulnerabilità e mantenute altre best practice di sicurezza informatica. Il monitoraggio degli endpoint o dei dispositivi, l’autenticazione dei dispositivi tramite certificati e l’autenticazione a più fattori sono le misure di sicurezza che la maggior parte degli intervistati al sondaggio di AT&T prevede di applicare alla maggior parte delle categorie di dispositivi edge.
Quando si tratta di OT edge-connected, tuttavia, Paillet suona una parola di avvertimento. “Il paradigma IT dà priorità alla riservatezza, all’integrità e alla disponibilità”, scrive. “In OT, il paradigma principale è l’affidabilità e la sicurezza”.
Gli ingegneri OT possono quindi diffidare delle pratiche di sicurezza IT standard come l’applicazione di patch regolari, la valutazione della vulnerabilità o i test di penetrazione. “Se viene applicata una patch convalidata in modo improprio, l’instabilità potrebbe influire sulle funzioni OT critiche in cui gli operatori potrebbero perdere la connettività a questi dispositivi o, peggio, le informazioni che entrano nella sala di controllo potrebbero non essere affidabili”, scrive Paillet. Le misure di sicurezza a livello di dispositivo devono quindi essere pianificate attentamente insieme ai team OT.
Protezione delle reti edge: il caso di SASE
Anche la trasmissione di dati tra i dispositivi perimetrali e il cloud, e tra di loro, pone rischi per la sicurezza. Le topologie di edge computing possono combinare più standard di rete, inclusi protocolli di rete specifici per IoT come NB-IoT e Sigfox, spiega Atos, nonché tecnologie più convenzionali come WiFi o 4G. La capacità di calcolo limitata di alcuni dispositivi perimetrali si aggiunge alle sfide legate alla protezione di tali reti.
Scrivendo nel contesto di apparecchiature industriali edge-connected, che probabilmente si trovano all’interno dei locali di un’organizzazione, Paillet identifica il rilevamento delle intrusioni, la segmentazione della rete e la progettazione della rete di difesa in profondità (DDN), che stabilisce le zone all’interno di una rete che vengono gestite con diversi gradi di fiducia, come misure cruciali per proteggere le reti perimetrali.
Il rilevamento delle intrusioni è la misura di sicurezza che gli intervistati al sondaggio di AT&T si aspettano più comunemente di adottare nei vari tipi di rete perimetrale. È anche considerato il controllo di sicurezza dell’edge computing con il secondo miglior rapporto costi/benefici, dietro i firewall ai margini della rete.
Per fortuna, data la crescente complessità delle reti perimetrali, la sicurezza della rete è sempre più potenziata da strumenti basati sull’intelligenza artificiale come i sistemi di analisi del comportamento di utenti ed entità. “Si tratta di strumenti che aumentano o integrano ciò che sta facendo il professionista della sicurezza, creando un rilevamento più rapido delle anomalie, lasciando che il professionista si concentri su altri lavori di livello superiore”, spiega Tawnya Lancaster, responsabile della ricerca sui trend di sicurezza presso AT&T Cybersecurity.
Tuttavia, poiché i dispositivi di elaborazione dati di un’organizzazione si estendono sempre più oltre la rete aziendale, alcuni sostengono che sia necessario un approccio completamente diverso alla sicurezza della rete.
“Le architetture classiche in genere beneficiano di approcci di ‘difesa in profondità’, in cui i controlli di sicurezza a più livelli proteggono i dati nascosti nel back-end”, ha scritto Atos nel suo rapporto lo scorso anno. “Tali architetture possono resistere alla sconfitta di alcuni controlli o alla presenza di sistemi non corrispondenti o configurati in modo errato … perché altri livelli forniscono garanzie”.
Nell’edge computing, al contrario, i dati e l’elaborazione sono esposti al mondo esterno. Ciò richiede “controlli di sicurezza più dinamici in grado di adattarsi ad ambienti eterogenei senza monitoraggio e amministrazione centralizzati”.
Per Gartner, la soluzione è “Secure Access Service Edge” o SASE. La società di analisi ha coniato il termine per descrivere la fusione di servizi di rete software-defined forniti dal cloud, come SD-WAN, con funzioni di sicurezza di rete basate su cloud, tra cui firewall as-a-service e gateway Web sicuro nel cloud.
Questa convergenza, afferma Gartner, aiuterà le organizzazioni a proteggere le architetture di elaborazione sempre più distribuite. SASE trasformerà il “perimetro legacy” in “un insieme di funzionalità convergenti basate su cloud create quando e dove un’azienda ne ha bisogno”.
L’edge computing è uno dei tanti driver di SASE, afferma Gartner. “Una piattaforma di edge computing IoT è solo un’altra identità di endpoint da supportare con SASE”, spiega. “La differenza fondamentale consisterà nel presupposto che la posizione dell’edge computing avrà una connettività intermittente e il rischio di attacchi fisici al sistema. Pertanto, l’architettura SASE dovrebbe supportare il processo decisionale offline… con la protezione locale dei dati e dei segreti”.
Gli strumenti alla base di SASE sono ancora in fase di sviluppo e le loro capacità per l’edge computing sono immature, ha avvertito Gartner l’anno scorso. “Pochi fornitori soddisfano le esigenze dell’IoT oggi e i casi d’uso dell’edge computing e delle applicazioni composite distribuite sono embrionali”, ha scritto. Tuttavia, ha identificato “estendere[ing] Strategia SASE per includere casi d’uso di edge computing” come priorità media per le organizzazioni aziendali nei prossimi 18-36 mesi.
Qualunque approccio adottino, le organizzazioni devono considerare la sicurezza fin dall’inizio delle loro iniziative di edge computing, ha avvertito AT&T nel suo rapporto di indagine. “Le aziende che innovano ai margini non possono essere reazionarie”, ha concluso. “La posta in gioco è troppo alta”.