Funzionalità di sicurezza IoT - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Funzionalità di sicurezza IoT

Questa sezione illustra i consigli di accesso, utilizzo e implementazione sicuri per le funzionalità di sicurezza IoT discusse nella sezione precedente.

Importante

Utilizza un framework comune come MITRE ATT&CK o ISA/IEC 62443 per condurre una valutazione del rischio di sicurezza informatica e utilizza i risultati per favorire l'adozione delle funzionalità pertinenti. La scelta dipende dalla familiarità dell'organizzazione con questi framework e dalle aspettative dei revisori normativi o di conformità.

Guida alla valutazione del rischio

Che tu stia implementando dispositivi IoT di consumo, carichi di lavoro IoT industriali o tecnologie operative, dovresti prima valutare i rischi e le minacce associati alla tua implementazione. Ad esempio, una minaccia comune per i dispositivi IoT elencata nel framework MITRE ATT&CK è Network Denial of Service (T1498). La definizione di attacco denial-of-service (DoS) contro un dispositivo IoT consiste nel non consentire le comunicazioni di stato o di comando e controllo da e verso un dispositivo IoT e i relativi controller. Nel caso di un dispositivo IoT di consumo, come una lampadina intelligente, l'impossibilità di comunicare lo stato o ricevere aggiornamenti da una postazione di controllo centrale potrebbe creare problemi ma probabilmente non avrebbe conseguenze critiche. Tuttavia, in un sistema OT e IIo T che gestisce un impianto di trattamento dell'acqua, un'utilità o una fabbrica intelligente, la perdita della capacità di ricevere comandi per aprire o chiudere le valvole a chiave potrebbe avere un impatto maggiore sulle operazioni, sulla sicurezza e sull'ambiente. Per questo motivo, considera l'impatto delle varie minacce comuni, comprendi come si applicano ai tuoi casi d'uso e determina i modi per mitigarle. I consigli chiave includono:

  • Identifica, gestisci e monitora le lacune e le vulnerabilità. Crea e gestisci un modello di up-to-date minaccia contro il quale monitorare i tuoi sistemi.

  • Mantieni un inventario delle risorse di tutte le risorse connesse e un'architettura up-to-date di rete.

  • Segmenta i tuoi sistemi in base alla loro valutazione del rischio. Alcuni sistemi IoT e IT potrebbero condividere gli stessi rischi. In questo scenario, utilizzate un modello di suddivisione in zone predefinito con controlli appropriati tra di loro.

  • Segui un approccio di microsegmentazione per isolare l'impatto di un evento.

  • Utilizza meccanismi di sicurezza appropriati per controllare il flusso di informazioni tra i segmenti di rete.

  • Comprendi i potenziali effetti dell'impatto indiretto sui canali di comunicazione. Ad esempio, se un canale di comunicazione è condiviso con un altro carico di lavoro, un evento DoS su quell'altro carico di lavoro potrebbe influire sulle comunicazioni di rete del carico di lavoro IIo T o OT.

  • Identifica e analizza regolarmente le opportunità di riduzione degli eventi di sicurezza man mano che la tua soluzione si evolve.

In ambienti OT o IIo T, prendete in considerazione la possibilità di partizionare il sistema in esame (SuC) in zone e condotti separati in conformità alla norma ISA/IEC 62443-3-2, Security Risk Assessment for System Design. L'intento è identificare le risorse che condividono caratteristiche di sicurezza comuni al fine di stabilire una serie di requisiti di sicurezza comuni che riducano il rischio di sicurezza informatica. Il partizionamento del SuC in zone e condotti può anche aiutare a ridurre il rischio complessivo limitando l'impatto di un incidente informatico. I diagrammi delle zone e dei condotti possono aiutare a valutare dettagliatamente i rischi di sicurezza informatica OT o IIo T e aiutare a identificare minacce e vulnerabilità, determinare conseguenze e rischi e fornire misure correttive o di controllo per salvaguardare gli asset dagli eventi informatici.

Consigliato Servizi AWS

Quando crei il tuo ambiente in Cloud AWS, utilizza servizi di base come Amazon Virtual Private Cloud (Amazon VPC), gruppi di sicurezza VPC e liste di controllo degli accessi alla rete ( ACLsrete) per implementare la microsegmentazione. Si consiglia di utilizzarne più Account AWS per isolare applicazioni, IIo dati e processi aziendali IoT, T e OT in tutto l'ambiente e utilizzarli AWS Organizations per una migliore gestibilità e informazioni centralizzate.

Per ulteriori informazioni, consulta il Security Pillar of AWS Well-Architected Framework e il white paper Organizing Your Environment AWS Using Multiple Accounts. AWS