IoT-beveiliging is slecht. Het is tijd voor een andere aanpak

Het internet der dingen wordt zo mainstream dat we nieuwe acroniemen nodig hebben om medische (IoMT) en industriële (IIoT) verbonden apparaten te onderscheiden van consumentendeurbellen, beveiligingscamera’s, weerstations, tennisrackets en luiers die al gegevens streamen. IDC schatte dat er in 2019 zo’n 200 miljard dollar werd uitgegeven aan industriële IoT-modules en sensoren, terwijl we op weg waren naar de grootse visie van Industrie 4.0.

Het idee is dat we nu bij de vierde industriële revolutie zijn (stoomkracht en elektriciteit hebben plaatsgemaakt voor computers voor de derde industriële revolutie). En een deel van deze grootse visie is dat slimme, verbonden, door machine learning aangedreven machines die zichzelf kunnen configureren, bewaken, verbeteren en diagnosticeren, onderdeel worden van alles, van de fabrieksvloer tot auto’s en steden.

Als je je terug wilt trekken van praten over de toekomst van alles naar alleen de productie en productie, dan is dat Industrie 4.0. Dan is er edge computing; Nadat we veel rekenkracht van de serverruimte naar de cloud hebben verplaatst, kunnen we nu de meest tijdgevoelige berekening naast de machines pushen en terugvallen op de cloud voor de analyse en modellering die die lokale rekenkracht zo gericht maakt.

Hoe we het ook noemen, als IoT-apparaten medicijnenpompen, productieactiviteiten, wagenparkbeheer en het elektriciteitsnet aansturen, wil je dat ze veilig zijn.

ZIEN: Sensor’d enterprise: IoT, ML en big data (ZDNet speciaal rapport) | Download het rapport als PDF (TechRepublic)

Daar helpt een firewall niet tegen. in de eerste helft van 2018 detecteerden Kaspersky IoT-honeypots 12 miljoen aanvallen gericht op IoT-apparaten vanaf 69.000 IP-adressen. In de eerste helft van 2019 waren dat tot 105 miljoen aanvallen van 276.000 unieke IP-adressen. Bent u van plan om alle kwaadaardige IP-adressen te blokkeren?

Een perimeter-firewall was niet logisch als de manier om apparaten te beschermen, aangezien modems en vervolgens smartphones werken buiten het kantoor gemeengoed maakten, net zoals ommuurde kastelen een beetje verouderd zijn. Beleid voor externe verbindingen is een poging om iedereen te dwingen over de ophaalbrug te gaan waar je hen en hun identiteitspapieren kunt bekijken. Beleid voor voorwaardelijke toegang is alsof je iemand met veel ervaring aan de poort zet: zelfs als de identiteitspapieren worden gestolen of een goede vervalsing zijn, zoeken ze naar verdacht gedrag, zoals dat ze hier onmogelijk snel zijn aangekomen of hier nog nooit eerder zijn geweest, maar vragen om meteen naar de kamer te gaan in de toren met de schat erin.

En als je eenmaal binnen de muren bent, moet je het toegangsbeleid op elk systeem afdwingen met een andere ophaalbrug naar elke kamer, omdat de firewall alleen ‘noord-zuid’-verkeer van buiten kan controleren, niet ‘oost-west’-verkeer dat stuitert rond in het netwerk.

Tempered Networks heeft een zogenaamde virtual air gap firewall, die het IP-adres vervangt door een cryptografische identiteit die is opgeslagen in beveiligde hardware. Dat is een van de vele benaderingen van IoT-beveiliging. G+D (het bedrijf dat verantwoordelijk is voor een groot deel van de simkaarten) stelt voor om e-simkaarten te gebruiken voor identiteit. Cisco Edge Intelligence belooft anomaliedetectie – het opsporen van gecompromitteerde IoT-apparaten door netwerkverkeer te analyseren. Microsoft heeft Azure IoT-services die Azure Active Directory gebruiken voor identiteits- en apparaatbeheer (inclusief het bijwerken van apparaten, iets dat tegenwoordig zelden gebeurt, met behulp van het inhoudsdistributienetwerk van Windows Update). Het heeft ook Azure Sphere, een hardwareplatform voor het bouwen van apparaten met een aangepaste Linux-distro en een veilige microcontroller-eenheid die is opgepikt door Qualcomm, NXP en andere hardwareleveranciers.

Arm – waarvan de ingebouwde processors veel worden gebruikt in IoT-apparaten – voegt een hardware-root van vertrouwen toe aan chips die worden gebruikt in IoT-apparaten, die dingen kunnen doen zoals het blokkeren van debugger-toegang zodra een apparaat is geïmplementeerd; dit soort levenscyclusbescherming is een goede manier om ontwikkelaars krachtige tools te geven voor het bouwen van systemen die hackers niet kunnen gebruiken om erin te breken.

ZIEN: IoT-beveiliging: uw slimme apparaten moeten deze drie functies hebben om veilig te zijn

Er zijn ook enkele eenvoudigere voorzorgsmaatregelen die u kunt nemen voor IoT-hardware die is ontworpen vóór deze beveiligingen: ervoor zorgen dat apparaten nooit worden geïnstalleerd met het standaardwachtwoord en sterke identiteiten gebruiken voor elk IoT-apparaat, zodat het alleen kan communiceren met systemen die het beheert of waarnaar het gegevens verzendt. IoT-apparaten worden soms aangevallen als een manier om uw netwerk binnen te komen, waardoor bevoorrechte beheerdersaccounts worden beperkt en van basisverificatie en wachtwoorden naar MFA en biometrie of hardwaretokens wordt overgeschakeld.

Bedenk dat de reden dat de S in IoT staat voor ‘security’, is dat je hem daar misschien zelf moet zetten. Of zoals Microsoft Distinguished Engineer Galen Hunt het uitdrukte toen hij ons in 2018 over Azure Sphere vertelde: “Er is net genoeg IoT geweest dat mensen zich beginnen te realiseren hoe erg het kan zijn.”

Posted By : pengeluaran sdy