IoT uitpakken, een serie:de beveiligingsuitdaging en wat u eraan kunt doen

Netwerkingenieurs worden geconfronteerd met een aantal uitdagingen bij het inzetten van Internet of Things (IoT)-initiatieven. Kom de komende weken terug naar de Cisco IoT-blog, waarin we ingaan op de drie belangrijkste IoT-uitdagingen en best practices om ze te overwinnen.

Ten eerste, verreweg de grootste uitdaging in IoT:beveiliging .

IoT-beveiligingsbedreigingen verschillen aanzienlijk van beveiligingsbedreigingen in traditionele IT-omgevingen:in traditionele IT zijn beveiligingsproblemen in de eerste plaats gericht op het beschermen van gegevens. Aanvallers kunnen gegevens stelen, gegevens compromitteren en losgeld vasthouden. Onlangs zijn ze net zo geïnteresseerd in het stelen van rekenkracht voor kwaadaardige cryptomining-activiteiten.

Hoewel deze beveiligingsproblemen bestaan ​​in IoT, gaan ze ook verder en reiken ze verder dan de gegevens en tot in de fysieke wereld. Een IoT-beveiligingsincident kan op zijn minst mensen hinderen of operaties onderbreken, waardoor binnen enkele uren miljoenen dollars schade wordt veroorzaakt. In het slechtste geval kunnen deze aanvallen systemen beschadigen die een fysiek proces beheersen en zelfs levens in gevaar brengen. Bekijk de volgende voorbeelden:

• De beruchte Stuxnet-aanval in 2010 maakte gebruik van meerdere zero-day-fouten in Microsoft Windows-software. Het doel was om PLC's met Siemen's Step7-software te detecteren en te corrumperen om deze te herprogrammeren met malware om ervoor te zorgen dat de snel draaiende nucleaire centrifuges onder hun controle zichzelf letterlijk uit elkaar scheuren. Het eindresultaat van deze aanval was dat een vijfde van Irans nucleaire centrifuges werd vernietigd.
• We zagen de eerste succesvolle cyberaanval op een elektriciteitsnet in 2015 toen cyberaanvallen de controle kregen over meerdere Oekraïense elektriciteitscentrales, wat resulteerde in het verlies van elektriciteit voor meer dan 225.000 inwoners voor perioden van maximaal zes uur. Deze complexe en meerfasige aanval verwierf niet alleen de controle over SCADA-systemen, waardoor buitenlandse actoren op afstand substations konden uitschakelen, maar omvatte ook een DoS-aanval op het callcenter, zodat consumenten niet konden bellen om problemen te melden of updates te ontvangen van de status van de black-out.
• In 2017 zette een aanvaller ICS-malware in, genaamd Triton, ontworpen om industriële veiligheidssystemen te manipuleren om de operationele verstoring van kritieke infrastructuur te veroorzaken. Het specifieke doelwit van de aanvaller van de Safety Instrumented Systems (SIS) suggereert dat hij geïnteresseerd is in het veroorzaken van een krachtige aanval met fysieke gevolgen (een aanvalsdoelstelling die niet typisch wordt gezien door cybercriminaliteitsgroepen). Analyse van het incident bracht de onderzoekers ertoe te geloven dat dit het werk was van een natiestaat die zich voorbereidde op een bredere aanval.
• In 2019 dwong een ransomware-aanval op Norsk Hydro, een van 's werelds grootste aluminiumproducenten, het bedrijf over te schakelen op handmatige bewerkingen om de inbreuk in te dammen. De aanval kostte het bedrijf 52 miljoen dollar en resulteerde in een wereldwijde stijging van de prijs van aluminium.

Deze incidenten laten zien hoe cruciaal en uitdagend beveiliging kan zijn in IoT-scenario's.

Het voorkomen en indammen van IoT-beveiligingsbedreigingen

In de bovenstaande voorbeelden hadden beveiligingsinbreuken volledig voorkomen kunnen worden, of op zijn minst aanzienlijk ingeperkt, met behulp van een best practice voor netwerkbeveiliging:segmentatie. Segmentatie is een van de meest effectieve principes voor netwerkontwerp om te implementeren voor beveiliging. Het is een algemeen aanvaard netwerkaxioma, maar zo ja, waarom segmenteren organisaties hun netwerken dan niet volledig?

Het antwoord:het is ingewikkeld.

Om de kosten te verlagen, hebben organisaties hun data-, spraak- en videonetwerken geconvergeerd naar een gedeelde fysieke infrastructuur. Meer recentelijk zijn ook IoT-apparaten aan hetzelfde IP-netwerk toegevoegd. Het is echter noodzakelijk om een ​​logische scheiding tussen deze services te behouden voor beveiligings- en beheerdoeleinden. Om dit te doen, segmenteren netwerkingenieurs het netwerk meestal met behulp van VLAN's. Dit proces vereist meerdere stappen, contactpunten, beleidsregels en gebruikersinterfaces. Op een hoog niveau moeten netwerkingenieurs groepen maken in Active Directory, beleid definiëren, VLAN's/subnetten uitvoeren en het beleid implementeren.

De complexe aard van segmentatie maakt de taak niet alleen vervelend, maar vergroot ook het risico op menselijke fouten. Toegangscontrolelijsten (ACL's) op netwerkapparaten zijn bijvoorbeeld vaak tienduizenden regels lang. Ze zijn moeilijk te beheren en te begrijpen vanwege slecht gedocumenteerde redenen voor elke regel in de invoer. Als er één discrepantie is voor ACL's van het ene apparaat naar het andere, is er een potentiële kwetsbaarheid en een aanvalsvector die kan worden misbruikt.

Cisco-beveiliging naar IoT brengen

Gezien de sleutelrol die netwerksegmentatie speelt bij het beschermen van netwerkactiva, is het van cruciaal belang dat netwerkbeheerders het netwerk efficiënt en effectief kunnen segmenteren. Bij Cisco vereenvoudigen we segmentatie door op intentie gebaseerde netwerken toe te passen op het bedrijfsnetwerk. Deze specifieke uitdrukking van op intentie gebaseerd netwerken wordt Software Defined Access (SDA) genoemd.

Software Defined Access elimineert de noodzaak voor netwerkbeheerders om de taal van toegangscontrolelijsten of groepsbeleid te spreken om te identificeren welke netwerkapparaten met elkaar kunnen praten. Met een paar simpele muisklikken en slepen en neerzetten kunnen netwerkbeheerders afzonderlijke virtuele netwerken opzetten voor spraak, data, draadloze gasttoegang, BYOD, IoT en meer. Dit jaar hebben we deze mogelijkheden uitgebreid tot aan de rand van het IoT, zodat parkeerterreinen, distributiecentra, productiefaciliteiten, luchthavens, zeehavens, enz. allemaal kunnen worden beheerd vanaf dezelfde enkele ruit als de onderneming met tapijt, namelijk Cisco DNA-centrum.

Met behulp van Cisco DNA Center, een gecentraliseerd beheerdashboard, kunnen netwerkbeheerders netwerken in de hele onderneming inrichten en ervoor zorgen dat apparaten die aan één virtueel netwerk zijn toegewezen, niet kunnen praten met de apparaten op een ander virtueel netwerk. In feite kunnen de apparaten op het ene virtuele netwerk de andere virtuele netwerken niet eens zien. Het virtuele netwerk waarmee ze zijn verbonden, is wat hen betreft het enige echte netwerk dat bestaat of ooit heeft bestaan. Dat betekent dat IoT-apparaten die zijn toegewezen aan een virtueel IoT-netwerk alleen kunnen communiceren met andere apparaten die zijn toegewezen aan hetzelfde virtuele netwerk en niets (en niemand) anders. Zo'n logische scheiding wordt macrosegmentatie genoemd.

SDA biedt netwerkbeheerders echter een nog gedetailleerdere beleidsoptie.

Bij macrosegmentatie kan elk apparaat binnen een virtueel netwerk standaard communiceren met elk ander apparaat in datzelfde virtuele netwerk. Dus als videocamera's, temperatuursensoren en badgelezers allemaal zijn toegewezen aan een enkel "IoT Virtual Network", zouden deze apparaten standaard met elkaar kunnen communiceren. Dergelijke communicatie kan een beveiligingsprobleem opleveren - Als een enkel apparaat wordt gecompromitteerd, zullen aanvallers dat apparaat gebruiken om het netwerk te scannen op andere apparaten die mogelijk een verdere voet aan de grond in de organisatie kunnen bieden (kijk hoe dit wordt gedaan). Dat is waar microsegmentatie om de hoek komt kijken.

In Cisco DNA Center kunnen netwerkbeheerders eenvoudig microsegmentatiebeleid maken dat bepaalt welke apparaten met andere apparaten kunnen communiceren binnen hetzelfde virtuele netwerk . (Bekijk de demo, Cisco Extended Enterprise met DNA-C.) Beheerders kunnen het beleid ook configureren om een ​​waarschuwing te verzenden als die apparaten proberen te communiceren met niet-geautoriseerde apparaten, wat kan wijzen op een mogelijke beveiligingsaanval. In ons voorbeeld hierboven kunnen videocamera's worden geconfigureerd om alleen met andere videocamera's te praten, en als ze proberen te praten met de temperatuursensoren of badgelezers, wordt er een waarschuwing afgegeven.

De mogelijkheid om het netwerk op zowel macro- als microniveau te segmenteren met SDA is een geweldige oplossing om een ​​inbreuk op de beveiliging te voorkomen en in te dammen. Het schaalt gemakkelijk om aan de behoeften van het bedrijfsnetwerk te voldoen en nu kunnen Cisco-klanten dezelfde concepten toepassen op hun IoT-netwerken. Bovendien kunnen ze dit efficiënt en effectief doen met dezelfde beheerinterface die ze gebruiken voor het bedrijfsnetwerk. Meer weten? Bekijk onze on-demand webinar, Cisco IoT:Drive Transformation in the Public Safety, Oil and Gas, and Manufacturing Sectors. En vergeet niet terug te gaan naar de Cisco IoT-blog voor de andere belangrijkste uitdagingen waarmee zakelijke IoT wordt geconfronteerd.