IoT-cyberbeveiliging:5 manieren om uw applicatie te beveiligen

In oktober 2016 stond het internet der dingen centraal bij een van de grootste gedistribueerde denial of service (DDoS)-aanvallen. Een botnet genaamd Mirai hackte IoT-apparaten en gebruikte die apparaten vervolgens om een ​​ongekend aantal verkeersverzoeken naar Dyn, een grote DNS-provider, te sturen. Deze toename van het verkeer zorgde ervoor dat Dyn offline ging en vervolgens een aantal van zijn opmerkelijke klanten ook offline haalde, waaronder Amazon, Twitter en PayPal.

Hoewel er de afgelopen jaren talloze spraakmakende IoT-gerelateerde cyberaanvallen zijn geweest, toont de Dyn-aanval het belang van IoT-cyberbeveiliging aan. Om uw eigen applicatie te beschermen tegen IoT-inbreuken zijn er vijf dingen die u kunt doen:

1. Voorzie uw IoT-apparaten niet van standaardgebruikersnamen en wachtwoorden.

Een grote meerderheid van IoT-cyberdreigingen kan worden vermeden door deze ene simpele regel te volgen. Dit is waarom:veel veelgebruikte IoT-apparaten (zoals veel slimme thermostaten en beveiligingscamera's) zijn gebaseerd op Linux en veel worden geleverd met standaardgebruikersnamen en wachtwoorden voor SSH-verbindingen. (We zullen het gevaar van SSH hieronder bespreken.) Als uw klant een van deze apparaten op zijn netwerk plaatst, wordt het een zeer gemakkelijk doelwit. De Mirai-aanval zocht specifiek naar apparaten met deze eigenschap. Tools zoals Shodan en Nmap maken het hackers gemakkelijk om een ​​script te schrijven dat deze apparaten vindt en het standaardwachtwoord test, wat de weg vrijmaakt voor een grootschalige aanval met behulp van botnets.

Wilt u weten hoe grootschalige productieactiviteiten materialen in hun fabrieken volgen en bewaken?

Om dit te voorkomen, raden we ten zeerste aan om andere oplossingen te overwegen om uw applicaties te beheren, zonder standaard wachtwoorden. Zelfs hashen, waarbij klanten hun unieke productserienummers in een browser invoeren om hun wachtwoord te krijgen, is veiliger dan het verzenden van gestandaardiseerde gebruikersnamen en wachtwoorden.

2. Gebruik indien mogelijk geen SSH-verbinding (Secure Socket Shell).

Zoals gezegd draaien veel IoT-applicaties Linux, en de meeste Linux-systemen schakelen standaard SSH in. Dat betekent dat het apparaat "luistert" naar poort 22 voor iedereen die er via SSH verbinding mee wil maken. Als uw aanvraag niet vereist dat je SSH gebruikt, zorg er dan voor dat het is uitgeschakeld, want het is een grote kwetsbaarheid in de cyberbeveiliging van het IoT.

3. Beperk indien mogelijk de blootstelling van uw applicatie aan IP-gebaseerde netwerken.

De kans is groot dat als iemand uw IoT-apparaat probeert te hacken, ze dit zullen doen met behulp van een online, op scripts gebaseerde aanval. Het is veel zeldzamer dat een apparaat fysiek wordt gehackt door een slechte acteur in dezelfde kamer. Beperk indien mogelijk de blootstelling van uw applicatie aan IP-netwerken.

Uw connectiviteitsprovider kan u mogelijk helpen. Symphony Link heeft bijvoorbeeld geen IP-gebaseerde communicatie van het eindknooppunt naar de gateway, dus er is geen netwerkgebaseerde kwetsbaarheid die die link kan aanvallen. Zelfs als een hacker toegang zou kunnen krijgen tot bijvoorbeeld een op Symphony Link aangesloten slimme watermeter, zou de hacker niets kunnen doen om de verbinding met het upstream IP-netwerk te exploiteren.

4. Maak een VPN-tunnel in uw backend-netwerk.

Stel uw apparaten in staat om een ​​VPN-tunnel (Virtual Private Network) te maken voor veilige communicatie. De beste manier om dit met mobiel IoT te doen, is door met uw provider te onderhandelen om uw apparaten toe te voegen aan hun privénetwerk, met een VPN-tunnel rechtstreeks naar uw backend. Het resultaat:er is geen enkele manier voor verkeer van of naar uw apparaten om op internet te komen. Dit wordt virtual air-gapping genoemd. Dit is een service die we onze LTE-M-klanten hier bij Link Labs bieden.

5. Bepaalde IP's en domeinnamen op de witte lijst zetten.

Overweeg om alleen een selecte lijst met IP-adressen of domeinnamen toe te staan ​​om verkeer naar uw apparaten te sturen als een vorm van firewallbescherming. Dit kan frauduleuze verbindingen helpen voorkomen. Houd er rekening mee dat als uw apparaat is gehackt, kan het voor de hacker mogelijk zijn om de IP- en domeinblokkeringen die je hebt te verwijderen, maar dit is nog steeds een goede voorzorgsstap.

Ten slotte, als u een groot bedrijf bent dat een verbonden applicatie ontwikkelt, raden we u bij Link Labs ten zeerste aan om een ​​gevestigd beveiligingsadviesbureau te onderzoeken dat uw cyberbeveiligingspraktijken kan analyseren en ervoor kan zorgen dat uw applicatie goed werkt. Wacht niet om het onderwerp te zijn van een Dark Reading-artikel over hoe eenvoudig het is om uw apparaat te exploiteren. Besteed het geld nu om uw aanvraag te beveiligen. Als u vragen op dit gebied heeft, helpen we u graag verder. Stuur ons een bericht en we nemen zo snel mogelijk contact met u op.