De uitdaging van IoT-beveiliging voor thuiswerkers aangaan

Naarmate de scheidslijn tussen werk- en thuisomgevingen steeds verder vervaagt, neemt ook de scheiding tussen zakelijke en persoonlijke verbonden apparaten toe. Dit legt nieuwe uitdagingen op het gebied van cyberbeveiliging bloot die een gecoördineerde reactie van iedereen vereisen, inclusief thuiswerkers, zegt Greg Day, VP en CSO EMEA, Palo Alto Networks .

Niet-zakelijke IoT-overstromingen op zakelijke netwerken

Een groei in thuis- en hybride werken leidt ertoe dat consumentenverbonden apparaten in grotere aantallen op bedrijfsnetwerken terechtkomen. We volgen deze trend nu al twee jaar als onderdeel van een IoT-beveiligingsonderzoek in 18 landen in EMEA, APAC en Amerika.

In de studie van 2021 meldde 78% van de IT-besluitvormers wereldwijd (onder degenen wiens organisatie IoT-apparaten heeft aangesloten op haar netwerk) het afgelopen jaar een toename van niet-zakelijke IoT-apparaten die verbinding maken met bedrijfsnetwerken door externe werknemers. In sommige markten, zoals de VS, zijn de rapporten zelfs nog hoger:84% zegt dat er een stijging was.

Als je onderzoekt wat voor soort niet-zakelijk verbonden zaken je tegenkomt, valt de variëteit behoorlijk op. Wereldwijd zijn de meest voorkomende niet-zakelijke verbonden apparaten die worden gerapporteerd draagbare medische monitoren, gevolgd door slimme gloeilampen, aangesloten fitnessapparatuur, koffiemachines, gameconsoles en zelfs huisdiervoeders behoren tot de lijst met de vreemdste apparaten die worden gespot. Een deel van de reden hiervoor is dat de toename van thuiswerken (WFH)-gewoonten samenvalt met een hausse in smart home-kits, evenals een reeks wearables voor fitness en gezondheid.

Cyberbeveiligingsfouten en bedreigingen

Hoewel een appèl van ongebruikelijke IoT-apparaten leuk kan zijn om te lezen, vormen ze een groeiende beveiligingsuitdaging voor cyberbeveiligingsteams. Aanvallers hebben slechts één medewerker nodig om over één kwetsbaar apparaat te beschikken dat kan worden misbruikt. Veel IoT-apparaten voor consumenten worden geleverd met slechte of helaas geen beveiligingsfuncties. Inderdaad, hoeveel kun je een beveiligingsniveau op bedrijfsniveau verwachten in een slim apparaat dat minder dan $ 100 (€ 88,59) kost. Evenzo hebben goede coderingspraktijken die worden omarmd door volwassen softwarebedrijven doorgaans een lagere prioriteit en kunnen bugfixes traag zijn.

Experts op het gebied van dreigingsinformatie, zoals ons eigen Unit 42-team, rapporteren aanvallen gericht op kwetsbaarheden in de thuiskantoorkit. Dit omvatte een Mirai-variant die beveiligingsfouten aanviel op een reeks IoT-apparaten voor thuisgebruik in februari 2021. De grootste zorg is hoe een gecompromitteerd niet-zakelijk verbonden apparaat wordt gebruikt om een ​​serieuzere ransomware-aanval uit te voeren. Deze zomer onthulde Unit 42 bewijs over hoe ransomware-bendes leken te investeren in tools die de eCh0raix ransomware-variant gebruikten om thuiswerkers met NAS-apparaten aan te vallen. De motivatie van deze aanvallen kan zijn om een ​​geëxploiteerd thuisapparaat te gebruiken als opstapje in supply chain-aanvallen op grote ondernemingen die enorme losgelden kunnen genereren.

Bijgevolg kunnen IoT-apparaten voor consumenten een groot probleem vormen voor bedrijven; dit is iets dat de respondenten in ons onderzoek erkenden. Wereldwijd meldden de meeste IT-besluitvormers (81%) van wie de organisatie IoT-apparaten heeft aangesloten op haar netwerk, dat werken op afstand tijdens de COVID-19-pandemie resulteerde in een verhoogd risico van onbeveiligde IoT-apparaten op het bedrijfsnetwerk van hun organisatie. Voor meer dan zeven op de tien (78%) had dit verhoogde risico zich vertaald in een toename van het aantal IoT-beveiligingsincidenten.

Noch thuiswerken, noch de opkomst van IoT-apparaten zal verdwijnen, dus er wordt meer druk uitgeoefend om IoT-cyberbeveiliging te herzien. Bijna alle respondenten (96% in 2021 en 95% in 2020) van onze wereldwijde IoT-enquête gaven aan dat hun organisatie verbetering nodig heeft in hun benadering van IoT-beveiliging. In 2021 stelde 25% voor dat een volledige revisie het beste zou zijn.

Hoe WFH-medewerkers kunnen helpen

Er moet een drieledige aanpak zijn met versterkte IoT-cyberbeveiliging die thuis begint.

Organisaties moeten hun WFH-medewerkers zowel opleiden als mandaat geven om de lat voor cyberveiligheidshygiëne thuis hoger te leggen, te beginnen met hun router. Sommige basisopdrachten moeten het wijzigen van de standaardbeveiligingsinstellingen omvatten en vervolgens het thuisnetwerk versleutelen door eenvoudigweg de routerinstellingen bij te werken naar WPA3 Personal of WPA2 Personal. WFH-medewerkers moeten ook worden belast om een ​​audit uit te voeren van wat er is aangesloten en om apparaten die niet regelmatig worden gebruikt uit te schakelen.

Er moet nog een stap worden gezet. WFH-medewerkers moeten ook gebruikmaken van de microsegmentatiefunctie die gewoonlijk in de firmware van de meeste wifi-routers wordt aangetroffen. Hierdoor kunnen gebruikers aparte netwerken houden, één voor gasten en IoT-apparaten en één voor zakelijke doeleinden.

Netwerksegmentatie is de sleutel tot een goede algemene cyberhygiëne in de onderneming en thuis. Volgens het IoT-onderzoek gaf 51% van de IT-beslissers (die IoT-apparaten hebben aangesloten op het netwerk van hun organisatie) aan dat IoT-apparaten zijn gesegmenteerd op een apart netwerk. Ze staan ​​los van degene die ze gebruiken voor primaire zakelijke apparaten en zakelijke toepassingen (bijv. HR-systeem, e-mailserver, financieel systeem). Het is echter zorgwekkend dat een relatief groot aantal IT-besluitvormers wereldwijd (een op de vijf) toegeeft dat IoT-apparaten niet zijn gesegmenteerd op een ander netwerk dan het netwerk dat ze gebruiken voor primaire apparaten en belangrijke zakelijke toepassingen. In sommige markten, zoals het VK, zijn de resultaten zelfs nog slechter, waarbij een op de drie toegeeft helemaal geen segmentering te hebben.

Ten slotte moeten organisaties afstappen van het hub-and-spoke-verbindingsmodel, waar alles door één beveiligingsleiding gaat en waar thuiswerkers via VPN weer verbinding maken met het bedrijf. In het diverse, verbonden ecosysteem van vandaag werkt one size security gewoon niet. Maar al te vaak zoeken gebruikers naar de UIT-schakelaar op hun VPN om kernservices zoals vergaderen mogelijk te maken. In het werk altijd en overal met alles ter wereld, moet edge-cyberbeveiliging zich aanpassen om contextueel bewust te zijn, om passende beveiliging mogelijk te maken die transparant is voor de gebruiker en de ervaring optimaliseert, zodat ze niet de behoefte voelen om het vervolgens UIT te schakelen.

Nul vertrouwen toepassen

Het andere onderdeel van versterkte IoT-cyberbeveiliging ligt in de onderneming zelf en hoe frauduleuze IoT-apparaten worden gecontroleerd en voorkomen dat ze verbinding maken met het netwerk.

Organisaties moeten een toegangsbeleid met minimale bevoegdheden gebruiken om te voorkomen dat ongeautoriseerde apparaten verbinding maken met hun netwerken. Ze mogen alleen goedgekeurde apparaten en gebruikers toegang geven tot wat nodig is. Gebruikmaken van Zero Trust is de beste manier om ervoor te zorgen dat deze apparaten geen gegevensblootstelling veroorzaken of de bedrijfscontinuïteit negatief beïnvloeden.

Specifiek voor IoT-beveiliging hebben organisaties een realtime monitoringoplossing nodig die continu het gedrag van op het netwerk aangesloten IoT-apparaten analyseert. Dit probeert de onbekenden te kennen, het exacte aantal apparaten te ontdekken dat op uw netwerk is aangesloten, inclusief degene die u wel en niet kent en degene die vergeten zijn. De inventaris van IoT-activa kan vervolgens gebruikmaken van bestaande investeringen in firewalls om automatisch beveiligingsbeleid aan te bevelen en af ​​te dwingen. Deze zouden zijn gebaseerd op het risiconiveau en de mate van niet-vertrouwd gedrag dat op die apparaten wordt gedetecteerd. Een puntoplossing kan een bedrijfsnetwerk uitbreiden en uniform beheer van het beveiligingsbeleid en SASE (Secure Access Service Edge) voor WFH-medewerkers brengen:zo maakt u contextuele beveiliging mogelijk.

Wacht niet op een juridische oplossing

Uiteindelijk kunnen de beveiligingsrisico's van elk IoT-apparaat worden beperkt door een golf van nieuwe regelgeving om ervoor te zorgen dat fabrikanten en distributeurs in de eerste plaats een sterkere beveiliging inbouwen. Deze wetten in de EU en in landen zoals het VK bevinden zich echter nog in een vroeg stadium en zullen waarschijnlijk pas over een aantal jaren enige echte impact hebben. De verantwoordelijkheid voor verbeterde IoT-beveiliging ligt op de schouders van werknemers en hun organisaties.

Gezien het belang van IoT-apparaten voor hoe we werken en spelen, is het tijd voor organisaties om de manier waarop ze traditioneel hebben gereageerd op cyberbeveiliging te veranderen en een cultuur van proactieve cybergezondheid te creëren die zich uitstrekt van de c-suite tot alle werknemers. Deze verschuiving maakt het mogelijk om te investeren en zich te concentreren op cyberhygiënepraktijken die cyberaanvallen helpen afwenden en de potentiële impact van een cyberincident via een onschuldig zakelijk of persoonlijk verbonden apparaat helpen verminderen.

De auteur is Greg Day, VP en CSO EMEA, Palo Alto Networks.