IoT-beveiliging:wat we kunnen leren van recente bedreigingen

Een niet nader genoemd casino in Las Vegas werd gehackt via zijn aquarium, IoT-verbonden om de voedings- en watertemperatuur te controleren

Het Internet of Things (IoT) belooft meer flexibiliteit en functionaliteit voor ondernemingen dan ooit tevoren. Meer verbonden apparaten kunnen bedrijven helpen hun supply chain-activiteiten te stroomlijnen, de efficiëntie te verhogen en de kosten binnen bestaande processen te verlagen, de product- en servicekwaliteit te verbeteren en zelfs nieuwe producten en services voor klanten te creëren.

Met een groot aantal voordelen voor de onderneming, zegt Avinash Prasad, hoofd Managed Security Services bij Tata Communications , IoT is ingesteld om bedrijfsmodellen ten goede te verbeteren of zelfs te herzien.

Hoewel de massale generatie, verzameling en analyse van IoT-gegevens de onderneming zeker enorme kansen zal bieden, zijn potentieel gemakkelijke toegang via onveilige netwerken en andere kwetsbare toegangspunten - inclusief IoT-apparaten - cybercriminelen aan het verleiden.

Volgens Gartner , heeft bijna 20% van de organisaties de afgelopen drie jaar minstens één op IoT gebaseerde aanval waargenomen. Met naar verwachting wereldwijd maar liefst 75 miljard verbonden apparaten in 2025, zal de blootstelling aan cyberbeveiligingskwetsbaarheden en datalekken vanaf vandaag vervijfvoudigd zijn.

Dus nu we een nieuw, door IoT gedomineerd tijdperk ingaan, is het absoluut noodzakelijk om de bedreigingen die opdoemen over ondernemingen bij het inzetten van meerdere verbonden apparaten opnieuw te onderzoeken en deze op te nemen in de bedrijfsbeveiligingsstrategie. Hier zijn drie voorbeelden van IoT-kwetsbaarheden waarmee alle ondernemingen rekening moeten houden bij het plannen van cyberdefensie - deze variëren van inbreuken op ogenschijnlijk onschuldige producten tot ronduit kwaadwillende.

1. Zelfs de eenvoudigst aangesloten apparaten zijn kwetsbaar

Veel mensen die naar Vegas gaan, komen terug met veel minder geld dan waarmee ze gingen, maar het wordt meestal niet in verband gebracht met een cyberaanval, laat staan ​​een die in een aquarium is begonnen. Dat is echter precies hoe een niet nader genoemd casino in Sin City zijn eerste cyberbeveiligingsinbreuk beleefde.

De aangesloten thermometer, die wordt gebruikt voor bewaking en voeding op afstand in het aquarium van het casino, was het perfecte toegangspunt voor hackers die gegevens wilden verzamelen over de bezoekers met de hoogste uitgaven. De hackers hebben in totaal 10 GB aan persoonlijke gegevens gestolen en deze naar een externe server in Finland gestuurd.

IoT-apparaten worden steeds vaker gebruikt in diverse sectoren, en zoals blijkt uit het voorbeeld van een Vegas-vistank, kunnen zelfs de eenvoudigst verbonden apparaten potentiële gateways zijn naar andere privésegmenten van het bedrijfsnetwerk. Aangezien 80% van de gegevens in de wereld op privéservers wordt bewaard, is het nog nooit zo cruciaal geweest om hackers buiten de deur te houden.

2. De fysieke bescherming en verwijdering van aangesloten apparaten kan lastig zijn

Soms zijn het niet hackers waar je op moet letten, maar het gedrag van IoT-apparaten zelf. In 2018, blog over cyberbeveiliging Beperkte resultaten nam een ​​ijzerzaag mee naar een LIFX Mini White-gloeilamp en ontdekte kwetsbaarheden met de slimme lamp zelf. Iedereen met fysieke toegang tot het product kan het wifi-wachtwoord van de eigenaar extraheren zoals het in platte tekst op het apparaat was opgeslagen, samen met de RSA-privésleutel en root-wachtwoorden.

LIFX loste de kwetsbaarheden op met een firmware-update, maar het roept belangrijke vragen op over de fysieke staat van de apparaten, inclusief bescherming tijdens gebruik en verwijdering van oude of defecte slimme apparaten. Terwijl grote ondernemingen IoT blijven gebruiken en upgraden, moet dit vaak vergeten aspect van misbruik van kwetsbaarheden voorop blijven staan.

3. Malware op industriële schaal – de fysieke cyberdreiging

De wereld is gewend geraakt aan malware die privé-informatie steelt, maar zoals blijkt uit de Vegas fish en LIFX-voorbeelden, vormde het zelden een fysieke bedreiging voor zijn slachtoffers. Dat is tot 2018 toen de industriële malware van Triton werd ontdekt die gericht was op de veiligheidssystemen van een Saoedi-Arabische olieraffinaderij. Er wordt gezegd dat het de eerste malware is die ooit is ontworpen om industriële veiligheidssystemen in gevaar te brengen, waardoor hackers de mogelijkheid hebben om sensoren uit te schakelen en dodelijke rampen mogelijk te maken. De hackers verhuisden opzettelijk en namen de tijd om steeds meer van de verfijningssystemen te infiltreren en nauwkeurigere malware te ontwikkelen.

Die instantie werd gelukkig ontdekt voordat er nog meer aanvallen konden worden uitgevoerd, maar dat weerhoudt hackers er niet van om nog gevaarlijkere vormen van malware te ontwikkelen. Dus naarmate industriële controlesystemen steeds meer verbonden en afhankelijk worden van IoT-apparaten, moeten bedrijven stappen ondernemen om beveiliging voor deze lagen in te bouwen.

Het compliance-raadsel

Zelfs zonder de wijdverbreide adoptie van IoT, worden veel ondernemingen uitgedaagd door innovatie die potentiële mazen kan openen voor gegevensbescherming. De afgelopen maanden hebben British Airways, Marriott Hotels en verschillende lokale overheidsorganisaties zijn zwaar beboet op grond van de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie voor het onbedoeld blootstellen van grote hoeveelheden persoonlijke gegevens. In feite heeft het Marriott-gegevenslek alleen al 7 miljoen records blootgelegd die verband houden met inwoners van het VK.

Alle opgelegde boetes laten zien hoe agressief regelgevers binnen de Europese Commissie (EC) bereid zijn om beveiligings- en nalevingsfouten aan te pakken om ervoor te zorgen dat persoonlijke gegevens privé blijven. Nieuwe in het VK gebaseerde IoT-beveiligingswetten aan de horizon zullen fabrikanten van apparaten verantwoordelijk houden voor kwetsbare toegangspunten binnen het verbonden apparaat zelf. Toch zullen ondernemingen ook meer verantwoordelijkheid moeten nemen voor de zwakke punten – beveiliging en compliance – binnen hun eigen IT-architectuur.

Dus, wat is de oplossing?

Het prille karakter van IoT zal het in de nabije toekomst waarschijnlijk een aantrekkelijk doelwit maken voor hackers. Naarmate er meer technologieën ontstaan ​​en IT-omgevingen steeds complexer worden, zal het aanvalsoppervlak van het IoT toenemen. Ondernemingen moeten vandaag de juiste voorzorgsmaatregelen nemen om ernstige schade te voorkomen die kan worden veroorzaakt door succesvolle aanvallen op nieuw geïmplementeerde IoT-omgevingen.

Een manier om cyberbeveiliging te versterken, is door IoT-gegevens te gebruiken die zijn verwerkt door geavanceerde analyses zoals machine learning (ML) en kunstmatige intelligentie (AI) in een beveiligingscontext. Door geavanceerde analysetechnologieën te implementeren, is het mogelijk om afwijkingen in gedrag en gebruik op alle aangesloten apparaten te controleren en zo kritieke beveiligingsincidenten of misbruik te identificeren. Bovendien kunnen bedrijven door Blockchain te gebruiken de noodzaak voor een centrale autoriteit in het IoT-netwerk wegnemen. Dit betekent dat verbonden apparaten in gemeenschappelijke groepen beheerders kunnen waarschuwen als ze worden gevraagd om een ​​ongebruikelijke taak uit te voeren.

De onderneming moet ook naar hun partners kijken bij het ondersteunen van IoT-beladen omgevingen. Geavanceerde beveiligingscentra om in realtime op cyberaanvallen te reageren, beheerd door gespecialiseerde spelers op het gebied van cyberbeveiliging, kunnen ondernemingen een one-stop-shop bieden voor hun behoeften op het gebied van cyberbeveiliging, naleving en opkomende technologie.

Zo'n cyberbeveiligingscentrum moet worden aangedreven door een groot aantal geavanceerde tools en platforms, waaronder log- en gedragsanalyse, cyberdreigingsinformatie, cloudgebaseerd beveiligingsraamwerk, geavanceerd aanvalsvoorspellingsplatform aangedreven door machine learning, geïntegreerd in een automatiserings- en orkestratieplatform.

Deze centra kunnen ondernemingen daarom een ​​uitgebreid beveiligingsdashboard bieden - een vogelvlucht van het IT- en IoT-netwerk en de beveiliging ervan. Dergelijke centra zijn erg moeilijk te bouwen en te onderhouden vanuit het oogpunt van kosten en vaardigheden, dus bedrijven kunnen gebruikmaken van de diepgaande expertise van een deskundige partner om hun systeem en gegevensbescherming te versterken en om te gaan met de steeds veranderende regelgeving.

Alleen door een holistische benadering van IoT-beveiliging te hanteren - een die cloudgebaseerde alomtegenwoordige controles omvat met uitgebreide zichtbaarheid en bescherming door opkomende technologieën - kan men ervoor zorgen dat de onderneming end-to-end wordt beschermd en blijft voldoen aan de normen voor gegevensbescherming.

Samengevat hoeft u echter niet bang te zijn voor IoT. Met de juiste waarborgen kan het zijn beloften waarmaken en de processen en diensten verbeteren die het moet leveren.

De auteur is Avinash Prasad, hoofd van Managed Security Services bij Tata Communications.