home Productietechnologie Fabricage-apparatuur
Industriële fabricage
Industrieel internet der dingen | Industriële materialen | Onderhoud en reparatie van apparatuur | Industriële programmering |
home  MfgRobots >> Industriële fabricage >  >> Industrial Internet of Things >> Internet of Things-technologie

Waarom 98% van het IoT-verkeer onversleuteld is

98 procent van het IoT-verkeer is onversleuteld. Toen ik die statistiek las - gepubliceerd door Palo Alto Networks in hun Unit 42 2020 Threat-rapport - had ik geschokt moeten zijn, zegt Mike Nelson, VP van IoT Security bij DigiCert .

Vorig jaar een Z-Scaler rapport zei iets soortgelijks:dat 91% van het IoT-verkeer niet-versleuteld was. Hoewel het mogelijk is dat die cijfers niet echt representatief zijn voor het echte probleem, is één ding zeker:veel te veel IoT-verkeer is niet-versleuteld, terwijl dat absoluut zou moeten zijn.

Onversleuteld IoT-verkeer betekent uiteraard dat aanvallers Man in The Middle (MiTM)-aanvallen kunnen uitvoeren. Door gebruik te maken van die niet-versleutelde gegevensstroom, kunnen aanvallers tussen apparaten – of een apparaat en het grotere netwerk – komen en de gegevens stelen of wijzigen.

De tekortkomingen van IoT-beveiliging zijn goed gedocumenteerd. Aangesloten apparaten worden vaak snel op de markt gebracht door fabrikanten die pijnlijk voor de hand liggende, maar meestal gemakkelijk te voorkomen beveiligingsfouten maken in het ontwerpproces. Ze worden vervolgens gretig opgekocht door bedrijven die vaak geen rekening houden met die fouten en ingezet in anders beveiligde netwerken. Van daaruit ontdekken aanvallers ze via een simpleshodan-zoekopdracht en vinden ze een gemakkelijk doorbraakpunt in een onderneming.

En toch – ongeacht de staat van zijn beveiliging – groeit het IoT gretig. McKinsey schat dat er tegen 2023 43 miljard IoT-apparaten met internet verbonden zullen zijn. Als de huidige trends zich voortzetten – en 98 procent van het IoT-verkeer niet versleuteld blijft – zal dat een razernij voor cybercriminelen veroorzaken.

Vaak, wanneer mensen denken aan een IoT-hack – ze denken aan een kwetsbare pop of deurbel – aanvallen die gebruikmaken van de functionaliteit van een apparaat – interessant maar uiteindelijk een gimmick. De echte bedreigingen zijn veel minder kleurrijk. Enterprise IoT-implementaties bestaan ​​vaak uit honderden, zo niet duizenden afzonderlijke apparaten. Als er maar één van die apparaten zou worden blootgesteld, zou dit een gemakkelijk doorbraakpunt kunnen zijn in een verder veilig netwerk.

Je kunt zo'n voorbeeld zien in een nu beruchte IoT-inbreuk in Las Vegas. In 2017 gebruikten hackers een aquarium om een ​​casino-overval uit te voeren. Het betreffende aquarium was via een sensor met internet verbonden, waardoor de operators het aquarium op afstand konden bedienen en besturen. Niet lang nadat het was geïnstalleerd, merkte het beveiligingspersoneel echter op dat het aquarium gegevens naar een externe server in Finland stuurde. Nader onderzoek bracht een enorme inbreuk aan het licht:hackers hadden dat aquarium gebruikt om 10 gigabyte aan gegevens uit de database van high rollers van het casino te halen.

De hack bracht drie prangende punten aan het licht. Ten eerste dat de gestolen informatie niet-versleuteld was op het systeem van het casino en beschikbaar was voor aanvallers om alleen op te pikken. Ten tweede had het casino onvoldoende toegang en authenticatiecontroles om te voorkomen dat aanvallers van dat IoT-apparaat toegang kregen tot enkele van de meest gevoelige informatie die ze bezaten. Ten slotte was dat aquarium verbonden met het bredere netwerk van het casino en door gebruik te maken van de zwakke punten van dat product, konden ze verbinding maken met een horde gevoelige gegevens en deze stelen.

De gevolgen van dergelijke aanvallen kunnen variëren van het lekken van financiële of klantgegevens tot aanvallen op kritieke infrastructuur. Denk aan de schade als gevolg van grootschalige stroomuitval, internetstoringen, de sluiting van landelijke gezondheidsstelsels en toegang tot kritieke zorg. De lijst gaat maar door.

Op weg naar 100% versleuteling

IoT of geen IoT – alle vertrouwelijke gegevens moeten worden versleuteld. Alles - Alles boven 0 procent is onaanvaardbaar. Mogelijk kunt u hier en daar kleine fouten maken, maar alle gegevens die niet zijn versleuteld, kunnen worden gecompromitteerd.

Wat niet wil zeggen dat het niet met zijn eigen uitdagingen komt. De aard van moderne data is dat ze constant in beweging zijn - van hub naar gateway, gateway naar cloud en verder. Dat maakt de zaken complexer omdat gegevens zowel in rust als tijdens de vlucht versleuteld moeten worden.

Dat geldt met name voor zakelijke IoT-netwerken, die gewoonlijk zijn opgebouwd uit een reeks verschillende eindpunten, sensoren en apparaten die constant gegevens heen en weer sturen tussen de verschillende onderdelen. Eén scheur in dat netwerk kan een aanvaller binnenlaten, waardoor het niet alleen een bijzonder gevoelig gebied is, maar ook een dat bijzonder cruciaal is om te repareren.

Public Key Infrastructures (PKI) met digitale certificaten beginnen dat probleem op te lossen. Omdat PKI wederzijdse authenticatie tussen de verschillende knooppunten van grote netwerken kan bieden en de gegevensstromen overal kan coderen, op een enorme schaal die geschikt is voor het IoT, beginnen bedrijven het te gebruiken als een manier om hun grote IoT-implementaties te beveiligen.

Hoewel de industrie vooruitgang boekt en toonaangevende bedrijven, praktijkmensen en regelgevers stappen ondernemen om samen te werken en de beveiligingsstatus van deze apparaten te verbeteren, hebben we nog een lange weg te gaan. We hebben meer fabrikanten nodig om prioriteit te geven aan beveiliging en best practices te implementeren - encryptie, authenticatie en integriteit om er maar een paar te noemen - en de implementatie kan niet stapsgewijs zijn. Dat is niet goed genoeg.

Encryptie op schaal is wat bedrijven nodig hebben om IoT-verkeer te beveiligen. Toonaangevende fabrikanten nemen kennis en implementeren PKI. Laten we hopen dat de rest inhaalt. En binnenkort.

De auteur is Mike Nelson, VP van IoT Security bij DigiCert .

Over de auteur

Mike Nelson is de VP van IoT Security bij DigiCert, een leverancier van digitale beveiliging. In deze rol houdt Mike toezicht op de strategische marktontwikkeling van het bedrijf voor de verschillende kritieke infrastructuursectoren die zeer gevoelige netwerken en Internet of Things (IoT)-apparaten beveiligen, waaronder gezondheidszorg, transport, industriële activiteiten en implementaties van smart grids en slimme steden.

Mike overlegt regelmatig met organisaties, draagt ​​bij aan mediaberichten, neemt deel aan instanties voor industriestandaarden en spreekt op brancheconferenties over hoe technologie kan worden gebruikt om de cyberbeveiliging van kritieke systemen en de mensen die erop vertrouwen te verbeteren.

Mike heeft zijn carrière in de IT in de gezondheidszorg doorgebracht, waaronder tijd bij het Amerikaanse ministerie van Volksgezondheid en Human Services, GE Healthcare , en Leavitt Partners - een boutique adviesbureau voor de gezondheidszorg. Mike's passie voor de industrie komt voort uit zijn persoonlijke ervaring als diabetes type 1 en zijn gebruik van verbonden technologie bij zijn behandeling.


Internet of Things-technologie

  • Ingebed
  • Sensor
  • Cloud computing
  • Internet of Things-technologie
    1. Waarom digitaal?
    2. Waarom edge computing voor IoT?
    3. Datacompatibel blijven in het IoT
    4. Slimme data:de volgende grens in het IoT
    5. Welke sectoren zullen de winnaars zijn van de IoT-revolutie en waarom?
    6. Waarom het internet der dingen kunstmatige intelligentie nodig heeft
    7. Het IoT democratiseren
    8. De waarde van IoT-gegevens maximaliseren
    9. Waarom we de beveiliging van het IoT in kritieke nationale infrastructuur niet kunnen uitstellen
    10. Waarom directe verbinding de volgende fase is van industrieel IoT
    11. Top IoT-data-analyseplatforms