Een jaaroverzicht:12 IoT-beveiligingsoverwegingen

Vanuit het oogpunt van de consument zijn privacy de grootste zorgen over IoT-beveiliging -verwant. Een familie maakt zich misschien zorgen dat hun beveiligingscamera's een vreemdeling een kijkje in hun huis kunnen geven. Of dat de gegevens die hun slimme luidsprekers verzamelen kwetsbaar zijn.

Hoewel die zorgen legitiem zijn, passen ze niet in de meest voorkomende dreigingsmodellen of vertegenwoordigen ze niet de belangrijkste IoT-beveiligingsrisico's. Een aanvaller die zich op IoT-apparaten richt, zal die apparaten eerder als een middel tot een doel zien. Misschien kunnen ze er tientallen gebruiken in een distributed-denial-of-service-aanval. Of gebruik ze als draaipunt om waardevollere doelen op het netwerk te bereiken.

In een recent gesprek op DEFCON in Las Vegas heeft Bryson Bort, de chief executive officer van Scythe, voorzitter van GRIMM en adviseur van het Army Cyber ​​Institute in West Point licht geworpen op enkele van de meest betekenisvolle trends op het gebied van cyberbeveiliging met betrekking tot IoT en industriële controlesystemen in het afgelopen jaar.

1. Toeschrijving door de natiestaat komt steeds vaker voor

Nog niet zo lang geleden leken georganiseerde misdaadgroepen achter de overgrote meerderheid van cyberaanvallen te zitten. Maar nu verbeteren nationale actoren hun spel - soms rekruteren ze talent uit de cyberonderwereld.

Uit het meest recente onderzoeksrapport over inbreuken op gegevens van Verizon blijkt dat het aantal inbreuken dat is toegewezen aan georganiseerde misdaadgroepen sinds 2015 aanzienlijk is afgenomen. In diezelfde periode namen de activiteiten van de staat toe.

Naarmate het niveau van de activiteit van de natiestaat toeneemt, zijn ook de pogingen om te bepalen welk land achter een bepaalde aanval zat, toegenomen. Hoewel cybersecurity-onderzoekers zich vaak richten op de technische kant van aanvallen, zei Bort dat het essentieel is om de rol van de waarschijnlijke motivaties van natiestaten bij een bepaalde aanval te begrijpen.

2. IoT-apparaten aanvallen als een draaipunt is een echte zorg

Het risico dat een aanvaller je bespioneert terwijl je uit de douche stapt via een op internet aangesloten camera is reëel. Maar dat soort inbreuk strookt niet met de meer algemene doelen van dreigingsactoren, namelijk financieel gewin of bedrijfs- of overheidsgerichte spionage.

Een grotere bedreiging is echter het gebruik van IoT-apparaten voor laterale aanvallen. Het schenden van veel gangbare IoT-apparaten is relatief triviaal en biedt een startpunt voor verdere spionage of sabotage.

Het Microsoft Security Response Center meldde onlangs dat het een dreigingsactor had waargenomen die zich richtte op "een VOIP-telefoon, een kantoorprinter en een videodecoder". De schijnbare motivatie van de aanvaller was om toegang te krijgen tot verschillende bedrijfsnetwerken. "Toen de actor met succes toegang tot het netwerk had gekregen, kon hij met een eenvoudige netwerkscan om naar andere onveilige apparaten te zoeken het netwerk ontdekken en zich verplaatsen op zoek naar accounts met hogere rechten die toegang zouden verlenen tot waardevollere gegevens", aldus de woordvoerder. rapport uitgelegd. Microsoft schreef de activiteit toe aan een groep die het 'Strontium' noemt, ook wel bekend als APT 28 van Fancy Bear. Het collectief zou ook betrokken zijn geweest bij de DNC-hack in 2016.

3. Air-gapping bestaat (nog) niet

In theorie is een air-gapped netwerk fysiek geïsoleerd van de rest van de wereld, waardoor het immuun is voor aanvallen via internet. In werkelijkheid lopen organisaties die gebruikmaken van een security-by-obscurity-benadering een verhoogd risico om te worden geschonden. "Heeft iemand ooit een echte luchtspleet gezien?" vroeg Bort. “Nee, want die bestaan ​​niet echt. Geen enkele keer in mijn hele leven pentesten in industriële controleomgevingen [heb ik er een gezien]", voegde hij eraan toe.

Het bekendste voorbeeld van een inbreuk op een zogenaamd air-gapped systeem is waarschijnlijk Stuxnet. Door die inbreuk kon de aanvaller toegang krijgen tot een netwerk binnen een Iraanse nucleaire faciliteit - waarschijnlijk via een USB-stick.

4. De donkere kant van groene energie is cyberbeveiliging

Dat het Amerikaanse elektriciteitsnet kwetsbaar is voor een cyberaanval is bekend geworden dankzij de inspanningen van doorgewinterde journalisten zoals Ted Koppel, wiens boek "Lights Out" uit 2015 dat onderwerp behandelt. Ook in 2015 waren naar verluidt Russische hackers in staat om tijdelijk te sluiten voor ongeveer 230.000 mensen. In de tussentijd hebben Amerikaanse kranten een reeks artikelen gepubliceerd waarin wordt beweerd dat Rusland zich op het Amerikaanse elektriciteitsnet richt. Meer recentelijk zijn anonieme onthullingen dat de Verenigde Staten zich ook op Rusland richten.

De situatie roept de vraag op waarom landen over de hele wereld substantieel gebruik maken van informatietechnologie in hun elektriciteitsnetwerken als dit een groot aantal nieuwe bedreigingen introduceert.

Bort vroeg:"Waarom gaan we niet gewoon terug naar volledig analoog?"

Een deel van het antwoord op de vraag is groene energie. Een groot aantal factoren, van mensen over de hele wereld die elektrische voertuigen kopen tot het installeren van zonnepanelen op hun dak, hebben de vergelijking voor stroomdistributie fundamenteel veranderd. Een paar decennia geleden was de stroom van elektronen van een onderstation naar een consument eenrichtingsverkeer. Maar nu leveren consumenten, via hernieuwbare energiebronnen zoals zonne-energie, nu af en toe stroom terug aan het net. "Nu heb ik computers nodig om het exponentieel complexere elektriciteitsnet aan te kunnen", zei Bort.

5. Nationale staten richten zich steeds meer op kritieke infrastructuur

Cyberoorlogvoering is misschien niet nieuw, maar natiestaten lijken hun inspanningen op te voeren om de industriële controlesystemen en kritieke infrastructuur van rivalen aan te vallen. Dergelijke infrastructuur varieert van stemmachines tot water- en energie-infrastructuur.

Over het algemeen zijn de natiestaten met de meest geavanceerde cyberdivisies de Verenigde Staten, het Verenigd Koninkrijk, Israël, Rusland, Noord-Korea en Iran. Vietnam zou waarschijnlijk een eervolle vermelding krijgen, zei Bort. “In het afgelopen jaar hebben we de Vietnamezen op extreem niveau zien spioneren van natiestaten.

Eerder dit jaar meldde Bloomberg dat "Vietnam 'state-aligned' hackers" zich richten op buitenlandse autobedrijven om de snelgroeiende autoproductie-initiatieven van het land te ondersteunen.

6. Cyberaanvallen helpen geïsoleerde landen te financieren 

In 2017 meldde The New York Times dat de regering-Trump 4 miljard dollar had gevraagd om cyberwapens te helpen financieren om de raketcontrolesystemen van Noord-Korea te saboteren. De financiering zou ook drones en straaljagers ondersteunen om dergelijke raketten uit de lucht te slaan voordat ze de Amerikaanse kusten bereiken. Dezelfde publicatie had anonieme bronnen geciteerd die beweerden dat een lopende cybercampagne zich sinds ten minste 2014 had gericht op de raketsystemen van het land.

De andere rimpel in dit verhaal is een VN-rapport dat onthult hoe Noord-Korea zijn wapenprogramma helpt financieren. Er staat dat het land $ 2 miljard aan fondsen heeft gestolen van financiële instellingen en cryptocurrency-uitwisselingen.

Bort zei dat het waarschijnlijk is dat Noord-Korea de financiering heeft gebruikt voor een reeks aankopen. “Niemand geeft om de valuta van [Noord-Korea]. Ze zitten in een gesloten economie', zei hij. "Als de Dear Leader whisky en Ferrari's wil, kan hij die niet kopen met lokale valuta. Hij heeft harde valuta nodig", voegde hij eraan toe. "Dus hun primaire motief vanuit het cyberperspectief is diefstal."

7. Een enkele cyberaanval kan honderden miljoenen dollars aan schade veroorzaken

Strikt genomen zijn WannaCry en zijn varianten niet expliciet gericht op IoT of ICS. Maar de malware, die zich richt op Microsoft Windows-besturingssystemen, heeft vergelijkbare schade toegebracht aan zijn slachtoffers. WannaCry toonde aan dat een stukje malware de activiteiten van de Britse National Health Service zou kunnen belemmeren. De kosten van de malware voor NHS, die ook leidde tot de annulering van 19.000 afspraken, bedroegen £ 92 miljoen. Ondertussen kostte de neef van WannaCry, NotPetya, het wereldwijde scheepvaartconglomeraat tussen $ 200 en 300 miljoen.

Nadat de malware via een vatbare leverancier in de fabriek was geïntroduceerd, was het gouden imago van de fabriek zo oud dat het niet meer gepatcht kon worden. Nadat de WannaCry-variant in de omgeving was geïmplementeerd, "bracht het alles in gevaar wat het kon aanraken en haalde het de hele fabriek neer", zei Bort.

Hoewel de VS WannaCry aan Noord-Korea hebben toegeschreven, is het onwaarschijnlijk dat de natiestaat de fabriek wilde infecteren. "Dit was een leverancier die toevallig een geïnfecteerde afbeelding had en deze introduceerde", zei Bort. "Ik weet. Het is te gek.”

8. Trisis zou een wake-up call moeten zijn

Net als WannaCry begon Trisis ogenschijnlijk in 2017. De aanvallers, die volgens FireEye banden hebben met Rusland, gebruikten een combinatie van phishing- en watering-hole-campagnes tegen hun slachtoffers. De aanvallers richtten zich eerst op I.T. infrastructuur en vervolgens zijdelings verplaatst naar hun O.T. netwerk, waar ze het veiligheidsinstrumentatiesysteem aanvielen in een kritieke infrastructuurfaciliteit. "Dat is een groot probleem," zei Bort. "In industriële controlesystemen bedient [het SIS] de sensoren en computers die dingen in de fysieke omgeving veranderen."

Terwijl programmeerbare logische controllers berekenen wat er in de fysieke omgeving moet gebeuren voor industriële besturingen, "zijn het domme computers", zei Bort. “Ik hoef geen PLC te hacken. Ik hoef alleen maar een PLC te vertellen wat hij moet doen. Ze valideren me niet. Ze zoeken geen autoriteit. [..] "Dat is wat de SIS doet."

Terwijl de eerste onthulde slachtoffers van Trisis zich in het Midden-Oosten bevonden, meldt CyberScoop dat de auteurs van de aanval zich nu op het Amerikaanse elektriciteitsnet richten.

9. Campagnes voor kritieke infrastructuur nemen toe

Er zijn misschien relatief weinig voorbeelden die aangeven waar grote delen van de bevolking over de hele wereld werden getroffen door op kritieke infrastructuur gebaseerde cyberaanvallen. Maar een groeiend aantal hackers richt zich op deze infrastructuur. "Het belangrijkste punt hier met aanvallen op kritieke infrastructuur is dat dit iteratieve inlichtingencampagnes zijn", zei Bort. “We hebben niet veel bewijs dat wat bedoeld was om destructief te zijn. Maar we hebben zeker bewijs van deze intentie om [in] de infrastructuur te komen.”

10. Ransomware heeft het potentieel om IoT-apparaten te targeten

Beveiligingsonderzoekers hebben de haalbaarheid bewezen van het gijzelen van een reeks IoT-apparaten. Maar hoewel ransomware wijdverbreid is, hebben de aanvallers die het gebruiken, de neiging om zich op traditionele computerapparatuur te richten.

Bort voorspelt dat ransomware zich de komende vijf jaar zal verspreiden naar nieuwe IoT-gebaseerde domeinen. "Ik denk dat ergens in de wereld iemand 's ochtends wakker wordt en zich een weg baant naar hun auto om naar hun werk te gaan", zei hij. "Zodra ze die auto aanzetten, verschijnt het infotainmentsysteem met:'Ransomware:stuur 3 Bitcoins om hem aan te zetten.'"

11. In een verbonden wereld maken leveranciers deel uit van het risicomodel

Vorig jaar maakte Bloomberg furore door te beweren dat China de Amerikaanse toeleveringsketen heeft geïnfiltreerd door een van 's werelds topleveranciers van server-moederborden in gevaar te brengen. Het verhaal werd betwist door verschillende leiders van de grote technologiebedrijven die in het verhaal worden genoemd, waaronder SuperMicro, Apple en Amazon, evenals vertegenwoordigers van het Amerikaanse ministerie van Binnenlandse Veiligheid en het National Cyber ​​Security Centre van het Verenigd Koninkrijk.

Hoewel de feiten van het artikel in het geding kunnen zijn, vormt het zogenaamde "buiten het land leven" een bedreiging. “Aanvallers brengen niet alleen hun eigen tools naar het spel. Ze nemen wat er al in die omgeving is en gebruiken het tegen je, 'zei Bort. “Alles wat uw infrastructuur raakt, maakt deel uit van uw risicomodel. Jij bent niet meer alleen jij."

12. Uw gegevens verspreiden zich. Zo is hoe het wordt verkocht.

“Wist je dat een slimme tv minder kost dan een tv zonder slimme functionaliteit?” vroeg Bort in de DEFCON-sessie. "Waarom is dat? Ze verdienen geld met je telemetrie en je gegevens.'

Een artikel van Business Insider van april komt tot dezelfde conclusie:“Sommige fabrikanten verzamelen gegevens over gebruikers en verkopen die gegevens aan derden. De gegevens kunnen het soort programma's dat u bekijkt, welke advertenties u bekijkt en uw geschatte locatie omvatten.'

Sommige autofabrikanten passen soortgelijke tactieken toe, zei Bort. "Er zijn meerdere modellen waarbij de autofabrikanten kijken naar hoe en wat ze van je kunnen afnemen als je met je auto rijdt."

Een rapport voor de U.S.-China Economic and Security Review Commission uitte haar bezorgdheid over de "ongeautoriseerde toegang van de Chinese regering tot IoT-apparaten en gevoelige gegevens" en de uitbreiding van "autorisatie van toegang". Het rapport legt uit:"De geautoriseerde toegang van [China] tot de IoT-gegevens van Amerikaanse consumenten zal alleen maar toenemen naarmate Chinese IoT-bedrijven hun voordelen in productie en kosten benutten om marktaandeel te winnen in de Verenigde Staten."

Bort zei dat veel IoT-apparaten van consumentenkwaliteit gegevens naar China sturen. "Als je echt plezier wilt hebben, sluit dan een IoT-apparaat in je huis aan, controleer de pakketten en kijk waar ze naartoe gaan", zei hij. “Ik heb nog geen enkel apparaat gezien waarop ik heb aangesloten dat niet naar China gaat. Nu suggereer ik niet dat dat snode of kwaadaardig is.” Het is gewoon typisch voor dergelijke IoT-apparaten om gegevens naar het land te sturen. Hij vroeg:"Waar worden ze gemaakt?"