Waarom 'Zero Trust' de beste manier is om de beveiliging van IoT-apparaten te verbeteren

Experts op het gebied van cyberbeveiliging doen er alles aan om hackers een stap voor te blijven die op zoek zijn naar zwakke plekken in miljoenen internet of things-apparaten over de hele wereld. Maar misschien concentreren ze zich op het verkeerde probleem.

IoT-apparaten doordringen tegenwoordig vrijwel elk aspect van het bedrijfsleven en maken ook snel hun intrede in de consumentensector. Elke sensor die verbinding maakt met internet, creëert een andere potentiële kwetsbaarheid voor de gebruiker. Het is dus geen verrassing dat de huidige staat van IoT-beveiliging "waarschijnlijk niet erg goed is", zoals Gary Kinghorn, managing director bij Tempered Networks, het beschrijft.

Wanneer de database van high rollers van een casino wordt gehackt door een "slimme" aquariumthermometer, is het duidelijk dat het ontluikende IoT-universum een ​​serieus probleem heeft. De staat van kwetsbaarheid van de technologie "is bijna absurd", zegt Kinghorn.

Bedrijven die hun informatiesystemen willen versterken, hebben zich gericht op de apparaten zelf, met name de behoefte aan sterke wachtwoorden die hen moeten beschermen tegen cyberdieven. Ook de overheid heeft geprobeerd IoT-apparaten te versterken door middel van maatregelen zoals de onlangs aangenomen Cybersecurity Improvement Act. Maar Kinghorn gelooft dat dit niet het volledige antwoord is, of zelfs niet de juiste vraag.

Elk met IoT verbonden apparaat heeft een IP-adres waardoor het een verleidelijk doelwit is voor hackers. Toch zijn zenders gewoon niet zo 'slim' als dat trendy bijvoeglijk naamwoord doet vermoeden. "Het zijn heel eenvoudige apparaten", zegt Kinghorn. "Ze zullen nooit geavanceerd genoeg zijn om een ​​legitieme netwerkverbinding of gegevensverzoek te analyseren."

In plaats daarvan zouden gebruikers zich moeten concentreren op wat Kinghorn 'het echte gat' in de beveiliging noemt:het netwerk zelf. De sleutel is om ervoor te zorgen dat aanvalsvectoren niet beschikbaar zijn voor hackers. En om dat te doen, moeten systemen een "zero-trust"-model gebruiken voor het autoriseren van toegang.

De term betekent dat "je niets vertrouwt dat verbinding probeert te maken met je netwerk, zelfs geen apps of apparaten van je eigen interne gebruikers, tenzij ze specifiek geautoriseerd zijn", legt Kinghorn uit. Denk aan een "witte lijst" die een telefoonlijn beschermt tegen oplichters, telemarketeers en robocalls door alle nummers behalve eerder aangewezen nummers te blokkeren.

Een zero-trust-omgeving zorgt ervoor dat "al het verkeer versleuteld door het netwerk gaat, dus er zijn geen onderscheppingen of man-in-the-middle-aanvallen", zegt Kinghorn. Het beveiligingsbeleid van de organisatie wordt beheerd rond de identificatie van apparaten en gebruikers vooraf, in plaats van te rekenen op de betrouwbaarheid van IoT-sensoren.

Een dergelijk systeem beperkt zelfs de meest vertrouwde apparaten de toegang tot het netwerk. In het geval van het gehackte casino, vraagt ​​Kinghorn zich af, waarom was die aquariumthermometer in de eerste plaats gekoppeld aan de klantendatabase? "Het zou slechts toegang moeten hebben tot één systeem - het systeem dat spreekt over de temperatuur van de tank."

Zero trust maakt het voor systemen mogelijk om individuele sensoren van het grotere netwerk af te schermen. Dus waarom hebben niet meer particuliere en openbare gebruikers het concept omarmd, ook al blijven inbreuken op de beveiliging toenemen?

Kinghorn vindt enkele antwoorden in het Zero Trust Adoption Report van Cybersecurity Insiders. Er is veel enthousiasme over het zero-trust-model, waarbij 78% van de ondervraagde I.T. beveiligingsteams die interesse tonen in het implementeren van zero-trust netwerktoegang in de toekomst. Ze spelen in op de behoefte om de systeembeveiliging aan te scherpen in een tijd waarin bedrijven zich tot de openbare cloud wenden en proberen mobiele medewerkers veilig te beheren.

Tegelijkertijd zei 47% van de steekproef dat ze geen vertrouwen hadden in het vermogen van hun huidige beveiligingstechnologie om zero trust te implementeren. Slechts 15% heeft al zo'n systeem en ongeveer 20% heeft nog niet veel aan de technologie doorgegeven.

De kosten zijn een beperkende factor, zegt Kinghorn. Nulvertrouwen kan duur zijn om te bereiken, met de noodzaak om sommige I.T. systemen, en in zijn huidige vorm strekt het zich niet altijd uit tot toepassingen buiten het datacenter.

"Dat is onze focus", zegt Kinghorn, "om zero trust toe te passen op elk netwerk of apparaat, door een combinatie van een typische softwareagent en bedrade gateway-apparaten."

Als het gaat om technologische upgrades, is verandering zelden eenvoudig. HET. beveiligingsteams voelen zich misschien op hun gemak met traditionele firewalls en virtuele privénetwerken (VPN's), of maken zich zorgen over het gedoe van het vereisen van multi-factor authenticatie. Maar zero trust kan worden ingesteld met een eenmalige aanmelding en agents kunnen binnen enkele minuten worden geïnstalleerd, beweert Kinghorn. "Het is niet extreem duur", zegt hij, "hoewel sommige organisaties het misschien zo maken."

Hij ziet de belangstelling voor zero trust snel toenemen, vooral als reactie op de COVID-19-pandemie en de extra veiligheidsproblemen die het met zich meebrengt voor I.T. afdelingen. En hoewel de volledige acceptatie van de technologie enige tijd kan duren, zullen bedrijven als ze geen vooruitgang boeken, worden blootgesteld aan steeds schadelijkere aanvallen door creatieve hackers.

De legacy-systemen van gisteren zijn niet uitgerust om moderne cyberdreigingen aan te pakken, zegt Kinghorn. “De IP-protocolstack is 50 jaar oud. Het is nooit ontworpen om te doen wat I.T. organisaties wordt gevraagd om vandaag te doen. Daarom hebben we een compleet nieuw model nodig.”