Het begrijpen van de basisprincipes van de beveiliging van IoT

Recensies1 juli 2020

Organisaties van elke grootte maken steeds vaker gebruik van IoT-apparatuur voor een breed scala aan zakelijke voordelen: om de kosten te verlagen, de bedrijfsvoering te verbeteren, gebruik te maken van big data analyses, de digitale transformatie te versnellen of, in de meeste gevallen, om al het bovenstaande te bereiken.

Uit onderzoek blijkt dat er alleen al vorig jaar 7,6 miljard IoT-apparaten waren; dit aantal zal naar verwachting toenemen tot 41,6 miljard in 2025. Als leidinggevende kan je je niet veroorloven om IoT te negeren. Je moet het omarmen als een sterke kracht voor innovatie en ontwrichting. Toch moet je je ogen ook open houden voor de risico's. IoT kan een potentiële nachtmerrie zijn als je niet de juiste stappen zet om de juiste basis en structuur voor cybersecurity op te bouwen.

Sean Duca, Palo Alto Networks

We hebben gezien hoe gevaarlijk de ongecontroleerde uitbreiding van het IoT kan zijn zonder de juiste cybersecuritywaarborgen. Het Unit 42-team van Palo Alto Networks analyseerde in 2018 en 2019 beveiligingskwesties met betrekking tot 1,2 miljoen IoT-apparaten in de IT-sector en in de gezondheidszorg in de Verenigde Staten. Uit het rapport van Unit 42 over de bedreiging van IoT in 2020 blijkt dat er een alarmerend aantal IoT-apparaten kwetsbaar en exploiteerbaar is. Bovendien is 98% van al het verkeer van IoT-apparaten ongecodeerd, terwijl 57% van de IoT-apparaten kwetsbaar is voor aanvallen van gemiddelde of hoge intensiteit.

Het is dus belangrijk om te begrijpen welke stappen de CISO's en beveiligingsteams moeten nemen om ervoor te zorgen dat je het gebruik van het IoT kan uitbreiden en tegelijkertijd de risico's van cybercriminaliteit kan beperken.

Wat deze uitdaging moeilijker maakt, is dat in veel business units binnen organisaties IoT-apparatuur gebruiken die niet onder de bevoegdheid van de CIO of de CISO valt. Elke business unit in een organisatie kan IoT-apparaten kopen, ongeacht of de CISO of CIO hiervan op de hoogte is of niet, en dit kan niet worden tegengehouden. Als CISO's een complete strategie voor de beveiliging van het IoT kunnen ontwikkelen, kunnen zij de business units helpen bij het kopen van IoT-apparaten en zo inzicht krijgen in die apparaten en ze vanaf het begin beveiligen.

Vermijd de landmijnen
De eerste stap naar de beveiliging van het IoT klinkt eenvoudig, maar is het niet. Je moet weten wat voor soort apparaten er zijn en waar ze zich allemaal bevinden. Ik vergelijk het met een situatie met landmijnen. Er zijn op dit moment volgens schattingen meer dan 110 miljoen landmijnen in de grond.  Alleen in Egypte zijn er al 23 miljoen landmijnen over van de Tweede Wereldoorlog. Deze kunnen niet worden verwijderd omdat niemand weet waar ze zich bevinden.

We willen niet dat IoT-apparaten de landmijnen van de toekomst worden, dus we moeten gebruikmaken van technologieën die deze kunnen identificeren en verantwoorden, ongeacht waar ze zich bevinden en wanneer we er toegang tot nodig hebben. Bij de beveiliging van IoT gaat het om meer dan het identificeren en vinden van deze miljarden apparaten. Het gaat ook om het beheer van deze apparaten gedurende hun hele levenscyclus. Bijvoorbeeld:

  • Hoe kunnen we zorgen dat we apparaten kunnen updaten met de huidige beveiligingspatches, besturingssystemen en andere beveiligingen naarmate de technologieën evolueren - en naarmate cybercriminelen nieuwe methoden ontdekken om de bestaande beveiligingsbarrières te doorbreken?
  • Hoe kunnen we wachtwoorden wijzigen op apparaten waarvan de wachtwoorden in de hardware zijn gecodeerd?
  • Hoe kunnen we het gebruik van apparaten in realtime volgen om de veiligheidsrisico's te bewaken en ervoor te zorgen dat onze organisatie voldoet aan de veranderende wettelijke vereisten over de hele wereld?
  • Hoe kunnen we ervoor zorgen dat we apparaten kunnen uitschakelen en buiten gebruik stellen wanneer ze zijn vervangen of hun levensduur hebben overschreden?

Dit zijn geen loze vragen, maar echte kwesties die de veiligheidsteams nu moeten aanpakken. Naarmate de wereld van 14 miljard naar 20 miljard naar 25 miljard naar meer dan een biljoen apparaten gaat, zal het veel ingewikkelder worden om IoT-apparaten gedurende hun hele levenscyclus te identificeren, beheren en beschermen.

Nuttige richtlijnen
Gelukkig is er hulp beschikbaar om het risico van IoT-cybercriminaliteit te beperken. Het Nationaal Instituut voor Normen en Technologie is bezig met het opstellen van richtlijnen voor fabrikanten van IoT-apparatuur om hun producten veiliger en betrouwbaarder te maken, en heeft al een reeks aanbevolen vrijwillige cybersecurity-functies voor het opnemen in apparaten die geschikt zijn voor het netwerk. Nieuwe technologieplatformen kunnen helpen bij het identificeren van IoT-apparaten en het beheer ervan gedurende hun hele levenscyclus.

Bovendien heeft het Open Web Application Security Project (OWASP) een leidende rol op zich genomen bij het helpen van leiders op het gebied van cybersecurity om de meest voorkomende kwetsbaarheden van IoT-apparaten te identificeren. Deze lijst biedt een leidraad voor cybersecurity-professionals die zij kunnen volgen, en geeft bedrijfsleiders een stevige basis om de juiste vragen te stellen aan hun cybersecurityteams.

De meest recente OWASP “Top 10” lijst van IoT-kwetsbaarheden is:

  1. Zwakke, voorspelbare of hardcoded wachtwoorden
  2. Onveilige netwerkdiensten
  3. Onveilige ecosysteem-interfaces
  4. Gebrek aan veilige update-mechanismen
  5. Het gebruik van onveilige of verouderde onderdelen
  6. Onvoldoende bescherming van de privacy
  7. Onveilige gegevensoverdracht en -opslag
  8. Gebrek aan device management
  9. Onveilige standaardinstellingen
  10. Gebrek aan fysieke verharding

Geen enkele sector is bestand tegen de uitdagingen van IoT, of het nu gaat om de detailhandel, de financiële sector, de technologie, enz. Waar stapelt jouw organisatie zich op? Als je dat niet weet, dan wordt het tijd om dit aan je cybersecurity-leiders te vragen. Als zij het niet weten, wordt het tijd dat je erop aandringt dat zij de beveiliging van IoT slim aanpakken en ondersteunen om IoT-apparaten te beveiligen. De toekomst wacht op niemand.

Sean Duca
Vice President, Chief Security Officer, Asia Pacific en Japan
Palo Alto Networks