5 minute read
Thema | Dell Security, Florian Malecki
by iMediate
INTERNET OF THINGS
Het Internet of Things (IoT) is de afgelopen tijd snel geëvolueerd van een opwindend idee tot een race om schapruimte. De stortvloed aan producten is met groot enthousiasme ontvangen door zowel consumenten als bedrijven die alles willen automatiseren en met elkaar willen verbinden. Van verwarming, ventilatie en airco’s tot en met hun auto’s moeten met elkaar kunnen praten. Tegelijkertijd lijken veel fabrikanten in hun haast om spullen op de markt te brengen te vergeten om deze apparaten te beveiligen tegen cyberaanvallen.
door: Redactie
Consumenten gaan ervan uit dat IoT-apparaten ‘speciaal ontwikkeld’ zijn, en dat deze ook veilig zijn. Ze denken dat de fabrikant verantwoordelijk is voor de veiligheid en dat die precies weet wat er nodig is om die te bieden. De realiteit is dat IoT-apparaten in principe dezelfde computers en operating systemen zijn die we dagelijks gebruiken, maar dan in een andere verpakking. Ze hebben dezelfde voor- en nadelen en zijn evenzeer kwetsbaar en vatbaar voor cyberaanvallen”, zegt Florian Malecki, International Product Marketing Director bij Dell Security.
Controle kwijt “Autofabrikanten Jeep en Tesla waren vorig jaar het haasje toen hackers manieren vonden om de computers van de Cherokee en Model S te hacken en de controle over te nemen. Zo konden ze bij de Jeep de radio en de airco bedienen, en ook de transmissie tijdens de rit ontkoppelen. De Tesla-hackers verschaften zich via de bekabeling toegang tot het infotainmentsysteem en konden vervolgens de auto starten, laten rijden en stoppen. Gelukkig deelden de hackers hun onderzoeksresultaten met de fabrikanten, zodat de kwetsbaarheden gepatcht konden worden. Het recent verschenen Dell Security Annual Threat Report voorspelt echter dat fabrikanten en gebruikers van smart cars die niet de vereiste IoTveiligheidsmaatregelen nemen, er niet zo gemakkelijk vanaf komen.
Bizarre scenario’s Met de toename van het aantal ransomware-aanvallen op Android- apparaten, afgelopen jaar, lopen niet goed beveiligde auto’s volgens het rapport risico het slachtoffer te worden van ransomware. Daarbij wordt de bestuurder in zijn auto opgesloten, totdat hij een bedragje aan losgeld heeft betaald. En dat is nog maar een van de vele bizarre scenario’s waarmee cybercriminelen zouden kunnen profiteren van het overnemen van de controle over een particulier of zakelijk voertuig.
In 2015 ontdekte Dell Security partner iPower Technologies de Conficker worm malware, die was geïmplementeerd in nieuw gekochte body camera’s van een politie-eenheid. In dit geval was het doel van de hacker waarschijnlijk om de body camera’s als een aanvalsvector te
gebruiken om zich toegang te verschaffen tot politiegegevens. Wat hij er verder mee wilde doen – politieke of financiële chantage – is onbekend.
Volgens onderzoeksbureau Gartner zal het aantal via internet verbonden apparaten zijn gegroeid tot 20,8 miljard in 2020. Toekomstige IoT-aanvallen zullen voortborduren op die van Jeep en Tesla, waarbij het erom gaat de controle over een apparaat over te nemen om het op een andere manier te gebruiken. Andere hacks zullen erop gericht zijn om een IoT device te gebruiken als toegang tot een achterliggende database met waardevolle gegevens, wat de hacker nog meer voordeel kan opleveren.
IoT-apparaat net zo kwestbaar als pc Gebruikers gaan er onterecht van uit, dat IoT-apparaten geen voor de hand liggende aanvalsvector vormen en dat ze er blind op kunnen vertrouwen. Maar de ontdekking van iPower Technologies onderstreept nog eens dat IoT-apparaten vaak ‘herverpakte’ computers en operating systemen zijn die net zo kwetsbaar zijn als normale pc’s. Niet alle fabrikanten zijn er ook alert op wat er allemaal tijdens de productie of distributie met hun apparaten kan gebeuren. Dat geeft de noodzaak aan voor zorgvuldigheid bij het voorkomen van én verdedigen van IoT-apparaten tegen aanvallen van buitenaf. Anders zou dit soort kwetsbaarheden tot grootschalige datalekken kunnen leiden. Immers, onderzoeksbureau BI Intelligence verwacht dat de overheid de komende jaren de op een na grootste gebruiker van IoT-technologieën zal worden.
Beveiligingsprogramma’s noodzakelijk De grootste gebruikers zullen bedrijven zijn die IoT inzetten om hun operationele kosten te verlagen, de productiviteit te vergroten en hun producten en markten willen uitbreiden. Maar uit het Security Annual Threat Report van Dell blijkt dat bedrijven nu net het doelwit van een groeiend aantal cyberaanvallen zijn; met 2,17 biljoen IPS-aanvallen en 8,19 miljard malware aanvallen in 2015. Bedrijven die echt de vruchten willen plukken van de potentieel onveilige IoT-apparaten die op dit moment worden aangeboden, zullen end-to-end beveiligingsprogramma’s moeten uitrollen.
Beveiligingstips:
1. Benader security holistisch:
Beveilig en versleutel data vanaf het datacenter of de cloud tot en met de endpoints. Let op netwerkbeveiliging, identiteits- en toegangsbeheer.
2. Onderzoek je apparaten:
Weet wat je IoT-apparaten doen. Welke data ze verzamelen, verzenden en vanaf waar dat gebeurt. En wie de eigenaar van de data is en welke mogelijke kwetsbaarheden of veiligheidscertificering de apparaten eventueel hebben.
3. Licht je netwerk door:
Bepaal een referentie status-quo voordat een IoT-apparaat wordt aangesloten, zodat je de gevolgen voor het netwerkverkeer kunt inschatten. Check wie, wat en wanneer momenteel toegang tot het netwerk zoekt, wat het systeem doet, wanneer het data waarneemt en wat en waar naartoe het communiceert. Onderzoek je netwerk na installatie van het IoT-apparaat opnieuw en identificeer elke wijziging op continue basis.
4. Compartimenteer het verkeer:
Stel een ‘no-trust’-policy in voor IoT-apparaten, zet ze op een apart netwerksegment of virtueel LAN (VLAN) zodat ze geen invloed kunnen hebben op bedrijfskritische data.
5. Voed je medewerkers op:
Zorg ervoor dat IT-, security- en netwerkbeheerders op de hoogte zijn van de laatste apparatuur, standaards en ontwikkelingen.
Verantwoordelijkheid In de loop van de tijd gaan fabrikanten meer beveiligingsmaatregelen rechtstreeks in hun IoT- apparaten inbouwen, maar vooralsnog ligt de verantwoordelijkheid voor beveiliging tegen cybercriminaliteit nog voornamelijk bij de consument of zakelijke gebruiker zelf. Deze vaststelling is zeker niet bedoeld om geïnteresseerde gebruikers te ontmoedigen, maar wel om ze een helpende hand te bieden op het gebied van strategieën en policies die horen bij het selecteren, implementeren en onderhouden van geschikte IoT-producten.
Laat je niet verleiden IoT is een van de meest veelbelovende business opportunities voor de komende jaren en bedrijven doen er goed aan om te kiezen voor een onderling verbonden en efficiënte infrastructuur. Maar laat je niet verleiden om blindelings het allernieuwste apparaat op je netwerk toe te laten en daarmee een potentieel zeer kostbaar veiligheidsrisico te nemen.” «
