Vroeger blokkeerden we onbekende apparaten op het netwerk, maar in het BYOD-tijdperk frustreert dat gebruikers die hun eigen smartphones en tablets willen gebruiken. Met de komst van sensoren die buiten IT om worden gebruikt, bijvoorbeeld door facilitaire diensten, en andere apparaten die werknemers introduceren op het netwerk, raken we het overzicht kwijt.
Tel daarbij op dat veel van deze apparaten zelfs de meest basale beveiliging ontberen - denk aan standaardcredentials, ingeschakelde telnet-verbindingen, algeheel gebrek aan encryptie - en een ware nachtmerrie dreigt voor IT'ers. Vandaar de volgende tips om een beveiligingsincident door IoT een incident te houden. Zo laat je het niet escaleren tot een ramp.
1. Maak een IoT-VLAN
Brakke IoT-apparaten die met het draadloze netwerk verbinden, zijn met wel heel rigoureuze maatregelen te blokkeren, bijvoorbeeld door whitelists en/of MAC-controle te gebruiken. Een oplossing die gebruikers minder frustreert en de impact van een securityincident verkleint is stevige netwerksegmentatie.
Veel organisaties hebben sowieso al een VLAN om toegang te geven tot een beperkt gastnetwerk, waardoor bij een inbraak via een apparaat dat daaraan koppelt, een aanvaller geen contact kan leggen met kritieke bedrijfsresources. Netwerksegmentatie is ook een effectieve strategie om onveilige apparaten in te perken.
2. Schakel telnet uit
Telnet staat op menig modern uitgeleverd apparaat nog standaard ingeschakeld, simpelweg omdat het bij het in productie nemen ervan niet uit de testomgeving is geschrapt. Het is dan ook een populaire ingangsmethode voor IoT-specifieke malware om zich te verspreiden. Zorg er, als telnet intern wordt gebruikt, voor dat mensen niet van buitenaf deze gadgets via telnet kunnen benaderen.
3. Zet versleuteling in
Encryptie wordt nog regelmatig node gemist bij IoT-apparaten. Dat is jammer, want als ze versleuteld communiceren is dat al een drempelverhoging voor aanvallers om contact te leggen. Via een MITM-aanval kan een snoodaard zo toegang krijgen tot dezelfde resources als het apparaat. IoT-protocollen als LoRaWAN en BLE hebben encryptie om dit te voorkomen en als deze optie beschikbaar is, maar niet default is ingeschakeld, forceer dan voor zover mogelijk het gebruik van versleuteling.
4. Gebruik traffic-shaping
Om ervoor te zorgen dat IP-pakketjes voldoen aan een verkeersprofiel, gebruiken IT'ers traffic-shaping. Dat komt er in feite op neer dat een bron alleen maar de hoeveelheid data kan versturen of ontvangen die is gedefinieerd voor zijn doel. De eventuele impact van een denial-of-service IoT-aanval wordt op deze manier beperkt. Daarnaast blijven kritieke services beter beschikbaar.
5. Schakel features uit
Een smart-tv die als beeldscherm boven de balie hangt, of die roosterwijzigingen doorgeeft aan leerlingen, hoeft alleen maar weer te geven. De meeste andere functionaliteit kun je uitschakelen of blokkeren. Als een internetverbinding voor die functionaliteit nodig is, bijvoorbeeld om instructies en weergaven te verversen, duik dan in de instellingen om privacygevoelige features als de camera en microfoon uit te schakelen.
6. Inventariseer de IoT- en data-assets
Een van de grote uitdagingen die we horen als we met praktijkdeskundigen spreken, is het gebrek aan zichtbaarheid van de gekoppelde bronnen. Voor de via IT uitgerolde IoT-apparaten moet je sowieso zicht hebben op locatie, configuratiegegevens en apparaatdata, maar ook voor schaduw-IT is het goed om zicht te hebben op wat er allemaal binnenkomt.
Volg tip 1 en inventariseer welke apparaten contact leggen met het aparte netwerk, welke applicaties worden gebruikt en wat voor resources worden aangesproken. Een beheerframework kan je vooral op dit gebied een hoop werk schelen. Vandaar de laatste tip:
7. Gebruik een beheerframework
Mobiele beheersoftware kan helpen om een breed scala aan mobiele apparaten op te nemen in het IT-beheer en policy's af te dwingen, in sommige gevallen bijvoorbeeld voor ad hoc-distributie van applicaties. Bekendere EMM-oplossingen zijn onder meer Enterprise Mobility + Security, onderdeel van Microsoft 365 en MobileIron EMM.
Of hou IoT gewoon buiten de deur en draai zaken al byod gewoon terug omdat de vooral commerciele kosten niet tegen de roi op kan. Er zijn weinig betrouwbare rekenmethoden die aan kunnen geven wat de ROI nu is van Byod en IoT terwijl je eenvoudig de kosten van security alleen al kunt kwanitificeren.
Reageer
Preview