Het internet der dingen ofwel internet of things (IoT) is vandaag zowel de technologie van de toekomst als een pijnlijke herhaling van de fouten uit het verleden. De functionaliteit die IoT-toepassingen bieden gaat erg ver, terwijl de beveiliging ervan het niveau van een oeroude fabriek niet overstijgt. Hoogtijd voor een andere aanpak, zowel voor de beveiliging van het internet der dingen, als de broodnodige beveiligingsrenovatie van die bovengenoemde fabriek.
Ik verduidelijk: IoT-toepassingen zijn momenteel zeker handig, maar doorgaans ook erg divers en slecht beveiligd. Tal van fabrikanten maken nuttige toepassingen die draaien op eigen besturingssystemen, waarin beveiliging een telkens wisselende prioriteit krijgt tijdens de ontwikkeling. Onderzoek toont keer op keer aan dat heel wat populaire IoT-toepassingen zo lek zijn als een zeef. Je hoeft niet verder te kijken dan het Mirai-botnet voor een voorbeeld daarvan. Mirai slaagde er in om miljoenen IoT-toestellen over te nemen, gewoon door gekende ingebakken inloggegevens uit te buiten. Het resulterende botnet was krachtig genoeg om delen van het internet tijdelijk offline te halen.
Toch vertrouwen meer en meer bedrijven op IoT-hardware, vaak zonder daar goed en wel bij stil te staan. Denk maar aan een smart-tv in de lobby, een slim temperatuurcontrolesysteem, nieuwe betaalbare beveiligingscamera’s die op het netwerk zijn aangesloten… Die toestellen, die doorgaans vergeten worden na de installatie, zijn daarom kwetsbare aanvalsvectoren waar hackers maar al te graag gebruik van maken. Een slecht beveiligde camera of tv, aangesloten op het bedrijfsnetwerk, doet zo dienst als een bruggenhoofd voor een aanval op de rest van het bedrijf.
Scada: IoT avant la lettre
Nieuw is dat scenario allesbehalve. Bedrijven, en dan vooral fabrieken of andere organisaties die al geruime tijd actief zijn in de productiesector, kampen al decennia lang met netwerken waarop inherent kwetsbare toestellen draaien. Denk daarbij aan allerhande machines, die aangestuurd worden door erg verouderde software. In fabrieken is het geen unicum om een machine zoals een oven of een centrifuge te ontdekken die nog netjes wordt bediend via een human management interface (hmi) die Windows 95 draait, of een eigen besturingssysteem dat zo mogelijk nog meer lek is.
Scada (Supervisory command and data acquisition)-software, die de industriële processen aanstuurt waar die oude machines deel van uitmaken, is al even erg. Scada-software stamt vaak uit een tijdperk waarin cybersecurity nog niet bestond, en maakt gebruik van protocollen die niet bestand zijn tegen hedendaagse aanvallen. Waar bedrijven zichzelf vandaag uit gemakzucht kwetsbaar maken door zonder al te veel nadenken IoT-toepassingen te installeren, is het in productie-omgevingen vaak niet mogelijk om de oude software een update te geven. De machines ondersteunen geen moderne technologie, en zijn te duur en te belangrijk om zomaar te vervangen.
IoT, ot en it
Kwetsbare hardware, ongeacht de leeftijd, hoeft geen doodsteek te zijn voor de veiligheid van uw netwerk. Met een slimme aanpak kunt u een smart-tv of oude machine perfect integreren.
Voor u begint, moet u een onderscheid maken tussen het it-netwerk enerzijds, en IoT of ot-netwerk anderzijds. In het it-netwerk hoort de traditionele it thuis. Je plaatst er de servers, de pc’s, de printers… Slimme camera’s, tv’s, thermostaten en andere moderne verbonden toepassingen horen in een afzonderlijk netwerk te zitten, dat je vervolgens op de juiste manier kan beveiligen. Hetzelfde geldt voor de Scada-machines, die u best beheert via een ot-netwerk. Zodra dat is gebeurd, kunt u aan de beveiliging beginnen.
Vier stappen zijn van belang. Eerst moet u ontdekken wat er allemaal in het netwerk zit. Dat is al te vaak minder eenvoudig dat het klinkt. Of het nu over een IoT-netwerk dan wel over een ot-netwerk gaat, een goed beeld van welke toestellen of machines er precies mee verbonden zijn, is essentieel. Er bestaat gelukkig software om daarbij te helpen.
Wanneer u een duidelijk beeld hebt van het hele netwerk, kan u het beginnen segmenteren. Segmenteren betekent dat u toestellen groepeert in afgesloten stukjes van het netwerk. Zo krijgt u grip op de trafiek die van en naar de toestellen of machines loopt. U kan bijvoorbeeld als ziekenhuis al uw ct-scanners samen segmenteren, of als traditioneler bedrijf al je bewakingscamera’s groeperen. Het is eenvoudig om de toegang binnen een bepaald netwerksegment te beheren, zodat een digitaal lekke centrifuge niet misbruikt kan worden om andere delen van het netwerk uit te buiten.
Zodra u het netwerk hebt gesegmenteerd, kunt u kwetsbare toestellen beginnen te beveiligen. Zorg er eerst en vooral voor dat de communicatie van de kwetsbare toestellen via vpn-tunnels verloopt. Dankzij een versleutelde vpn-verbinding van de kwetsbare machine tot een punt in het netwerk dat u wel vertrouwt, sluit u al uit dat verouderde protocollen worden uitgebuit.
Installeer vervolgens een goede firewall. Firewalls zijn niet erg populair in ot-omgevingen, omdat uptime daar primeert. U kunt de firewall echter inzetten voor detectie van verdachte zaken, zonder alles meteen te blokkeren. Zo stopt u menselijke controle in het proces, en voorkomt u dat een firewall reageert op een vals positief en een fabriek stillegt. Voor IoT-omgevingen is er helemaal geen reden om te twijfelen.
Patchen zonder te patchen
Een intrusion prevention-systeem met virtuele patching kan de lekken in uw IoT-hardware of oude machines helemaal verhelpen. Virtuele patches zorgen er voor dat malware een lek niet kan uitbuiten. Beeldt u in dat de hmi waarmee u de ovens in de fabriek bedient, nog Windows 95 of MS Dos draait, met alle kwetsbaarheden van dien. Een aanval die gebruik maakt van die kwetsbaarheden, is op zich best goed te herkennen. Een virtuele patch detecteert zo’n aanval, en blokkeert die nog voor het kwetsbare toestel ooit in gevaar komt. Hetzelfde geldt voor een beveiligingscamera met een kritiek lek. De virtuele patch op het netwerk zal misbruik voorkomen, zonder dat u daarvoor meteen manueel alle camera’s van een update hoeft te voorzien (als die er zelfs al is).
Weet ju wat er in uw netwerk zit, heeft u alles slim gesegmenteerd, en staat uw beveiliging op punt? Dan rest alleen nog de monitoring. Houdt in het oog wat de firewall en de intrusion prevention-systemen zoal detecteren. Zo krijgt u grip op het type aanvallen dat plaatsvindt, hoe uw beveiliging er op reageert, en wat er misschien nog beter moet.