Het internet der dingen (iot) en het industriële internet der dingen (iiot), zijn twee van de dominante technologieën in de digitale transformatie. Iot- en iiot-industrieën helpen nauwkeuriger te werken, snel geïnformeerde beslissingen te nemen en nieuwe zakelijke of zelfs inkomsten mogelijkheden te ontgrendelen. Maar al deze verbonden apparaten vragen ook om een nieuwe manier van beveiligen.
Het iot en iiot is een netwerk van verbonden apparaten die met elkaar kunnen communiceren en gegevens kunnen verstrekken aan de eindgebruikers. Wanneer je meerdere apparaten tegelijk gebruikt, worden de gegevens waardevoller. Met behulp van data-analysemethoden kun je dieper ingaan op de data om diepere inzichten te ontdekken en toekomstige uitkomsten te voorspellen. Dit is met name interessant in het iiot. Denk aan het gebruik van een slim lichtmanagementsysteem in een gebouw of een meter bij een afvalwaterzuiveringsinstallatie om te zien hoeveel water daar doorheen stroomt.
Iot- en iiot-apparaten maken vaak deel uit van een sterk gefragmenteerd ecosysteem van niet-gestandaardiseerde, speciaal gebouwde apparaten. Met zo’n schaal, diversiteit en de doorgaans beperkte systeembronnen op deze apparaten, werken bestaande beveiligingsoplossingen vaak niet. Er is een nieuwe, opnieuw uitgedachte benadering van beveiliging nodig: een benadering die iot- en iiot-apparaten kan identificeren, beveiligen en beheren. Er zijn drie zaken waarmee je rekening kunt houden als je je iot – en iiot-beveiliging goed voor elkaar wilt hebben.
- Identificeer het aantal apparaten
Om je iot- en iiot-apparaten goed te beveiligen, is het als eerste essentieel dat je een goede zichtbaarheid hebt op de hoeveelheid apparaten op jouw netwerk en wat de functie van dit apparaat is. Als je niet weet hoeveel het er zijn, kun je ze ook niet allemaal van de juiste beveiliging voorzien.
- Wijzig de standaardwachtwoorden
Als tweede stap moet je de standaardwachtwoorden op je iot- en iiot-apparaten wijzigingen. Zit er geen wachtwoord op? Kies dan een vergelijkbaar product waar je wel het wachtwoord van kunt wijzigen.
- Bepaal de life-cycle
Even belangrijk als het on-boarden van je apparaten, is ervoor zorgen dat je een plan hebt liggen wat er met deze iot- en iiot-apparaten gebeurt als ze het levensduureinde hebben bereikt. Zorg ervoor dat je alle data op het apparaat eraf haalt of wijzigt, zodat niemand er meer bij kan. Denk hierbij aan wifi-codes en user data. Het beste is dan om het apparaat gewoonweg te vernietigen.
Of je als organisatie erg veel invloed hebt op het Internet lijkt me nogal twijfelachtig als we kijken naar een fenomeen zoals netneutraliteit, je kunt hoogstens de ‘link’ naar het Internet controleren. Tweede punt is het eigendom van al die verbonden apparataten want ook de ‘wearables’ vallen volgens mij onder de noemer IoT. Ik weet het, het is na negenen en de dop is van de fles azijn maar ik vraag me af of er niet een parallel zit tussen eerdere probleem met BYO en IoT want de vraag is wat je wilt beveiligen. Tenslotte kost een IoT apparaat maar een paar Euro maar kan deze als sensor bijzonder vervelend zijn dus de derde vraag is wat je toelaat tot je netwerk. Ik schuif nu een beetje richting ‘zero trust’ op basis van het OSI-model hoewel ik met wisseling van werkgever geen commercieel belang meer heb in mogelijke oplossingen. Geen WC-eend maar gewoon wat vragen vanuit een eerdere expertise omdat IoT en IIoT om een nieuwe beveiliging vraagt op bepaalde lagen van het OSI-model maar voor mij dus niet duidelijk is wat Palo Alto Networks hierin biedt.
Mogelijk dat je middels TCP/IP fingerprinting (Will?) de apparaten in je netwerk kunt identificeren en dan even op de deur kunt kloppen met een standaard wachtwoord om te kijken hoe beveiliging is geregeld. Handig om vooraf het eigenaarschap te bepalen om geen gezeur met ‘Computervredebreuk’ te krijgen omdat eerdere circus van BYO vooral om de juridische details van eigenaarschap ging. Als het ‘gastnetwerk’ een service is waar de waard zijn gasten niet vertrouwd dan hebben we een vertrouwensprobleem, had ik al wat gezegd over ‘zero trust’ in mijn reactie want ik ben de dop van de azijnfles kwijt?
Dank je voor de voorzet Ewout.
Inderdaad – met TCP-fingerprinting krijg je boven water wat er allemaal actief is. In zijn meest basale vorm een lijst met IP-adressen en DNS-naam.
Afhankelijk van de inrichting van een systeem krijg je ook de open deurtjes terug in de vorm van TCP-poorten en achterliggende services/processen.
De betere TCP-scanners vullen dit aan met een overzicht van systemen die voor hun login nog op fabrieksinstellingen staan. Geef je die scanners credentials mee, dan scannen ze op software en andere beschikbare gegevens. Vaak komen op die manier nog fabrieksinstellingen van applicaties en DBMS-en boven drijven.
In combinatie met het besnuffelen van de netwerk pakketjes die daadwerkelijk over het lijntje gaan krijg je een heel goed beeld van je interne en externe attack surface en de mate waarin deze onder vuur ligt of zelfs al ge(mis?)bruikt wordt. In dit kader is het dan wel handig om de netwerk pakketjes voor en achter de firewalls te besnuffelen.
In alle gevallen is het meer dan handig om in ieder geval te werken met een vrijwaringsbewijs… zeker als je aan de slag gaat met credentials en het besnuffelen van netwerk pakketjes… je weet immers vooraf niet wat de “bijvangst” gaat zijn…
Will,
Graag gedaan hoewel nu het risico ontstaat dat we in de discussie een hele andere kant op gaan dan auteur wil want voor wat betreft de ‘fingerprinting’ zijn er nog andere mogelijkheden. Iedereen kent Shodan maar Zoomeye is ook goed, bijvoorbeeld in het vinden van IP camera’s. Mogelijk dat je binnenkomt met een standaard wachtwoord (zero security) maar ik acht kans op succes groter als je gebruik maakt van bekende zwakheden in OS/Firmware. Want zelfs als je weet wat je hebt is het beheren hiervan vaak nog een hele klus als ik kijk naar het patch management. Binnen kantoorprocessen (IT) op papier aanwezig zoals ik jaren geleden ooit eens schreef maar bij industriële processen (OT) ontbreekt vaak ook de visie.
Bewustzijnsconsultants verkopen je zorgen die je ’s nachts wakker houden, WC-eenden verkopen gemoedsrust;-)
“zelfs als je weet wat je hebt is het beheren hiervan vaak nog een hele klus als ik kijk naar het patch management“
“kantoorprocessen (IT) op papier aanwezig zoals ik jaren geleden”
Ja – maja – het begint met weten-en-meten wat je hebt – de rest is is een afgeleide.
En inderdaad – op papier klopt het allemaal – heeft alles te maken met OSI-laag 8, 9 en 10 (resp. politiek, geloof en geld). Want tja – processen/politiek zijn leidend – IT heeft maar te volgen… met als gevolg een giga proces-overhead omdat ineens blijkt dat er limieten zijn in de combinatie techniek (OSI-laag 1-7) en geld (OSI-laag 10); iets wat bij OSI-laag 8 en 9 out-of-scope is/was.
Om daar wat aan te doen begint met een ander geloof te prediken. En das dan politiek-gezien weer niet handig omdat dan eens blijkt dat de processen toch niet kloppen. Om conform het Angelsaksisch model meteen over te stappen op een aansprakelijkheidsstelling plus genoegdoening (d.w.z. “geld”) = want “imago-schade”… en zo blijven we in cirkeltjes ronddraaien… 😉
=====
“Bewustzijnsconsultants verkopen je zorgen die je ’s nachts wakker houden, WC-eenden verkopen gemoedsrust ;-)”
Ja – eens. Wat ik dan wel jammer vindt is dat die WC-eenden nogal eens afgeserveerd/weggestuurd worden met een “wij-van-wc-eend” – om vervolgens door te gaan in de waan van de dag; wat in praktijk dan neerkomt op “iets” wat zich afspeelt op laag 8 van het eerder genoemde OSI-model…
=====
Will,
Top-down door OSI-model gaan om passende en evenredige technische en organisatorische maatregelen te nemen aangaande de dienstverlening gaat om het beheersen van de risico’s, maatregelen zijn daarvan een afgeleide en een maatregel kan inderdaad ook een ander geloof prediken zijn met – zoals ik voorstelde – een Zero Trust Network Architectuur. En met 27+ oplossingsrichtingen is er niet echt sprake meer van het verkopen van een product.
Aangaande het geloof is de lifecycle interessant als we kijken naar de service versus de techniek, want oude protocollen in nieuwe verpakken maakt het mogelijk om middels TCP/IP fingerprinting zoveel van de achterliggende services te weten te komen. En IoT gaat niet om laag 8 van het OSI-model als we kijken naar de beheerinterfaces van embedded webservices, opdelingen in het beheer van de stack hebben weinig met Angelsaksische modellen te maken als ik kijk naar het beheermodel van Looijen.