De verspreiding van iot-apparaten in bedrijven biedt tal van nieuwe mogelijkheden om processen op te volgen, te automatiseren en optimaliseren, van intelligente productielijnen tot energiebesparing met automatische verlichting in slimme kantoren. Maar terwijl iot bedrijven efficiënter maakt, neemt ook het aanvalsoppervlak voor cybercriminelen toe, met als resultaat een nieuwe dimensie van complexiteit op het vlak van security.
IoT-bedrijfsapparaten zijn bijvoorbeeld de terminals voor de verwerking van kredietkaarten in verkooppunten (PoS), verwarmings-, ventilatie en airconditioningsystemen (HVAC), bewakingscamera’s, flowsensoren, etc. Al deze apparaten zijn op het netwerk aangesloten en communiceren via het internet met een controlecentrum dat draait in een publieke cloudomgeving zoals AWS, Azure, Google Cloud, of een bedrijfsdatacenter waar grote datasets worden opgenomen en geanalyseerd. Omdat deze IoT-bedrijfsapparaten het internet gebruiken om te connecteren, bestaat het risico dat ze nieuwe dreigingen introduceren en vormen ze een aantrekkelijk doelwit voor opportunistische cyberaanvallers. Waarom? Door het feit dat IoT-apparaten met elkaar verbonden zijn, verleent een succesvolle cyberaanval een potentieel toegangspoortje naar het volledige netwerk van de organisatie.
Zero-trust
De versnelde digitale transformatie van de voorbije (meer dan) vijftien maanden heeft het probleem alleen maar groter gemaakt en bedrijfsleiders aangespoord het volledige spectrum van toestellen binnen hun organisatie in kaart te brengen. Een manier waarop bedrijven de groeiende beveiligingsuitdaging van mobiele apparaten aanpakken, is door een oplossing voor zero-trust network access (ztna) op basis van het zero-trust-model te implementeren. Een ztna-oplossing bestaat uit de installatie van een endpoint-agent op een gebruikersapparaat zoals een laptop, tablet of mobiele telefoon. Die leidt het verkeer van het apparaat naar een beveiligingsservice in de cloud vooraleer het naar een saas-applicatie of iaas-provider wordt gestuurd.
Tot dusver lijkt dit een goede oplossing, maar in tegenstelling mobiele gebruikersapparaten zullen ztna-oplossingen niet werken op de meerderheid van de iot-toestellen. Die beschikken immers niet over een agent en ondersteunen daarom geen installatie van software-agents van derden. Hierdoor hebben ondernemingen een andere soort securityoplossing voor iot-apparaten nodig: sd-wan, de nieuwe aanpak in de beveiliging van iot-bedrijfsapparaten.
Geavanceerd
Met een geavanceerd, bedrijfsgericht sd-wan edge-platform beperken bedrijven het risico op inbreuken via iot-apparaten zonder dat ze ztna-agents hoeven te installeren. Het platform slaagt erin om het verkeer van iot-apparaten al op het eerste datapakket te identificeren en classificeren. Vervolgens wordt het verkeer op de netwerkrand gesegmenteerd naar een geschikte zone om het van de rest van het netwerkverkeer te isoleren. Deze end-to-end-segmentatie omspant de gehele onderneming en dwingt een consistent en geautomatiseerd securitybeleid af met granulaire zichtbaarheid.
Segmenteren en isoleren
Een van de belangrijkste voordelen van end-to-end-segmentatie is het vermogen om delen van het verkeer van iot-apparaten te isoleren. Dat wordt mogelijk gemaakt door een geavanceerd sd-wan-platform. Een onafhankelijk securitybeleid kan worden geconfigureerd en toegepast op elk segment dat het netwerk instructies geeft over de bestemming van het verkeer en dus op rollen gebaseerde toegangsniveaus en beveiligingsbeperkingen bepaalt, zodat iot-apparaten enkel met head-end-it-systemen kunnen communiceren. Het is dit niveau van zero-trust dynamische segmentatie dat dreigingen isoleert en verhindert dat cybercriminelen toegang tot het bredere netwerk verkrijgen; aangezien het verkeer in het ene segment geïsoleerd is van verkeer in andere segmenten, voorkomt het ongeautoriseerde toegang. En als er zich toch een dreiging zou voordoen, dan zal de impact meteen beperkt blijven tot het segment waarin deze is ontstaan.
Met een geïntegreerde op zones gebaseerde stateful firewall kunnen ondernemingen bovendien locaties en iot-apparaten op afstand beveiligen en mogelijk schadelijke bedreigingen blokkeren.
Een goed voorbeeld van deze oplossing is te zien in het verschil tussen de beveiliging van point of sale- en hvac (heating, ventilation en air conditioning)-systemen op een externe locatie. Door de gevoeligheid van klantgegevens zal een bedrijf in het geval van een pos-apparaat wellicht verkiezen om de data terug te leiden via het datacenter waar de applicatie voor de verwerking van kredietkaarttransacties staat. Op die manier kunnen bestaande firewallsecurityservices het verkeer controleren. Maar het is best mogelijk dat het bedrijf data van hvac-systemen niet op dezelfde manier wil of kan behandelen. In plaats daarvan zou het een aparte policy kunnen vastleggen die verkeer omleidt naar een beveiligingsdienst in de cloud voor extra inspectie op weg naar een controlecentrum dat in de publieke cloud wordt gehost. Aangezien de twee soorten verkeer apart worden gehouden en aan verschillende securityrichtlijnen onderhevig zijn, zou een inbreuk in het hvac-segment geen kredietkaart- en persoonlijke data in gevaar brengen.
Pluspunten
Naast de duidelijke voordelen van segmentatie en isolatie heeft een geavanceerd sd-wan edge-platform in een iot-omgeving nog andere pluspunten, zoals mogelijkheden om zelfstandig dreigingen op te sporen en hierop te reageren. Het platform controleert voortdurend de staat van het bedrijfsnetwerk en de iot-applicaties om veranderingen te detecteren, waaronder het spotten van een ddos-aanval. En vervolgens activeert het onmiddellijke, geautomatiseerde realtime-reacties om de impact van bedreigingen voor de beveiliging te beperken.
Dit is van cruciaal belang in een cloud-first omgeving waar snelle verandering, groeiende volumes data en potentiële cyberdreigingen in gelijke mate toenemen. IDC voorspelt dat de markt van de clouddiensten tegen 2024 meer dan één miljard dollar zal bedragen. We mogen dus gerust stellen dat cloud-first ondernemingen weldra de nieuwe norm zullen zijn. Deze transformatie kan echter niet steunen op legacy beveiligingsinfrastructuur of manuele beleidsveranderingen. Cybercriminelen zullen er al gauw in slagen om onbeveiligde iot-apparaten te identificeren en dus moeten bedrijven zich voorbereiden om inbraken te detecteren en onmiddellijk te reageren. Technologieleiders moeten ervoor zorgen dat ze hun bedrijven doorheen het gehele transformatieproces beveiligen, zodat ze klaar en in staat zijn om van de voordelen van iotte genieten zonder hun bedrijfsnetwerk in gevaar te brengen.
Veerkrachtig
Bij correct gebruik kunnen iot-apparaten helpen bedrijfsactiviteiten te automatiseren, aanzienlijke operationele efficiëntie stimuleren en realtime-intelligentie brengen die bedrijven veerkrachtiger maakt. Maar naarmate ondernemingen meer en meer geconnecteerde toestellen uitrollen, wordt het cruciaal om de unieke securityuitdagingen aan te pakken die hiermee gepaard gaan.
Een geavanceerd sd-wan edge-platform verenigt de geavanceerde technologieën die nodig zijn voor het identificeren, classificeren, segmenteren en beveiligen van het netwerk. Het is dus ideaal voor bedrijven om maximaal rendement te halen uit hun iot-investeringen en tegelijk het bedrijfsnetwerk en de bedrijfsactiviteiten in ruime zin te beschermen.