Achtergrond: Miljarden onbeveiligde apparaten op het netwerk

Hoe IoT de security-status-quo drastisch omgooit

Internet of Things is een hackersdroom. Opeens worden miljarden nieuwe apparaten zonder enige vorm van beveiliging toegevoegd aan zakelijke en private netwerken. Wie een beetje slim is, kan via zo’n apparaat toegang krijgen tot het hele netwerk, hoe goed deze verder ook beveiligd mag zijn.

 

Het cliché gaat dat een keten zo sterk is als de zwakste schakel. Laat IT nou veel op een keten lijken (servers, netwerk, endpoints…), en IoT de potentie hebben om miljarden schakels aan die keten toe te voegen. De schattingen lopen sterk uiteen, van 20 miljard devices in 2020 volgens Gartner tot zelfs een biljoen volgens sommige eerdere schattingen. Hoe dan ook: het gaat hard, zoals ook KPN schrijft in een whitepaper. Dat hebben cybercriminelen onderhand ook al door. Kaspersky heeft gezien dat tijdens de eerste helft van 2018 al drie keer meer aanvallen hebben plaatsgevonden op IoT-apparaten dan tijdens het hele jaar van 2017. Het zou gaan om 120.000 verschillende soorten malware die zijn gericht op IoT. F5 Labs, de onderzoektak van F5 Networks, zag een soortgelijk onderzoek een stijging van 249 procent in een jaar tijd. De rekenkracht van gekaapte apparaten is weliswaar zwak, maar het zijn er zoveel dat ze kunnen worden ingezet voor DDoS-aanvallen. Mirai, een botnet, legde DNS-provider Dyn op deze manier plat. Ook cryptojacking is populair, het clandestien minen van cryptomunten wat daarnaast al het leven uit het apparaat zuigt. De privacy blijft ook niet onaangetast, met kinderspeelgoed dat kan worden gebruikt om kinderen af te luisteren of zelfs te bekijken en pacemakers waar medische informatie van af te tappen valt.

Slimme ICT, maar domme apparaten

Omdat deze apparaten vanuit de ICT bezien zo eenvoudig zijn, is het beveiligen ervan moeilijk, zo vertelt Frank van der Gaarden, channelmanager bij Fortinet. IoT-apparaten zijn eenvoudig en hebben zelf weinig intelligentie, stelt hij. “Wat je ziet is dat als een IoT-apparaat in het netwerk wordt geplaatst, deze daarna niet meer wordt geüpdatet. Als er een kwetsbaarheid wordt gevonden, is het eenvoudig die te misbruiken, en die apparaten bieden geen eigen beveiliging.”

Een smart city werkt anders dan een smart home, waar weer andere belangen spelen dan bij een smart company of smart wearables

Het beveiligen van de ‘things’ in Internet of Things gaat een moeilijke zaak worden. Niet alleen omdat het er zo veel zijn, maar omdat ze helemaal niet zijn ontworpen om te beveiligen. Het is niet alsof je eenvoudig een securityoplossing erop plaatst. Alleen via de firmware kun je het enigszins beveiligen, maar lang niet alle leveranciers blijken in staat de firmware vaak genoeg te herzien.

De beveiliging van IoT hangt dus ook van de andere lagen van de ICT-omgeving af. KPN noemt in zijn whitepaper IoT-security – Op weg naar een veilig Internet of Things de zeven lagen van het IoT Reference Model van Cisco: fysieke devices en controllers, connectiviteit, edge en fog computing, omzetting van actieve data naar passieve data, data-abstractie en integratie en filtering, de applicatie en de interactie tussen gebruikers. Op basis daarvan kun je volgens de schrijvers van het whitepaper twee securitymodellen aangeven die van belang zijn voor IoT-beveiliging: AIC, oftewel BIV in het Nederlands: Beschikbaarheid, Integriteit en Confidentialiteit, en het NIST Cybersecurity Framework. De eerste is specifiek voor IoT bruikbaarder, zo vinden de schrijvers. “Analyse van securityvraagstukken begint namelijk altijd bij de beschikbaarheid, integriteit en vertrouwelijkheid”, schrijven ze. “Het NIST Cybersecurity Framework is een waardevol instrument voor het op detailniveau in kaart brengen van securitymaatregelen. Dit model is minder geschikt voor een brede blik op de toepassingsgebieden.” Het is vervolgens zaak om de specifieke toepassing van IoT te analyseren naar deze drie cruciale veiligheidskenmerken. Een smart city werkt immers anders dan een smart home, waar weer andere belangen spelen dan een smart company of bij smart wearables.

Aanpak en technologie

Natuurlijk begint de security van IoT bij algemeen aanvaarde goede praktijken: gebruik niet het standaardwachtwoord voor de webinterface, sla geen gevoelige gegevens op wanneer dat niet nodig is en beperk het aantal inlogpogingen om brute force tegen te gaan, bijvoorbeeld. Maar je ontkomt er ook niet aan om technische maatregelen te nemen om de beveiliging verder op te schroeven. Verschillende leveranciers hebben uiteraard verschillende oplossingen, maar het toverwoord dat de meeste securityleveranciers lijken te bezigen is de ‘holistische’ aanpak waarbij alle lagen beveiligd worden. Zo kiest Fortinet voor een fabric-aanpak, met Network Access Control waarmee gecontroleerd kan worden welke devices en in welke mate het netwerk opkomen. “Mogelijk kwetsbare apparaten plaats je in speciale zones, met strikte controle op het verkeer tussen die zones”, zegt Van der Gaarden. “Echt next-generation firewallfuncties dus.”

Anderen, zoals Gemalto, kiezen juist voor een verbeterde identificatie van de apparaten en de rechten die ze mogen hebben. Dat begint al bij het identificeren van het apparaat zelf, zo zegt bijvoorbeeld Mike Gardiner, System Security Architect, Data Protection van Gemalto. Hij stelt dat het aantal IoT-apparaten, in combinatie met het feit dat het meestal om soortgelijke systemen binnen een omgeving gaat, een grote uitdaging vormt. “Een aanval dat één apparaat compromitteert kan mogelijk worden hergebruikt op soortgelijke apparaten”, zegt Gardiner.

‘Een IoT-apparaat is als melk: laat het te lang alleen en het wordt zuur’

“Het is belangrijk dat de eigenaar cryptografische controle neemt buiten de leverancier van het apparaat om, terwijl de leverancier juist in staat moet zijn om de fabriekstoestand te behouden. Het is vergelijkbaar met melk: als je een IoT-apparaat te lang alleen laat, wordt hij zuur.”

Daarom dat Gemalto recent samenwerkingen is aangegaan met DigiCert en quantumcomputingspecialist ISARA om digitale certificaten te ontwikkelen die gebruikmaken van dynamische versleuteling. “De private sleutel en het digitale certificaat vormen de identiteit van het apparaat”, zegt hij. “Dit is de belangrijkste bouwsteen voor de veilige communicatie van apparaten. Als je het certificaat koppelt aan een PKI (public key infrastructure, red.), dan kan deze het apparaat koppelen aan een eigenaar en zo de vertrouwensbanden tussen apparaten laten vaststellen.” De certificaten zorgen er ook voor dat code zonder handtekening domweg niet wordt uitgevoerd, waardoor pogingen controle over te nemen veel moeilijker worden.

Zoals een onderzoek van HPE-onderdeel Aruba Networks, uitgevoerd door het Ponemon Instituut, dit najaar laat zien, is het vertrouwen in de veiligheid van IoT vooralsnog laag. De manier waarop IoT-systemen zijn ingeregeld zal het vertrouwen niet voeden. Een nieuwe kijk op security, zoals sommige leveranciers wel betrachten te doen, moet dan ook snel uitkristalliseren. Vooral gezien de explosiviteit waarop IoT het ICT-domein begint over te nemen.

[Dit artikel is eerder gepubliceerd in ChannelConnect IoT Dossier 2018]

Lees het artikel hier in PDF