Laat IoT-apparaten niet langer blinde vlekken in de beveiliging zijn

Als onbevoegden erin slagen om controle te krijgen over apparaten die met het Internet of Things (IoT) zijn verbonden, kunnen ze die gebruiken om bedrijfsgegevens naar buiten te sluizen en instructies en kwaadaardige code te verspreiden. Beslissers op het gebied van cybersecurity hebben daarom beveiligingsoplossingen nodig waarmee ze aanvallen via IP-camera’s en andere IoT-apparatuur kunnen detecteren en blokkeren. Wie overzicht heeft op het resulterende netwerkverkeer kan cyberaanvallen in een vroegtijdig stadium blokkeren of in noodgevallen snel indammen. Network detection & response (NDR)-technologie maakt deel uit van een uitgebreide beveiligingsstrategie die ook voor mkb-organisaties werkt.

Er worden steeds meer IoT-apparaten met het internet verbonden. Afgelopen jaar was de groei bijna 19 procent en de experts van IoT-Analytics schatten dat er in 2025 wereldwijd ruim 27 miljard IoT-apparaten actief zullen zijn. Bedrijven in de industrie en gezondheidszorg maken gebruik van steeds meer IoT-apparaten die met het centrale bedrijfsnetwerk verbonden zijn. Ook kleine en middelgrote bedrijven stellen zich steeds meer open voor het internet, vaak zonder een passend beveiligingsplan of voldoende beschermingsmechanismen.

IoT zet de deur open voor cyberaanvallen

IoT-hardware vormt een aantrekkelijk doelwit voor hackers. Zij kapen IP-bewakingscamera’s die met het bedrijfsnetwerk zijn verbonden en lijven die in bij botnets waarmee ze denial of service-aanvallen uitvoeren. Ook routers en andere IoT-hardware in thuiswerkomgevingen brengen voor veel organisaties beveiligingsrisico’s met zich mee. Cybercriminelen kunnen via deze apparaten toegang krijgen tot hun centrale IT-infrastructuur. Het kleinste beveiligingslek kan de deur openzetten voor hackers, met verstrekkende gevolgen.

Er zijn verschillende oorzaken aan te wijzen voor het feit dat IoT-apparaten kwetsbaarheden in de IT-beveiliging vormen. Veel beheerders weten niet welke apparaten er precies in hun netwerk hangen. Organisaties blijven deze apparaten bovendien gebruiken zolang ze maar enigszins functioneren, vaak veel langer dan door de fabrikant is voorzien. En als die de ondersteuning voor de hardware intrekt, groeien deze apparaten uit tot een kwetsbaarheid aangezien er geen nieuwe beveiligingsupdates beschikbaar zijn om ze bij te werken.

Dataverkeer op afwijkende patronen inspecteren

Organisaties hebben rechtstreekse toegang tot IoT-apparatuur nodig om de uitwisseling van instructies tussen IoT-hardware en een command & control (C&C)-server of verkenningen van het netwerk door hackers in een vroegtijdig stadium te kunnen detecteren en blokkeren. Als apparaten een IP-adres hebben en deel uitmaken van het bedrijfsnetwerk, kan een NDR-oplossing het dataverkeer daarvan bewaken en analyseren. Dat geldt voor alles van IP-bewakingscamera’s tot IoT-sensoren in productieomgevingen en intelligente deursloten.

De digitale vingerafdruk van afwijkende communicatie van beheerde IoT-apparaten met een IP-adres wijkt duidelijk af van die van het reguliere dataverkeer. Neem bijvoorbeeld sensoren in een productieomgeving. Die leveren regelmatig kleine datapakketten aan centrale systemen en applicaties aan, maar ontvangen (afgezien van een zeldzame update) vrijwel nooit datapakketten retour. Bovendien mag er geen data naar buiten de organisatie worden verzonden, tenzij het nodig is voor de organisatie om data aan een partner of dienstverlener over te dragen. Een NDR-oplossing kan met behulp van artificial intelligence en machine learning het netwerkverkeer analyseren om dergelijke onverwachte activiteiten te detecteren en direct alarm te slaan.

IT-beheerders zouden daarnaast de volgende adviezen moeten opvolgen om IoT-aanvallen een halt toe te roepen:

1. Segmentatie van het bedrijfsnetwerk: IoT-apparaten zouden in een eigen netwerk moeten worden ondergebracht. Een gastnetwerk is voldoende om op locatie data te verzamelen en door te verzenden. Deze maatregel maakt het mogelijk om de toegang tot een dergelijk netwerk of opvallende patronen in het dataverkeer tussen IoT-apparatuur en het centrale bedrijfsnetwerk efficiënt te bewaken.
2. Zero trust als standaardbeveiliging: Geen enkel toegangsverzoek van een IoT-apparaat zou zonder een voorafgaande controle mogen worden verleend. Een standaard toegangscontrole draagt direct bij aan krachtiger beveiliging en voorkomt een wildgroei aan IoT-apparaten die toegang tot het bedrijfsnetwerk hebben.
3. Virtueel patchen: Een virtuele patch in een application firewall kan grip bieden op het dataverkeer van onbeheerde IoT-apparaten of apparatuur. Virtuele patches bieden een oplossing voor beveiligingsproblemen door middel van het afdichten op firewall-niveau van kwetsbaarheden waarvoor de fabrikant geen of nog geen beveiligingsupdate beschikbaar heeft gesteld.
4. Meldingen moeten direct worden opgevolgd: Afwijkende patronen in het netwerkverkeer moeten direct resulteren in de activering van beveiligingsmechanismen zoals firewalls, antivirusoplossingen, endpoint detection & response (EDR)-oplossingen en systemen voor identiteitsbeheer. Automatische back-ups in de vorm van snapshots en het automatisch blokkeren van systemen zodra er zich een vermeende cyberaanval voordoet maken het mogelijk om schade als gevolg van beveiligingsincidenten direct in te perken.
5. Een uitgebreide beveiligingsstrategie ontwikkelen: Voor IoT-systemen die geen deel van het bedrijfsnetwerk uitmaken, zouden IT-beheerders in theorie kunnen kiezen voor een lokale installatie van een NDR-sensor. Dit gaat echter gepaard met hoge kosten en aanzienlijke beheeroverhead. Er ligt daarom een belangrijke rol weggelegd voor andere beveiligingstechnologieë Zo kan een client van een endpoint detection & response (EDR)-oplossing directe bescherming bieden voor een onbeheerde router in een thuisnetwerk.
6. Beveiligingsincidenten analyseren ter voorkoming van toekomstige aanvallen: Nadat een NDR-oplossing samen met andere beveiligingstechnologieën een cyberaanval heeft afgewend, is het belangrijk om het incident te analyseren. Dit maakt het mogelijk om alle misbruikte beveiligingslekken in kaart te brengen en te dichten en daarmee nieuwe aanvallen te voorkomen. Een NDR-oplossing houdt een tijdslijn van het aanvalstraject bij en brengt al het dataverkeer van en naar IoT-apparaten in kaart. Artificial intelligence en machine learning kunnen aan de hand van deze informatie nieuwe aanvalspatronen in het dataverkeer modelleren die op een IoT-aanval kunnen duiden en daarmee bescherming bieden tegen toekomstige aanvallen.

Sporen in het dataverkeer herkennen

Het gebruik van IoT-apparatuur gaat gepaard met tal van beveiligingsrisico’s. IT-afdelingen met weinig personeel en technische middelen kunnen hierdoor al snel overweldigd raken. Maar er is ook goed nieuws: elke keer dat een IoT-apparaat het startpunt vormt van een aanval op systemen, applicaties en bedrijfsgegevens binnen de centrale IT-infrastructuur laat dat incident datasporen achter. Een NDR-oplossing kan met behulp van AI, machine learning en dreigingsinformatie een baseline van het reguliere dataverkeer ontwikkelen en bij afwijkingen alarm slaan en automatisch tegenmaatregelen in gang zetten. Dergelijke beveiliging is tegenwoordig ook voor kleine en middelgrote bedrijven een haalbare kaart.

Paul Smit is medeoprichter en CTO bij ForeNova Technologies