Van DevOps naar FieldOps, voorbij Secure by Design
Secure by Design is een populaire aanpak om ontwikkelaars te beïnvloeden veilige software te maken. Toch volstaat deze methodiek niet voor het snelgroeiende Internet of Things (IoT), omdat fabrikanten nog steeds onveilige IoT-apparaten ontwerpen, produceren en leveren, zonder adequate remote security. Zij denken nog vaak te laat aan de benodigde beveiliging en borgen deze onvoldoende in hun ontwerp- en ontwikkelprocessen.
De afgelopen jaren zijn er miljoenen IoT-apparaten op de markt geïntroduceerd zonder dat er tijdens het ontwikkelingsproces effectieve beveiligingsmaatregelen aan zijn toegevoegd. Daardoor zijn er incidenten geweest die IoT-apparaten een onveilig imago hebben bezorgd.
Secure by Design heeft fabrikanten, ontwikkelaars en verkopers sindsdien wel aangespoord om cybersecurity als een essentieel ontwikkelaspect te gaan beschouwen. Het is echter slechts een onderdeel van de bredere beveiliging die binnenkort gangbaar wordt.
IoT-beveiliging na DevOps
IoT-apparaten krijgen nog lang na de ontwerpfase gedurende hun totale levenscyclus te maken met cyberdreigingen. Alleen daarom is er al meer dan Secure by Design nodig om het IoT goed te kunnen beveiligen. Als security tijdens het ontwerp wordt ingebouwd zijn de betreffende IoT-apparaten meestal goed te updaten, alleen hoe veilig is dat proces?
Software-updates kunnen net zo goed risicovol zijn, omdat kwaadwillenden malware ook vermommen als gewone updates in hun pogingen om de controle over apparaten te krijgen. Daarom moeten IoT-beveiligingsoplossingen ook functionaliteit bevatten om de integriteit van firmware en data op apparaten te blijven waarborgen in elke fase van de levenscyclus.
Omgaan met schaalgrootte
Één van de grootste uitdagingen voor IoT-beveiliging is de schaalgrootte van het aantal toepassingen waarvoor IoT-apparaten worden gebruikt. Vaak gaat het om vele honderden, duizenden en op termijn zelfs miljoenen verbonden apparaten, sensoren en systemen.
Het managen van de wildgroei aan IoT-apparaten is moeilijk en kan tot fouten leiden, zoals verlopen certificaten zonder dat het securityteam dit weet, mislukte updates en Zero Days die ontstaan. Als het securityteam dat soort fouten niet kan ontdekken en oplossen, krijgen aanvallers de kans om apparaten te misbruiken voor bredere toegang tot een netwerk.
Een aanvaller hoeft vaak maar één apparaat te hacken om voet aan de grond te krijgen in een compleet netwerk, maar het securityteam moet alle apparaten in de gaten houden. Gezien de schaalgrootte van veel IoT-implementaties is dat onmogelijk nog handmatig te doen, zonder het risico te lopen kwetsbaar te worden voor beveiligingslekken.
Bij het uitbreiden van IoT-toepassingen is het belangrijk dat het betrokken securityteam de juiste tools krijgt om de infrastructuur op een flexibele en transparanten wijze te beveiligen. Zoals de mogelijkheid om certificaten in te trekken en te vernieuwen, apparaten te updaten, patches te versturen en het aantal kwetsbaarheden te verminderen.
Diversiteit aan omgevingen
Een andere uitdaging voor IoT-beveiliging is de enorme diversiteit aan omgevingen waarin IoT-apparaten worden gebruikt. Elke netwerkinfrastructuur heeft namelijk eigen specifieke risico's, behoeften en overwegingen en daarom moet effectieve IoT-beveiliging op alle mogelijke risico's kunnen inspelen.
De meeste consumentenapparaten maken deel uit van een thuisnetwerk, zoals met het Internet verbonden deurbellen, keukenapparatuur en steeds meer voertuigen. In bedrijven worden IoT-apparaten en sensoren opgenomen in al bestaande netwerken met specifieke securitycontroles en -oplossingen. Medische apparatuur en IoT-apparaten in de industrie worden als bedrijfskritisch beschouwd en daarom vaak geïsoleerd van het open internet, waardoor weer andere beveiligingsbehoeften ontstaan.
Bescherming van apparaten in het veld
Zodra het gaat om de beveiliging van IoT-toepassingen, worden we geconfronteerd met de uitdagingen van het beheren van vele duizenden apparaten en alle specifieke eisen van de omgevingen waarin ze worden gebruikt.
Een belangrijke eis voor effectieve beveiliging is dat men beschikt over de volledige controle en inzicht in alle apparaten om mogelijke kwetsbaarheden al bij het ontstaan aan te kunnen pakken. Wanneer er beveiligingsincidenten gebeuren bij grote IoT-implementaties is er ook transparantie om de gevolgen te kunnen overzien en de oorzaak tot aan de bron te kunnen traceren. Inclusief een oplossing om het incident op apparaatniveau tegen te houden. Als er bijvoorbeeld een certificaat vervalt moet het gebruik daarvan inzichtelijk te maken zijn om het betreffende certificaat tijdig in te trekken en te vernieuwen.
Het beveiligen van IoT begint met het toekennen van een digitale identiteit aan elk apparaat en het beschermen ervan door een certificaat. Dan is elk apparaat centraal te identificeren, te authenticeren en te beheren, wat de controle en transparantie biedt die nodig is om de betreffende IoT-apparaten tijdens hun gehele levenscyclus te beveiligen.
Automatisering gaat hierbij een sleutelrol spelen, omdat de meeste IoT-netwerken veel te groot zijn om handmatig te controleren. Het automatiseren van de IoT-beveiliging biedt organisaties het benodigde vertrouwen om te kunnen profiteren van alle voordelen van IoT, terwijl ze zich goed beschermen tegen de risico’s van grote en complexe implementaties.
IoT-beveiliging moet mee evolueren met bedreigingen
Secure by Design is een belangrijke fundering voor het beveiligen van IoT. Cyberdreigingen kunnen echter op elk moment tijdens de levenscyclus van een apparaat ontstaan. Om deze risico's te minimaliseren, is het verstandig dat de beveiligingsverantwoordelijke zorgt voor een goed inzicht en controle over alle apparaten en automatisering van het dagelijks beheer. Effectieve beveiliging is flexibel, schaalbaar en kan evolueren als bedreigingen veranderen. Daarom is het nodig dat de IoT-beveiliging van DevOps doorloopt tot en met de FieldOps.
Mike Nelson is VP IoT Security bij DigiCert.
Meer over
Lees ook
Rotterdamse haven vraagt ethische hackers kwetsbaarheden te melden
Het Havenbedrijf Rotterdam lanceert een responsible disclosure-programma. Ethische hackers die zwakheden in havensystemen ontdekken kunnen de kwetsbaarheden via het programma melden aan het havenbedrijf. "Bij Havenbedrijf Rotterdam N.V. vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze syste1
'Behoefte aan security professionals is hard gestegen'
Bedrijven hebben afgelopen jaar aanzienlijk meer behoefte gehad aan security professionals dan vorig jaar. De hoeveelheid vacatures voor security experts nam met maar liefst ruim 40 procent toe. Dit blijkt uit cijfers van detacheringsbureau Yacht. Het aantal beschikbare vacatures voor beveiligingsprofessionals kwam in het jaar 2012 uit op 698. Di1
Jailbreak voor iPhone, iPad en iPod touch bevat een backdoor
Door een iPhone, iPad of iPod touch te jailbreaken kunnen gebruikers hun rechten op het apparaat vergroten. Dit stelt hen in staat via de jailbreak-appwinkel Cydia allerlei software op hun apparaten te installeren die niet zijn goedgekeurd voor Apple's App Store. Dit is echter niet zonder gevaar. Versie 1.0.3 van de jailbreak Evasi0n blijkt nameli1