10 simpele tips om IoT-kwetsbaarheden te beperken
IT-professionals gaan met sommige gadgets de mist in als ze deze IoT-apparaten op het netwerk toelaten. Een handige, korte lijst met tips die de schade van meest voorkomende IoT-problemen beperken. Deze tien suggesties komen van de Online Trust Alliance, een onderdeel van de Internet Society. Het gaat de groep vooral om vergroting van bewustwording en het beperken van toegang op apparaten die minder goed beveiligd zijn. Een apparaat dat onbetrouwbaar is, maar door gebruikers wordt geëist kan bijvoorbeeld op een gesegmenteerd IoT-netwerk worden geplaatst om te voorkomen dat bij een aanval kwaadwillenden toegang krijgen tot bedrijfskritieke assets.
De Online Trust Alliance (OTA) is in 2005 ontstaan als een branchevereniging om e-mailgebaseerde beveiligingsproblemen en spam aan te pakken. De doelen van de groep zijn dertien jaar verder een stuk breder geworden en de groep richt zich op beveiliging van allerlei technologieën die gevolgen hebben op het vertrouwen van mensen in internetapplicaties. De OTA is sinds vorig jaar een officiële tak van de bredere Internet Society.
Een succesvolle IoT-strategie draait om het besef dat nieuwe apparaten, vooral als ze buiten IT om worden geplaatst, nog vaak kwetsbaar zullen zijn totdat we beveiliging gaan eisen en met de portemonnee stemmen door geen onbeveiligde rommel meer toe te staan. Misschien is dat een utopie en zelfs als dat niet het geval is, zal het even duren voordat we dit tijdperk bereiken.
We kunnen daar als IT’ers weinig aan veranderen, of veranderen hoe consumenten omgaan met hun gadgets. Maar in plaats van een fatalistische houding, kunnen we beter kijken naar hoe we tenminste ervoor zorgen dat ons eigen netwerk niet wordt aangevallen via een apparaat dat we liever kwijt dan rijk zouden zijn. Met dat in het achterhoofd deze tips:
- Zoek uit en documenteer: alles wat aan het netwerk komt, inclusief geassocieerde backend- of clouddiensten, moet onderzocht zijn voordat het aan een productie-omgeving wordt toegevoegd.
- Het is een goed idee om een gescheiden netwerk te hebben voor IoT-apparaten, met firewall en zorgvuldige montitoring. Potentieel onbeveiligde apparaten moeten gesegmenteerd zijn van kernelementen en resources van het netwerk.
- Schakel features die niet nodig zijn uit. De OTA geeft het voorbeeld van een smart-tv die als scherm wordt gebruikt, wat betekent dat je de microfoon en zelfs internettoegang kunt uitschakelen.
- Ieder wachtwoord van elk apparaat moet worden geconfigureerd. Standaardwachtwoorden zijn uit den boze en apparaten met een niet te wijzigen wachtwoord mag niet worden gebruikt. De rechten moeten zo klein mogelijk zijn.
- Let op de mogelijkheden voor fysieke aanvallen. Alles wat hardwarematig is te resetten, een actieve poort of een standaardwachtwoord heeft, is met de hand eenvoudig te kapen.
- Gadgets die automatisch verbinden met een open wifi-netwerk zijn een slecht idee. Zorg ervoor dat ze dit niet kunnen doen.
- Als het niet mogelijk is om al het binnenkomende verkeer te blokkeren vanwege de functionaliteit van het IoT-apparaat, zorg er dan voor dat er geen open poorten zijn die een aanvaller kan gebruiken om ze te benaderen.
- Versleuteling is een groot goed. Als er een manier is om encryptie toe te passen op binnenkomend en uitgaand verkeer, doe dat meteen.
- Zorg ervoor dat apparaten regelmatig worden gepatcht, als updates niet automatisch worden uitgerold, controleer dan op een vast moment elke maand of er updates zijn. Apparaten die niet gepatcht kunnen worden, mag je niet toestaan.
- In diezelfde lijn: producten die niet meer worden ondersteund door de fabrikant moeten ook worden geweerd, omdat ze niet meer kunnen worden beveiligd.