Palo Alto Networks: ‘Bedrijven zijn nog altijd niet klaar om IoT te beveiligen’
Er komen steeds meer IoT-apparaten op het bedrijfsnetwerk, en dat is daar lang niet voor klaar. Dat schrijft het onderzoeksteam van Palo Alto Networks in zijn IoT Security Report voor 2020.
Het rapport, dat in september werd uitgebracht, bekijkt de dreiging van genetwerkte toestellen voor grote bedrijven, en hoe CIO’s daar tegenaan kijken. Voor het rapport bevroeg onderzoeksbureau Vanson Bourne, in opdracht van beveiliger Palo Alto Networks, 1.350 IT-directeuren in 14 landen wereldwijd, waaronder in Europa. De grote meerderheid daarvan (95%) geeft aan dat ze denken een goed overzicht te hebben van IoT-toestellen in hun netwerk. Ze zien het aantal toestellen niet alleen groeien, er komen ook steeds meer verschillende toestellen op het netwerk. Zo noteert het rapport dat niet alleen de desktops, smartphones en sensoren die je kan verwachten hun weg naar het bedrijfsnetwerk vinden, maar ook genetwerkte auto’s, draagbare medische toestellen en zelfs genetwerkt speelgoed.
“De netwerken in grote bedrijven zijn vaak heel organisch tot stand gekomen. Die hebben een vlakke structuur en bieden toegang tot zowat elk type toestel. Zo krijg je natuurlijk security breaches“, zegt Sergej Epp, chief security officer Central Europe bij Palo Alto Networks aan Data News. Het zijn daarbij trouwens niet alleen de toestellen die werknemers zelf binnenbrengen, die voor problemen kunnen zorgen, gaat hij verder. “Als je bedrijf een nieuw gebouw heeft, komt daar meestal veel IT-materiaal bij. Dat gaat van de lift tot de lichtschakelaars die genetwerkt zijn. Die moeten dan ook beveiligd worden.”
Niet klaar
En die beveiliging, daar blijkt het IT-departement meestal niet klaar voor. Vier jaar nadat het Mirai botnet duizenden Internet of Things-toestellen inzette om een deel van het wereldwijde web plat te leggen, zegt 41% van de respondenten dat ze nog veel verbeteringen moeten maken aan de security van IoT. Voor 17% is zelfs een volledige herwerking nodig.
Volgens Palo Alto Networks zelf is 57% van de IoT-toestellen op de markt kwetsbaar voor aanvallen. Dat hun aantal gestaag groeit, kan dus als een probleem gezien worden. Amper 4% van respondenten denkt dat hun infrastructuur en huidige securitymaatregelen genoeg zijn om deze toestellen te beveiligen. “Je ziet dat bepaalde toestellen kwetsbaar zijn, en het ook onmogelijk wordt om daarvoor endpoint security te installeren”, zegt Epp. “Er zijn toestellen waarvan de makers zelfs geen patches uitbrengen, dan wordt het wel erg moeilijk om die te beveiligen. Denk bijvoorbeeld aan enkele smartwatches die Duitsland niet binnen mogen omdat we weten dat ze kwetsbaar zijn, maar er geen oplossing voor uitkomt.”
Wat doe je daar dan aan? Een klassieker is segmentatie, waarbij IoT-toestellen op een apart netwerk worden gezet, zodat eventuele aanvallers niet van zo’n toestel naar de rest van het netwerk kunnen overspringen. Ongeveer een vierde van de respondenten (24%) zegt dat IoT-toestellen gewoon op het bredere netwerk staan, en dus niet in hun eigen aparte netwerk. Zo’n vijfde (21%) zet ze in een eigen microzone met extra controles. “Die microsegmentatie gaat nog een stap verder dan de klassieke netwerksegmentatie”, legt Epp uit. “Je gaat dan kijken naar specifieke workloads die in een eigen secure zone staan. Dat zijn dan bijvoorbeeld de endpoint computers van een kantoor, specifieke servers of in de cloud kan je een container segmenteren en zorgen dat die alleen met specifieke andere containers kan praten.”
Met een landschap dat de voorbije maanden stevig veranderd is, moet ook de beveiliging mee, zegt Epp nog. “Het belangrijkste dat je kan doen is visibiliteit rond die toestellen creëren. Hoeveel heb je er, welke zijn dat, en dan groepen van die toestellen segmenteren, misschien zelf een apart netwerkje creëren voor één toestel. Het voordeel van dat te doen met IoT is dat die meestal erg statisch zijn in hun gedrag en dus makkelijker af te schermen zijn. Een beveiligingscamera moet alleen beelden sturen naar de server waar die verwerkt worden, dat is niet zoals een laptop van een werknemer die in verschillende plekken op het netwerk moet zijn.”
Fout opgemerkt of meer nieuws? Meld het hier