Multe organizatii au inceput deja sa adopte si sa integreze in infrastructura lor dispozitive de tip IoT (Internet of Things) care sa simplifice activitatea angajatilor sa eficientizeze task-urile de rutina si sa introduca un grad suplimentar de securitate si de rezilienta. Integrarea acestei noi categorii de dispozitive mareste suprafata de atac a organizatiei si aduce cu sine si o serie de provocari, printre care si inrolarea dispozitivelor in ecosistemul organizatiei si securizarea lor.
Dispozitivele IoT pot fi reprezentate de camera video de supraveghere, tablete de rezervare a salilor (room booking), lumini inteligente, asistenti digitali, senzori de mediu si de automatizare, televizoare, echipamente de HVAC si lista poate continua cu multe alte exemple, intrucat IoT-ul este un univers extrem de vast si de cuprinzator. Orice echipament electronic care are o conexiune la retea poate fi clasificat ca un dispozitiv IoT. Echipamentul devine un asset mult mai important daca are si conectivitate in Internet, intrucat riscul de a fi compromis este mult mai ridicat. Avand aceasta eterogenitate in interiorul organizatiei, munca departamentului IT devine destul de dificila in termeni de securitate.
De ce trebuie protejate dispozitivele IoT?
Multe dispozitive IoT se concentreaza sa ofere anumite functionalitati utilizatorului, bugetul alocat pentru securitate fiind secundar sau uneori lipsind cu desavarsire. In cele mai multe cazuri, producatorul nu va oferi la timp (in unele cazuri chiar deloc) patch-uri si update-uri de firmware care sa rezolve vulnerabilitatile identificate, expunand organizatia la potentiale brese de securitate.
Mai mult, organizatia insasi poate fi un actor in atacurile lansate asupra altor companii. Echipamentele IoT compromise pot fi incluse intr-o retea de tip zombie/botnet si pot fi folosite de hackeri la atacarea altor organizatii. In 2021 74% din atacturile lansate asupra dispozitivelor de tip IoT au folosit reteaua de botnet Mozi. Compromiterea unui dispozitiv IoT este de obicei doar o etapa dintr-un atac mai complex care poate avea ca obiect exfiltrare de informatii si instalarea unui ransomware in reteaua companiei.
Atacatorii incep de obicei identificarea posibilelor tinte prin scanarea unor adrese IP cu tool-uri precum Shodan (un motor de cautare pentru dispozitive IT conectate la Internet). Apoi, in functie de vulnerabilitatile gasite, ramane la latitudinea atacatorilor care va fi urmatorul pas: dezactivarea dispozitivului, instalarea de cod de tip spyware sau de malware aditional , inrolarea dispozitvului intr-o armata botnet, etc.
Protejarea dispozitivelor IoT
Daca atactorii reusesc sa compromita dispozitivele IoT, organizatia poate suferi consecinte serioase, mai ales daca este vorba de dispozitive de tip Industrial IoT care controleaza procesul de productie dintr-o fabrica, uzina, statie de tratare a apei, centrala electrica, etc. Intreruperea/inchiderea activitatii din fabrica, exfiltrarea de informatii, spionaj industrial, ransomware, toate acestea pot reprezenta realitatea de a doua zi daca nu se implementeaza masurile de securitate necesare.
Protejarea dispozitivelor IoT trebuie sa se faca aplicand aceleasi principii de securitate ca si pentru celelalte tipuri de dispozitive folosite de organizatie.
Dispozitivele IoT trebuie sa fie separate de restul infrastructurii prin plasarea lor intr-un alt VLAN/subnet fata de cele folosite pentru utilizatori, servere si aplicatii. Accesul in interiorul organizatiei trebuie sa fie permis doar unde este strict necesar. Accesul la Internet trebuie sa fie controlat de un firewall, de exemplu Cisco Secure Firewall care sa verifice fiecare conexiune initiata de dispozitivul IoT. Accesul ar trebui sa fie limitat doar la serviciile strict necesare pentru functionarea dispozitivului. Traficul generat de dispozitivele IoT ar trebuie sa fie inspectat, prin feed-uri de security inteliigence, pentru a vedea destinatiile (adrese IP/domenii) cu care se incearca stabilirea unei conexiuni (ajuta la identificarea potentialelor servere de CnC ale atacatorilor) si scanat conform semnaturilor de tip IPS pentru a identifica pachete de date malitioase. Daca un dispozitiv IoT a fost compromis, este foarte importanta identificare acestuia si izolarea lui de restul retelei inainte sa se reuseasca infectarea altor dispozitive. Pentru a identifica o potentiala propagare laterala, traficul facut in interiorul organizatiei trebui si el scanat cu o solutie precum Cisco Secure Network Analytics. De exemplu, de ce camera video de supraveghere scaneaza reteaua pentru portul TCP 445 (binecunoscutul SMB folosit adesea in propagarea ransomware-ului si a altor tipuri de malware)? Astfel de comportamente trebuie sa fie identificate rapid, iar accesul la retea pentru acel dispozitiv trebuie sa fie restrictionat sau eliminat complet, folosind o solutie de network acces precum Cisco ISE.
Dendrio Solutions impreuna cu Cisco va pot oferi solutiile potrivite organizatiei dumneavoastra care sa va permita integrarea dispoztivelor IoT in infrastructura IT fara a face compromisuri in termeni de securitate.
Mihai Dumitrascu, Sr Systems Engineer
