Beheer

Security
Beveiligers waken over de openbare ruimte

Verdeel en heers over IoT

Behandel internet of things als Griekse stadstaten: wees waakzaam, segmenteer, en bewaak.

© Shutterstock
23 maart 2020

Behandel internet of things als Griekse stadstaten: wees waakzaam, segmenteer, en bewaak.

Over de onveiligheid van het internet of things is al veel geschreven. De onveiligheid schuilt niet alleen in de ‘slimme dingen’ zelf, die op securitygebied nogal dom kunnen zijn. Deze domheid (en daarmee insecurity) is in de regel een gevolg van prijsbeleid: hoe goedkoper, hoe erger. In afwachting van IoT-keurmerken, beveiligingsstandaarden en leveranciers die hun leven beteren, kunnen en moeten IT’ers zelf maatregelen nemen.

De voornaamste trend bij IoT is lage prijs. Terwijl het spreekwoord ‘goedkoop is duurkoop’ al enkele generaties geleden bekend was, lijken we die wijsheid anno 2020 weer te zijn vergeten. Natuurlijk, door massaproductie, doorontwikkeling, just-in-timetoeleveringsketens en dito fabricage, groot inkopen, plus andere innovatie zijn prijzen omlaag te drukken. Maar beveiliging kent nu eenmaal een prijs, en IT-beveiliging een nog wat hogere prijs.

Omgaan met (onveilige) praktijk

Aan de leverancierskant valt er nog een wereld te winnen om tot veiligere IoT-devices te komen. Overheden werken aan IoT-keurmerken, consumentenbonden waarschuwen voor onveilige elektronica, techbedrijven ontwikkelen IoT-beveiligingsstandaarden, en securityonderzoekers onthullen kwetsbaarheden. Ondertussen moeten IT’ers maar zien om te gaan met de onveilige realiteit, aangejaagd door de populariteit – en veelbelovende mogelijkheden – van het internet of things.

Dit lijkt vechten tegen de bierkaai, maar het is geen hopeloos gevecht tegen zo goedkoop mogelijk gemaakte spullen die door leveranciers over de schutting worden gegooid. Het beveiligingswiel hoeft niet opnieuw uitgevonden te worden; security hoeft niet van nul af aan opgebouwd te worden. De onkunde, of prijsgedreven onwil, bij leveranciers valt deels te ondervangen, te mitigeren en te isoleren. Deels met beveiligingsmaatregelen die veel organisaties al in huis hebben.

“IoT is heel erg opkomend, omdat het klein en goedkoop is”, weet securityspecialist Jordi Scharloo van Bitdefender te vertellen. Die securityleverancier heeft in een een IoT-presentatie op de 2020-editie van de RSA Conference onder meer de onveiligheid van connected babyfoons belicht. Daarbij is er meer aan de hand dan ‘slechts’ de vrees van elke ouder dat hun kind begluurd wordt.

Cloudconnectie

Het gaat namelijk niet alleen om hackbare apparaten, maar ook om onveilige cloudplatformen waarmee de bewuste babycams zijn verbonden. Cloudconnecties én cloudconfiguraties blijken niet altijd goed beveiligd te zijn. Eén keer raakschieten bij een IoT-cloudplatform, en een hele productreeks valt te pakken te nemen.

Bovendien blijkt dat raakschieten best een grote kans te hebben. Bitdefender richt zich sinds 2017 meer op IoT-cloudplatformen en heeft diverse tekortkomingen ontdekt in de implementaties door IoT-leveranciers. De gevolgen zijn uiteenlopend: authenticatie valt te omzeilen, code valt op afstand uit te voeren, en er valt met apparaten te knoeien.

Centenkwestie

Onveiligheid van IoT komt neer op een kostenkwestie, aldus Scharloo. “Security by design, audits en firmwarefixes kosten allemaal geld.” Bij veel leveranciers op de prijsgerichte IoT-markt is dat geld er niet. Correcter: bij veel leveranciers kan dat geld niet besteed worden aan beveiliging, want dan prijzen ze zichzelf uit de markt. Hiermee is overigens niet gezegd dat duurdere IoT-apparaten per definitie veiliger zijn.

Het gaat overigens niet alleen om eigen software die makers van IoT-hardware ontwikkelen en leveren. Soms hebben ze dat weer uitbesteed, geeft de securityexpert aan. En maar al te vaak worden (opensource)componenten van derden gebruikt. Kwetsbaarheden daarin worden wel gefixt, maar vervolgens worden die fixes vaak weer niet door IoT-leveranciers doorgegeven aan hun gebruikers.

Soms is een nieuwere versie van een IoT-apparaat wél veiliger. Het updaten van reeds geleverde IoT-apparaten door leveranciers is uitzondering. Maar bij een nieuw apparaat nieuwe software meenemen, is minder uitzonderlijk. “Ja, vaak is er in een versie twee wel nieuwere software, zoals bijvoorbeeld een library.” De notie van IoT-apparaten als wegwerpproducten lijkt dus een logische conclusie.

Het kan echter wel schelen als de leverancier een grote naam is, met een bewezen staat van dienst. Scharloo benadrukt dat het om een trackrecord gaat: “Bijvoorbeeld al vijf jaar actief, met diverse producten.” Hij voert als tegenvoorbeeld nog aan dat minder bekende partijen bij ophef over onveilige producten die producten bein versie twee uitbrengen onder een nieuwe naam.

Securitystappen zetten

Tegenover deze praktijken lijkt de IT’er misschien wat machteloos te staan. Toch zijn er maatregelen die zij kunnen nemen. Te beginnen bij de basis: “Neem IoT mee in je securitybeleid”, adviseert Scharloo. Dit valt uiteen in twee componenten.

Ten eerste moet je als organisatie heel scherp zijn op je inkoopbeleid, legt hij uit. Controleer of je een goede leverancier hebt, dus net zoals voor reguliere IT-middelen. “Heeft je vendor een bugbountyprogramma, en een responsibledisclosurebeleid, en laat hij geregeld audits uitvoeren, en heeft hij een updatebeleid?” Vinkjes in antwoord op deze kritieke vragen schelen al een slok op de borrel.

Ten tweede moet je kijken naar de technische kant in je eigen IT-omgeving. Gebruik een IoT-whitelist, in plaats van een blacklist, voor applicaties, netwerkverbindingen en -poorten. Hanteer een patchbeleid voor IoT, waarbij je eventuele updates van de fabrikant netjes doorvoert. Wees tegelijkertijd ook waakzaam als er lange tijd géén updates zijn. “Dan moet je je even achter de oren krabben.” Het uitblijven van patches wil namelijk niet zeggen dat het apparaat in kwestie veilig is. Integendeel.

BYOD-beleid

Een simpele maar krachtige maatregel is het goed instellen van een apart wachtwoord voor een IoT-controlepaneel. In de praktijk is dat weleens hetzelfde gebleken als het accountwachtwoord van een IT-beheerder, vertelt Scharloo. Een andere quick win is het uitschakelen van het gebruiksvriendelijke protocol UPnP (universal plug and play) voor IoT-apparaten. Deze zijn dan minder makkelijk vindbaar voor ‘verse gebruikers’, maar dat valt in eigen IT-omgevingen wel te ondervangen.

Bij de technische maatregelen hoort ook nog het doorvoeren van netwerksegregatie voor IoT. “Vaak heb je dat al voor BYOD”, stelt Scharloo. Sterker nog: het BYOD-beleid (bring your own device) van een organisatie valt toe te passen op IoT, met eventueel wat specifieke wijzigingen. “Kopieer je BYOD-beleid naar je IoT”, zodat er niet van nul af aan opgebouwd hoeft te worden. Grotere organisaties hebben BYOD vaak al op orde, maar Scharloo erkent dat het bij kleinere organisaties nogal uiteen kan lopen.

Het belangrijkste bij netwerksegregatie is dat de als onveilig te beschouwen IoT-apparaten gescheiden moeten worden van de kritieke infrastructuur. Dit kan neerkomen op een nieuw, apart netwerk voor IoT-apparaten binnen je organisatie. Maar het kan ook IoT-gebruik van een BYOD-netwerk betekenen.

Blijf bewaken

Zijn bovenstaande maatregelen genomen, dan is de IoT-beveiliging er nog niet. De volgende stap is netwerkbeveiliging: monitoring. Er kan ondanks de eerder genomen maatregelen nog altijd iets mis zijn, waarschuwt Scharloo. Het is zaak om netwerkverkeer in de gaten te houden, en dat dan dus op gedrag. Door versleutelde verbindingen valt er immers niet altijd ín het dataverkeer te kijken.

Het gaat dus om gedragingen. “Zijn er bijvoorbeeld ineens diverse connecties buiten kantooruren?” En gebeurt dat door een IoT-apparaat dat normaliter zijn functie tijdens werkdagen vervult? “En waar gaan die connecties heen?”

Wat verbindingen betreft, heeft Scharloo nog een advies, vóór keuze van IoT-apparaten. Vermijdt IoT die direct cloud-connected is. Daarmee valt weliswaar een groot deel van het IoT-aanbod af, maar voor zakelijke toepassingen zijn er zeker nog opties die ingericht zijn op connectiviteit met of via een lokale server. Dit geeft IT’ers grip op de gegevensstromen.

Buiten de deur maar toch binnen

Een ontnuchtendere realisatie is nog wel dat IoT niet altijd in handen van organisaties zelf is. Bij nieuwbouw van gebouwen worden er nogal eens slimme systemen verwerkt in panden waar dan later bedrijven in trekken. Begin vorig jaar is al gebleken dat ruim 1.300 gebouwen in Nederland kwetsbaar zijn, haalt Scharloo aan. De oorzaak hiervoor was dat de veelgebruikte maar onveilige KNX-standaard wordt verbonden met internet. “Je hebt nooit honderd procent beveiliging.”

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (maartnummer, 2020). Wil je alle artikelen uit dit nummer lezen, klik dan hier voor de inhoudsopgave.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.