Beheer

Security
Internet of Things

Zo beperk je IoT-beveiligingsrisico's zowel thuis als op kantoor

Nederland doet IoT-beveiliging goed, maar het kan altijd beter. 

21 oktober 2021

Nederland doet IoT-beveiliging goed, maar het kan altijd beter. 

Het aantal apparaten dat met het internet verbonden is, groeit snel. Daarmee groeien ook de risico's: hoe meer apparaten er aan het internet hangen, hoe groter het aanvalsoppervlak wordt. En hoewel Nederlandse IT-beslissers volgens onderzoek van securityspecialist Palo Alto Networks goed omgaan met de beveiliging van Internet of Things-apparaten, zijn er altijd nog verbeteringen mogelijk. Tijdens de presentatie van het onderzoek deelde Palo Alto-CSO Jesper Olsen acht tips om risico's zoveel mogelijk te beperken. 

Volgens onderzoek van Techjury  zijn er in 2030 wereldwijd maar liefst 125 miljard apparaten op het internet aangesloten, de zogeheten Internet of Things- (IoT-)apparaten. Maar aan die apparaten kleven nog behoorlijk wat risico's, vertelde directeur-hoofdinspecteur Angeline van Dijk van het Agentschap Telecom eerder dit jaar. “Uit onderzoek blijkt dat 57% van de IoT-apparaten kwetsbaar zijn voor medium of high risk-aanvallen.” Bovendien zijn er nog geen echte regels over de beveiliging van dit soort apparaten: de Europese Commissie is nog bezig met het opzetten van een keurmerk voor IoT devices. Dat keurmerk is er op zijn vroegst pas in de zomer van 2024. 

Tot die tijd zijn bedrijven dus vooral zelf verantwoordelijk voor de beveiliging van dergelijke apparaten en het beperken van risico's. Dit kan bijvoorbeeld door het netwerk te segmenteren, waarmee voorkomen wordt dat aanvallers via IoT-apparaten in het hele bedrijfsnetwerk kunnen komen. Volgens onderzoek van Palo Alto Networks onder 1.900 IT-besluitvormers in achttien landen wereldwijd is Nederland daarin koploper: 84% van de respondenten hier zegt dat IoT-apparaten gesegmenteerd worden. Wereldwijd is dat gemiddeld 77%, in Europa 72%. 

Maar er zijn meer stappen die bedrijven én werknemers thuis kunnen nemen om de risico's te beperken. CSO Jesper Olsen deelt acht tips. 

Werknemers: leer de router kennen

Nu veel mensen thuiswerken, ontstaan ook bij mensen thuis risico's voor zakelijke netwerken. Het wifi-netwerk thuis - waar vaak ook IoT-apparaten op aangesloten zijn - maakt immers verbinding met het bedrijfsnetwerk. Olsen adviseert daarom om ook thuis maatregelen te nemen om risico's te beperken, wat begint met het beter leren kennen van de router. "Het is niet genoeg om simpelweg de router die je van de provider krijgt aan te sluiten. Je bent verantwoordelijk voor alle apparaten die je gebruikt. Dus verander alles wat standaard ingesteld is, zoals de wachtwoorden. En versleutel je netwerk door te upgraden naar WPA3 Personal of WPA2 Personal."

Wat is verbonden?

Deze tip geldt zowel voor werknemers als voor bedrijven: zorg dat je weet wat er allemaal met het netwerk verbonden is. Uit het onderzoek van Palo Alto blijkt dat daar soms best gekke dingen bij kunnen zitten: een kwart van de Nederlandse respondenten gaf zelfs aan dat er IoT-apparatuur voor huisdieren op het zakelijk netwerk gevonden is. Dergelijke apparatuur is niet altijd goed beveiligd en kan dus een risico vormen voor zowel het bedrijfsnetwerk als het thuisnetwerk van de werknemer. 

Werknemers zelf kunnen alle met het internet verbonden apparaten in kaart brengen via de webinterface van de router. Daar is vaak een lijst te vinden van de apparaten en kunnen gebruikers devices die onbekend zijn of die niet langer gebruikt worden uit het netwerk verwijderen. Ook wordt geadviseerd om het beheer op afstand uit te schakelen bij apparaten waar dit niet voor nodig is. 

Bedrijven kunnen dit ook doen, maar ook gebruikmaken van een IoT-beveiligingsoplossing. "Een effectieve IoT-beveiligingsoplossing kan ontdekken hoeveel apparaten er precies met het netwerk verbonden zijn, inclusief de devices waar je zelf niet van op de hoogte bent of die je bent vergeten." Palo Alto adviseert om constant te volgen welke apparaten er op het bedrijfsnetwerk aanwezig zijn, zodat eventuele risico's direct beperkt kunnen worden. 

Werknemers: segmenteer het thuisnetwerk

Niet alleen het bedrijfsnetwerk heeft baat bij segmentatie, maar het thuisnetwerk ook. Op die manier wordt voorkomen dat aanvallers of malware via IoT-apparaten op het gehele netwerk terecht kunnen komen. De gemakkelijkste manier om het thuisnetwerk te segmenteren is om een gastnetwerk aan te maken en de IoT-apparaten daarop te zetten.

Bedrijven: implementeer zero trust

Bij een zero trust-aanpak wordt in principe geen enkel apparaat vertrouwd en wordt altijd alles geverifieerd. Olsen adviseert om deze aanpak ook in te zetten bij IoT-omgevingen. Dat betekent dus dat IoT-apparaten zo min mogelijk privileges krijgen. Palo Alto adviseert om vervolgens een IoT-beveiligingsoplossing in te zetten die samenwerkt met de al bestaande firewall. Op die manier kan een beveiligingsoplossing op basis van het risiconiveau en de detectie van niet-vertrouwd gedrag in IoT-apparaten automatisch aanbevelingen doen en beveiligingsbeleid uitvoeren.

Bedrijven: zoek preventie voor divers landschap

Het uiteindelijke doel is natuurlijk om problemen op het netwerk te voorkomen. Maar omdat er allerlei verschillende soorten IoT-apparaten zijn - zoals beveiligingscamera's, koffiezetapparaten en slimme verlichting - ontstaat er een erg diverse omgeving op het netwerk, met allerlei punten die gecompromitteerd kunnen worden.

Daarom raadt Palo Alto aan om een preventiemechanisme te zoeken dat payload-based signatures gebruikt om geavanceerde dreigingen voor IoT-apparaten te blokkeren. Payload-based signatures detecteren niet naar attributen van een bestand, maar detecteren patronen in de content van een bestand. Eén signature kan daardoor tienduizenden varianten van dezelfde malwarefamilie blokkeren. 

Bedrijven: detecteer en reageer snel

Mocht het dan toch fout gaan, dan is het van groot belang om de aanval zo snel mogelijk te detecteren en te reageren. Er zijn beveiligingsoplossingen die real-time malware-analyses en bescherming tegen zerodays kunnen bieden via threat intelligence engines in de cloud. Dit biedt securityteams belangrijke informatie als risicoscores, gegevens over de kwetsbaarheid en gedragsanalyses, waardoor zij sneller onbekende dreigingen voor de IoT-omgeving kunnen onderzoeken. Op die manier wordt een dreiging sneller gedetecteerd en aangepakt. 

Werknemers: Gebruik tweestapsverificatie

Het is een tip die door vrijwel alle beveiligingsexperts gegeven wordt, dus ook door Palo Alto Networks: gebruik tweestapsverificatie. "Als een apparaat tweestapsverificatie (een wachtwoord met iets anders, zoals een code die naar je telefoon verzonden wordt of een vingerafdrukscan) biedt, gebruik dat dan", aldus het bedrijf.

Update, update, update

Een andere veelgehoord advies is om beveiligingsupdates te installeren, zowel op IoT-apparatuur als op de router. "Zorg dat je weet waar je apparaten vandaan komen. Wie maakt die apparaten? Hebben zij updates die geïnstalleerd moeten worden?"

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.