Am 21. Oktober 2016 nahm ein IoT-Sicherheitsfehler einen großen Teil des Internets für etwa einen Tag offline. Der Täter? Ein mittlerweile berüchtigtes Botnet – eine bösartige Traffic-Lawine oder ein DDoS-Angriff (Distributed Denial of Service) – hat angerufen Mirai. Die Malware fand Zehntausende von Verbraucher-IoT-Geräten, die immer noch mit Standardpasswörtern laufen. Mirai hatte diese Passwörter.
Sobald es die Kontrolle über die Geräte hatte, mobilisierte Mirai sie als Armee von Bots. Die Gruppe hinter dem Angriff richtete die Bots auf einen Top-Anbieter von Domain Name System (DNS), offenbar in einem Versuch, dies zu tun niederschlagen das Playstation-Netzwerk. Als nächstes waren Reddit, Netflix und Twitter stundenlang nicht verfügbar.
Die gleiche Art von Verletzung könnte Hackern freie Hand über geschäftliche IoT-Systeme geben, mit potenziell katastrophalen Auswirkungen, von gestohlenen Daten bis hin zu Ransomware und Schlimmerem. Es passiert. Cyberangriffe auf IoT-Geräte haben sich zwischen dem ersten Halbjahr 2020 und 2021 mehr als verdoppelt, so ein Sicherheitsunternehmen Kaspersky gegenüber Threatpost.
Aber es gibt auch gute Neuigkeiten: Die 60 Prozent + der Unternehmen, die auf IoT setzen, sind nicht machtlos, sich selbst zu schützen. Die Cybersicherheit im IoT hat sich seit 2016 stark weiterentwickelt. Stellen Sie einfach sicher, dass Sie IoT-Partner auswählen, die modernste Abwehrmaßnahmen nutzen.
Heutzutage laufen viele IoT-Systeme auf Self-Service-Plattformen, die es allen Geschäftsanwendern ermöglichen, angepasste IoT-Anwendungen zu erstellen ohne von Grund auf neu zu entwerfen. Also wie entscheidest du dich welche Plattform angesichts von Sicherheitsbedrohungen die größtmögliche Sicherheit bietet?
Stellen Sie Anbietern diese fünf IoT-Sicherheitsfragen. Ihre Antworten werden zeigen, ob sie den heutigen Best Practices für IoT-Sicherheit folgen oder ob Sie weiter suchen sollten.
5 IoT-Sicherheitsfragen, die Sie IoT-Plattformanbietern stellen sollten
Sie können herkömmliche IT-Sicherheitsstrategien nicht auf IoT-Systeme anwenden. Da jedes Gerät ein potenzieller Angriffsvektor ist, erfordert dieses neue Paradigma neue Ansätze zur Cyberabwehr. Um das Sicherheitsniveau einer IoT-Plattform zu bewerten, führen Sie ein Interview mit Anbietern – und beginnen Sie mit diesen fünf IoT-Sicherheitsfragen:
1. Was ist Ihr allgemeines Sicherheits-Framework?
Cybersicherheit ist ein robustes Feld mit etablierten Strategien zur Schaffung zuverlässiger Abwehrmaßnahmen. Ihr IoT-Plattformanbieter sollte in der Lage sein, diese Strategien zu beschreiben. Die Agentur der Europäischen Union für Netz- und Informationssicherheit empfiehlt a Verteidigung in der Tiefe Ansatz, bei dem mehrere Verteidigungsebenen Angriffe stoppen; Wo ein Sicherheitsperimeter versagt, das Konzept hält, bleibt ein anderer bestehen.
Defense-in-Depth ist eng mit IoT-Systemen verknüpft, in denen Sie (und Ihr Plattformanbieter) mindestens drei Sicherheitsebenen aufrechterhalten müssen:
- Schutz der Geräte selbst, einschließlich Hardware, Software und Netzwerkkonnektivität
- Schutz der IoT-Cloud, einschließlich der Verwaltungsebene und des Datenzugriffs
- Einhaltung der Datenschutzgesetze, einschließlich, abhängig von Ihrem Standort, der Datenschutz-Grundverordnung (DSGVO), lokaler Gesetze und Branchenzertifizierungen
Um diese mehreren Schutzebenen bereitzustellen, können Entwickler von IoT-Plattformen die Standards von Zertifizierungen wie z ISO 27001 oder folgen Sie einem DevSecOps-Programm (Entwicklung, Sicherheit und Betrieb), das Sicherheit in jeden Schritt des Entwicklungsprozesses integriert. Sie könnten beides tun oder noch einen anderen Ansatz wählen. Fragen Sie im Zweifelsfall nach.
Microsoft hingegen empfiehlt Zero-Trust-Prinzipien für IoT-Sicherheit. Dieser Verteidigungsrahmen geht davon aus, dass alle Anfragen schuldig sind, bis ihre Unschuld bewiesen ist; Es erfordert eine strenge Überprüfung, bevor der Zugriff gewährt wird.
Beachten Sie, dass Defense-in-Depth und Zero-Trust sich nicht gegenseitig ausschließen. Starke Sicherheit in einer IoT-Plattform kann Elemente von beidem beinhalten. In der Tat, eine dritte Strategie –Sicherheit durch Design– umfasst die gleichzeitige Integration mehrerer Sicherheitsrichtlinien, wobei Sicherheit als ganzheitliche Anforderung über das gesamte System und seinen Lebenszyklus betrachtet wird.
2. Wie aktivieren Sie Sicherheitsfunktionen in der Plattform?
Das ist so etwas wie eine Fangfrage. Idealerweise sollten Sicherheitsfunktionen standardmäßig aktiviert sein. Ebenso sollten Gerätefunktionen, die potenzielle Schwachstellen öffnen, deaktiviert werden, bis Sie absolut sicher sind, dass Sie sie benötigen.
In diesem Zusammenhang sollten Standardpasswörter zunächst robust sein. Sie sollten auch Passwörter und Benutzernamen vor der Bereitstellung ändern – eine immer noch relevante Lehre aus dem Mirai-Angriff von 2016.
3. Wie verhindern Sie Sicherheitsverletzungen auf Geräteebene?
Gerätesicherheit kann für IoT-Plattformen schwierig sein; Schließlich kontrollieren sie nicht immer die Geräte, die Sie verwenden. Wenden Sie sich an einen Anbieter, der eine Bibliothek mit vorintegrierten Geräten zur Auswahl anbietet, und fragen Sie, ob er die Sicherheitsprotokolle in der Gerätefirmware überprüft hat.
Eine wichtige bewährte Methode besteht darin, nur Geräte zu verwenden, die eine hardwarebasierte unveränderliche Wurzel des Vertrauens. Das ist ein Chip, der das authentische BIOS (Basic Input/Output System) verifiziert, die Firmware, die das System hochfährt. Ohne diese Überprüfung könnten Hacker das Gerät mit einem beschädigten BIOS booten – einem, das ihnen die volle Kontrolle gibt.
4. Wie steuert die Plattform den Benutzerzugriff?
Lassen Sie böswillige Akteure nicht durch die Vordertür herein. Die Benutzerkontrolle in IoT-Plattformen ist weitgehend eine Frage der Authentifizierung und Autorisierung, aber nicht alle Authentifizierungsprotokolle sind gleich robust. Im Sinne der Zero-Trust-Sicherheit sollten Plattformen Systemressourcen individuell schützen.
Das gebräuchlichste Protokoll für die Ressourcenautorisierung heißt OAuth2; Wählen Sie einen Plattformanbieter, der OAuth2 und eine noch bessere Single Sign-On (SSO)-Autorisierung für Ressourcen enthält, je nach zugewiesener Benutzerrolle. Apropos Rollen: Suchen Sie in Ihrer IoT-Plattform nach rollenbasierter Zugriffskontrolle (RBAC). Dies gibt Ihnen die Möglichkeit, unterschiedliche Zugriffsrechte für alle an Ihrem IoT-Projekt Beteiligten zu vergeben – von Administratoren über interne Benutzer bis hin zu Drittanbietern.
5. Wie gehen Sie mit Software- und Firmware-Updates um?
Je früher Sie Updates einspielen, desto sicherer wird Ihr Gesamtsystem. Aber in einem IoT-System mit Dutzenden (oder Hunderten) von Geräten gibt es keine Möglichkeit, mit manuellen Methoden allein auf dem Laufenden zu bleiben.
Suchen Sie stattdessen nach IoT-Systemen, die Over-the-Air (OTA)-Updates ermöglichen, die neue Versionen von Software und Firmware über die Cloud übertragen. Sie könnten auch nach der Sicherheit für die Aktualisierung von Servern, Verbindungen zu Geräten und Verschlüsselungsmethoden für die Aktualisierung von Paketen fragen.
Bewältigung der Herausforderung der Cybersicherheit in IoT-Plattformen
Das Versprechen des IoT – außergewöhnlich reichhaltige Datenerfassung, beispiellose Automatisierung, Datenfluss in Echtzeit und mehr – macht die Technologie für den Wettbewerb unverzichtbar. Dieselben Merkmale, die diese Vorteile schaffen, tragen zu einer Reihe neuer Sicherheitsherausforderungen bei.
Die meisten IoT-Geräte sind so kompakt wie möglich, sowohl in Bezug auf die physische Größe als auch in Bezug auf die Rechenleistung. Das lässt nicht immer Platz für Sicherheitsfeatures. Schlimmer noch, der IoT-Markt hat sich nicht auf standardisierte Sicherheitsprotokolle für alle Beteiligten festgelegt. Gerätehersteller können zum Beispiel völlig unterschiedliche Ansätze zur Authentifizierung verfolgen. Plattformanbieter, Systemintegratoren und Betreiber selbst sind möglicherweise nicht alle auf derselben Seite.
Die Wahl einer einzelnen Self-Service-IoT-Plattform beseitigt diese Fragmentierung. Diese Plattformen machen die ganzheitliche Security-by-Design-Strategie relativ einfach. Bevor Sie jedoch mit einem Plattformanbieter zusammenarbeiten, sollten Sie unbedingt verstehen, wie dieser mit Sicherheit umgeht. Die oben aufgeführten IoT-Sicherheitsfragen sind ein guter Ausgangspunkt.
