Aldri har flere IoT-enheter vært koblet på nett – og utviklingen går lynraskt. Endelig finnes løsningen som både sikkerhetsansvarlig, IT-sjefen og brukerne kan leve med.
IT-bransjen har ropt varsko om mangelfull håndtering av IoT-enheter i virksomhetens nettverk i mange år allerede. Likevel har lite blitt gjort – trolig fordi det har vært altfor tidkrevende å lage regler for alle enhetene. Mange virksomheter har derfor valgt å segmentere det som er mest kjent og overkommelig, og heller latt resterende IoT-enheter operere i et tilgangsbegrenset gjestenett (BYOD).
Ulempen med denne praksisen er at den i tillegg til å ikke være skalerbar, utgjør en betydelig sikkerhetsrisiko.
Du har flere enheter i nettverket ditt enn du tror
I 2010 var 9 prosent av alle nye elektroniske enheter nettverkskompatible. I 2025 vil det tallet trolig bikke 75 prosent. Gartner forventer at det vil være 18 milliarder IoT-enheter installert i bedrifter innen 2030, og at det da vil være fire ganger så mange IoT-enheter som brukere i bedriftene. Hver eneste nye enhet som kobler seg på nettet ditt, representerer en potensiell bakdør der uvedkommende kan bryte seg inn.
Panelovner og projektorer, printere og pacemakere – i en moderne virksomhet er det langt mer enn laptoper og smarttelefoner som er på nett. Og så lenge en enhet er tilkoblet, kan den også utnyttes – med mindre du garderer deg mot nettopp slike angrep.
«Oversikt over hva du har i nettet» er kapittel 1.2 i Nasjonal Sikkerhetsmyndighets (NSM) grunnprinsipper for IKT-sikkerhet. Likevel er det ytterst få som er i stand til å håndtere sikkerhetstruslene IoT-enheter utgjør.
Basert på verdensledende teknologi fra Palo Alto Networks og Extreme Networks har vi derfor laget en egen løsning for problematikken knyttet til identifisering og profilering av IoT-enheter, og som automatisk segmenterer de tilkoblede enhetene på nettverket. IT-sikkerhet trenger nemlig ikke å være komplisert, bare man har sluttbrukerne i tankene gjennom utviklingsfasen.
Nettverkssikkerhetens Bermudatriangel
Det er tre faktorer som må ivaretas når du skal bygge en sikker infrastruktur for de utallige IoT-enhetene du allerede har og kommer til å få:
- Sikkerhet
- Fremdrift
- Brukervennlighet
I dag ser vi dessverre altfor ofte at sikkerheten kompromitteres. Der sikkerheten faktisk tas på alvor er fremdriften og brukervennligheten gjerne så laber at det likevel påvirker sikkerheten – fordi brukerne ender opp med å ta snarveier.
Denne balansen er nok velkjent for de aller fleste som enten befinner seg i eller har et forhold til virksomhetens IT-sikkerhet. Det skal rett og slett en del til for å komme frem til en løsning som alle parter er tilfreds med.
Sikkerhetsansvarlig/CISO – Sikkerhetens sjelevenn
Løsningen skal være ugjennomtrengelig og kompatibel. Det er nok av skrekkeksempler fra virkeligheten der store virksomheter har havnet i knestående etter angrep via IoT-enheter. I 2013 ble Target angrepet via konsulentselskapet som fjernstyrte energiforbruket i butikkene, mens et casino i USA for noen år siden ble hacket gjennom termostaten i et akvarium.
Antall angrep øker betraktelig år for år, enhet for enhet. Historien har vist oss at det ikke skal mer til enn ett svakt ledd for at et angrep skal lykkes.
IT-sjefen/Prosjekteieren – Fremdriftens fanebærer
Løsningen skal implementeres raskt og enkelt. Som i ethvert prosjekt, må tids- og kostnadsrammene være både gjennomførbare og skalerbare. Riggen du bygger for å forsvare deg mot angrep via IoT-nettverket ditt, må være effektiv og fungere over tid.
Dersom løsningen ikke er rask og enkel nok, ser vi altfor ofte at man faller tilbake til den gamle, sikkerhetskompromitterende løsningen.
Brukeren – Tilgjengelighetens talerør
Løsningen skal være brukervennlig. Ingen ønsker en situasjon der IT-avdelingen må bruke en halvtime på konfigurering hver gang en ansatt har kjøpt ny smartklokke, får utdelt ny laptop eller kaffemaskinen byttes ut. Dersom en løsning ikke er enkel nok, vil brukerne finne snarveier.
Til ettertanke: Hvis konfigureringen av IoT-enhetene du har (og vet om) ikke er håndterbar nå – hvordan ser situasjonen ut om fem år?
Sikre nettverket ditt – ikke enhetene
Hvorfor kan vi ikke heller sikre enhetene? Vel, for å si det veldig enkelt: Ikke stol på at produsenten patcher kjøleskapet ditt. Der Mens Apple oppdaterer enhetene sine jevnlig, er ikke det standard for alle eaktører. Majoriteten av IoT-enheter er rett og slett ikke laget for å kobles til større nettverk, og forholdet til vedlikehold er fraværende.
Enhetene er sårbare når de leveres, og forblir sårbare hele levetiden. Så mye som 57 prosent av IoT-enheter betegnes som svært sårbare, mens 83 prosent kjører usupporterte operativsystemer, og er vanskelige eller umulige å oppdatere. Ofte får man ikke lov av produsenten å oppdatere systemet. Det er ikke uvanlig at slike enheter kjører Windows XP fra 2003, selv i 2022.
Derfor er det selve nettverksløsningen som må sikres, og som må ta høyde for at ikke alle enhetene dine møter oppdaterte sikkerhetskrav. Dette gjøres gjennom segmentering, slik at du isolerer delene av nettverket ditt der enheter innen en gitt kategori får lov til å operere trygt og alene.
Palo Alto Networks IoT Security gjenkjenner enhetene dine automatisk, og bygger et enhetsbibliotek for deg. Slik kan du til enhver tid holde deg oppdatert på hvilke enheter virksomheten din har i nettverket og hvilken risiko de utgjør.
Extreme Networks XIQ Site Engine har på sin side et kraftig verktøy for bygging av nettverksprofiler gjennom sin NAC-modul (Network Access Control), som med sin integrerte WorkFlow Composer lar deg trigge arbeidsflyt, prosesser og logikkbygging av script. Dette er basert på input og triggere.
Hver for seg er dette trygge og gode løsninger enhver sikkerhetsansvarlig vil akseptere i sitt IT-miljø, men de gir heller ikke optimal effektivitet. Ja, brannmuren overvåker nettet og sørger for at avvik fanges opp, og ja, NAC-systemet tildeler riktig nett – forutsatt av logikken er på plass. Men logikken må bygges og implementeres per enhets-ID, og dette tar tid. Altfor lang tid.
Du trenger derfor en løsning som tar seg av begge aspektene.
Gjør det enkelt – segmenter automatisk
Basert på Palo Alto Networks IoT og Extreme Networks Site Engine har vi designet en egen løsning der nye enheter identifiseres automatisk, grupperes etter kategori og tildeles korrekt profil fra NAC. Dersom det ikke finnes en eksisterende kategoriprofil, opprettes den automatisk og segmenteres i et eget tjenestenett. Dette gjør tilgangen og brukervennligheten sømløs, samtidig som du eliminerer risikoen for kompromittering av sikkerheten.
Et kjent eksempel for de fleste virksomheter er håndtering av printere. Med løsningen vår defineres en profil i NAC for nettopp kategorien «printer». Hver gang du bytter ut eller legger til nye printere i nettverket (uansett produsent), vil Palo Alto Networks IOT Security definere disse med riktig kategori. Identifiseringen av en ny enhet trigger en arbeidsflyt, og den nye printeren vil bli tildelt korrekt profil – uten behov for manuell interaksjon.
Vi har laget et forslag til oppsett for hvilke profiler de ulike enhetene skal ha. Dersom du ønsker å definere egne kategorier, gjør du det enkelt selv. Maskinlæring tar seg av resten, og sørger for at nye enheter segmenteres riktig. Løsningen monitorerer adferden til enhetene basert på funksjon, slik at du enkelt kan fange opp avvik, også sovende enheter (stealth units).
Du kan enkelt administrere enhetene dine i selve løsningen, som også er skalerbar – faktisk støtter vårt neste generasjons nettverk hele 16,7 millioner tjenester mot tradisjonelt netts 4095 VLAN.
Kort oppsummert: Sikkerheten ivaretas gjennom en aktiv brannmur, fremdriften sikres med et automatisk oppsett og brukervennligheten løses med enkel konfigurering og tilkobling.
Zero Trust
«Hvor stor skade kan egentlig en printer gjøre?», tenker du kanskje. Alle enheter må sikres, rett og slett fordi alle enheter er kompromitterbare. Vi har sett skrekkeksempler fra virkeligheten der begrensninger på bedrifters filservere førte til at dokumenter ble lagret på printerens lokalminne. Andre har hatt sovende innbruddsgjester i kjøleskapet (ikke bokstavelig), som bare ventet på å angripe.
Det er praktisk at alt er påkoblet, men det øker også sårbarheten din.
Zero Trust handler ikke bare om robuste forsvarsmekanismer og systemer. Det handler om kultur. Derfor streber vi i Data Equipment etter å utvikle enkle løsninger som ivaretar alle aspekter ved en Zero Trust-basert sikkerhetsstrategi. Dersom en løsning blir for komplisert, ligger det i menneskets natur å se etter snarveier. Og snarveier – som å lagre konfidensiell data på printerdriven – blir en falsk trygghet selv om systemene er aldri så gode i seg selv.
Enten du allerede benytter Palo Alto Networks IoT Security, Extreme Networks XIQ Site Engine, begge deler eller ingen av dem, kan vi bistå deg med å implementere den nye løsningen vår.
