RSAC
In Into the Mind of an IoT Hacker bij de RSA Conference 2021 spraken de beveiligingsspecialisten Itzik Feiglevitch en Justin Sowder over het probleem van de kwetsbaarheid van verschillende IoT-apparaten en de speciale behandeling die ze vereisen van de kant van bedrijfscybersecurity. Ze boden hierbij een aantal geweldige voorbeelden waarmee de staat van IoT-veiligheid in bedrijven van vandaag de dag werd geïllustreerd.
Er zijn maar weinig cybersecurity-specialisten die hun zakelijke IoT-hardware in de gaten houden. Vaak zijn slimme liften, allerlei soorten sensoren, IPTV, printers, bewakingscamera’s en dergelijke slechts een bonte verzameling van ongelijksoortige apparaten, elk met zijn eigen besturingssysteem en eigen protocollen, en veel daarvan zonder een goede controle-interface… u begrijpt het al. Uw bedrijf kan er hier wel duizenden van hebben.
Waarom IoT-apparaten extra cybersecurity-risico’s met zich meebrengen
IoT-apparaten worden niet altijd beschouwd als onderdeel van de relevante infrastructuur; hoewel een netwerkprinter normaal gesproken als netwerkapparaat geldt, is ditzelfde niet waar voor de componenten van een “slim gebouw” of zelfs IP-telefoniesystemen. Voor alle duidelijkheid: dergelijke apparaten zijn meestal op hetzelfde netwerk aangesloten als de werkstations van het bedrijf.
Personeel dat komt en gaat kan de situatie nog ingewikkelder maken. Hoe groter het personeelsverloop in cybersecurity en IT, hoe groter de kans dat een nieuwe werknemers niets afweet van deze bonte verzameling aan IoT-apparaten die met het netwerk zijn verbonden.
En wellicht het ergste van alles: sommige van die apparaten zijn toegankelijk van buitenaf. De redenen hiervoor kunnen legitiem zijn — controle van de verkoper over een bepaald aspect van een apparaat; beschikbaarheid voor telewerken; onderhoud — maar apparaten op het bedrijfsnetwerk hebben terwijl ze tevens permanent aan het internet gekoppeld zijn, is riskant.
Het klinkt misschien paradoxaal, maar juist de robuustheid van moderne elektronica is een andere risicofactor: sommige IoT-apparaten hebben een zeer lange levensduur en draaien in veel complexere beveiligingsomgevingen dan waarvoor ze ontworpen zijn.
Zo zijn er bijvoorbeeld apparaten die op verouderde, kwetsbare besturingssystemen draaien en die dus niet langer worden geüpdatet — en zelfs als dat wel mogelijk is, is er voor een update wellicht fysieke toegang vereist (wat moeilijk of zelfs bijna onmogelijk kan zijn). Sommige bevatten onveranderlijke wachtwoorden, achterdeurtjes voor het debuggen die per ongeluk in de uiteindelijke firmwareversie zijn achtergebleven, en vele andere verrassingen voor IT-beveiligers.
Waarom aanvallers interesse hebben in IoT-apparaten
Cybercriminelen vinden IoT-apparaten om verschillende redenen interessant, zowel voor gastbedrijf-aanvallen als voor aanvallen op andere bedrijven. De meest voorkomende gebruiken voor gecompromitteerde slimme apparaten zijn:
- Het opzetten van een botnet voor DDoS-aanvallen;
- Het minen van cryptomunten;
- Het stelen van vertrouwelijke informatie;
- Sabotage;
- Als springplank voor verdere aanvallen en laterale bewegingen binnen het netwerk.
Case studies
Onderzoekers hebben een aantal tamelijk belachelijke gevallen beschreven. Deze zijn zowel gerelateerd aan standaard apparaten die met het internet verbonden zijn en behoorlijk gespecialiseerde apparaten. Twee prominente voorbeelden zijn echografiemachines en apparaten die Zigbee-protocollen gebruiken.
Echoapparaat
Moderne organisaties die werkzaam zijn in de gezondheidszorg maken gebruik van tal van medische IoT-apparaten. Om de veiligheid van dit soort apparaten te testen, kochten de onderzoekers een gebruikt echoapparaat en probeerden die vervolgens te hacken. Hier hadden ze slechts vijf minuten voor nodig: het apparaat draaide op een versie van Windows 2000 die nooit was geüpdatet. Bovendien lukte het ze niet alleen om de controle over het apparaat over te nemen, maar ze kregen ook nog eens toegang tot de patiëntgegevens die niet waren verwijderd door de voormalige eigenaar.
Dokters gebruiken medische apparaten vaak gedurende meerdere jaren of zelfs decennia, zonder ze te updaten of upgraden. Dat is begrijpelijk (als iets niet kapot is, waarom zou je het vervangen?), maar deze apparaten worden niet alleen lange tijd gebruikt door de eerste organisatie die ze verkrijgt, ze worden ook nog eens vaak doorverkocht en blijven actief gebruikt worden.
Zigbee-protocollen
Bedrijven gebruiken Zigbee-netwerkprotocollen, die in 2003 werden ontwikkeld voor energie-efficiënte draadloze communicatie tussen apparaten, om mesh-netwerken te bouwen, en vaak om verschillende componenten binnen een slim gebouw met elkaar te verbinden. Het resultaat: een gateway ergens in het kantoor die tientallen verschillende apparaten aanstuurt, zoals bijvoorbeeld een slim verlichtingssysteem.
Volgens sommige onderzoekers zou een cybercrimineel gemakkelijk een Zigbee-apparaat op een gewone laptop kunnen emuleren, verbinding kunnen maken met een gateway en daar malware installeren. De cybercrimineel zou zich alleen maar binnen het bereik van het Zigbee-netwerk hoeven te bevinden, bijvoorbeeld in de lobby van het kantoor. Als ze eenmaal de controle over de gateway hebben, kunnen ze werk op allerlei manieren saboteren — bijvoorbeeld door alle slimme lampen in het gebouw uit te schakelen.
Hoe u een bedrijfsnetwerk beschermt
Beveiligers weten niet altijd zeker of ze de IoT-apparaten op het bedrijfsnetwerk moeten beschermen of juist het bedrijfsnetwerk moeten beschermen tegen IoT-apparaten. In feite moeten beide problemen worden opgelost. Het belangrijkste is hier om ervoor te zorgen dat elk item en elke actie op het netwerk zichtbaar is. Om bedrijfsbeveiliging tot stand te brengen, moeten eerst alle apparaten die op het netwerk zijn aangesloten worden geïdentificeerd, correct worden geclassificeerd en, idealiter, de bijbehorende risico’s worden geanalyseerd.
De volgende stap is natuurlijk netwerksegmentatie op basis van de resultaten van die analyse. Als een apparaat noodzakelijk en onvervangbaar is, maar kwetsbaarheden vertoont die niet door updates kunnen worden verholpen, dan moet het netwerk zo worden geconfigureerd dat kwetsbare apparaten geen toegang hebben tot het internet en ook geen toegang meer hebben tot andere netwerksegmenten. Het beste is om een Zero Trust-concept voor segmentatie te gebruiken.
Het monitoren van netwerkverkeer op anomalieën in relevante segmenten is ook van cruciaal belang voor uw vermogen om gecompromitteerde IoT-apparaten op te sporen die worden gebruikt voor DDoS-aanvallen of mining.
Gebruik ten slotte voor de vroege detectie van geavanceerde aanvallen die IoT-apparaten als ankers in het netwerk gebruiken en die andere systemen aanvallen een oplossing van EDR-klasse.
