Allmennheten ble gjort oppmerksom på Distributed Denial of Service-angrep (DDoS – distribuert tjenestenekting) i fjor som følge av flere mye omtalte saker. Ett av de største og mest omtalte var Dyn-angrepet i oktober 2016.
Selv om dette ikke nødvendigvis er en ny type trussel – den har faktisk eksistert siden sent på 90-tallet – er Dyn-saken et interessant eksempel, fordi det brukte dårlig sikrede IoT-enheter, til å koordinere angrepet.
Når man tenker på at prognosen er at det kommer til å finnes 20 milliarder tilkoblede enheter innen 2020 som del av det stadig voksende Tingenes internett, kommer behovet for implementering av de rette nettverksprosedyrene og -verktøyene for sikring av alle disse enhetene, bare til å øke.
Tingenes internett er den nye kamparenaen – stadig flere robotnett til leie
Enkelt sagt skjer DDoS-angrep når en angriper prøver å gjøre en nettverksressurs utilgjengelig for legitime brukere ved å oversvømme nettverket med overflødig trafikk, serverne blir overbelastet, og tjenesten blir utilgjengelig. Mange tusen slike angrep skjer hvert år, og de er i stadig økning, både i antall og størrelse. I henhold til enkelte rapporter så vi i 2016 en økning på 138 % fra året før i det totale antallet angrep som var større enn 100 Gbps.
Dyn-angrepet brukte Mirai-robotnettet (botnet) som utnytter dårlig sikrede, IP-aktiverte «smarte ting», til å utvide sin hær med infiserte enheter. Nettet er programmert til å skanne etter IoT-enheter som fortsatt bare er beskyttet med fabrikkinnstilte standardinnstillinger eller hardkodede brukernavn og passord. Når de er infisert, blir enhetene en del av et robotnett (botnet) med titusenvis av IoT-enheter som kan bombardere et utvalgt mål med skadelig trafikk.
Dette og andre robotnett kan leies på nettet fra driftige kyberkriminelle, og etter hvert som funksjonene og mulighetene utvides og forbedres, blir flere og flere tilkoblede enheter utsatt for risiko.
Hva kan bedrifter gjøre for å beskytte seg nå og i fremtiden?
1: Avgrensning av trusselen
En viktig metode er IoT-avgrensning. Dette er en metode for å opprette virtuelle isolerte miljøer, med teknikker for nettverksvirtualisering. Tanken er at tilkoblede enheter som har en bestemt funksjon, og de respektive autoriserte brukerne, grupperes i en et unikt avgrenset IoT-område. Man vil fortsatt ha alle brukerne og enhetene i en bedrift, fysisk tilkoblet én nettverksinfrastruktur, men de er logisk sett isolerte.
Ved å opprette et IoT-område for sikkerhetsteamets nettverk, kan IT-ansatte opprette et virtuelt, isolert nettverk som uautorisert personale ikke har tilgang til
La oss for eksempel si at sikkerhetsteamet har ti IP-overvåkingskameraer på et anlegg. Ved å opprette et IoT-område for sikkerhetsteamets nettverk, kan IT-ansatte opprette et virtuelt, isolert nettverk som uautorisert personale ikke har tilgang til – og som ikke kan sees av andre enheter utenfor det virtuelle miljøet. Hvis noen del av nettverket utenfor dette miljøet utsettes for sikkerhetsbrudd, spres ikke dette til overvåkningsnettverket. Dette kan gjenskapes for lønnssystemet, forskning og utvikling eller et hvilket som helst annet team i bedriften.
Ved å opprette et virtuelt IoT-miljø kan du også sikre korrekte forhold for at en gruppe enheter skal fungere som de skal. Innenfor et slikt område kan regler for servicekvalitet (QoS – Quality of Service) håndheves, og det er mulig å reservere eller begrense båndbredde, prioritere viktig trafikk og blokkere uønskede programmer. Det kan for eksempel skje at overvåkningskameraer som kjører en kontinuerlig strøm krever en reservert mengde båndbredde, og maskiner som holder mennesker i live på sykehus må ha høyeste prioritet. Denne QoS-håndhevingen kan oppnås bedre ved å bruke svitsjer som er aktivert med dybdeinspeksjon av pakker, som ser pakkene mens de flyttes gjennom nettverket i tillegg til hvilke programmer som er i bruk, så du vet om noen er inne i CRM-systemet, ser på sikkerhetsstrømmen eller bare ser på Netflix.
2: Beskyttelse ved svitsjen – tilnærming fra tre sider
Bedrifter bør sikre at svitsjleverandører tar trusselen på alvor og setter i verk prosedyrer for å beskytte maskinvare best mulig. En god tilnærming kan oppsummeres med at den takler problemet fra tre sider.
- Et ekstra par øyne: Pass på at svitsjenes operativsystem er bekreftet av uavhengige sikkerhetseksperter. Enkelte bedrifter unngår å dele kildekode for å få den bekreftet av spesialister i bransjen, men det er viktig å se på produsenter som har pågående forhold med ledende sikkerhetseksperter i bransjen.
- Kryptert kode betyr at én svitsj ikke kan utsette hele nettverket for sikkerhetsbrudd. Bruk av åpen kildekode som del av operativsystemer er vanlig i bransjen, noe som medfører noe risiko siden koden er «kjent for alle». Kryptering av objektkode i minnet til svitsjen betyr at selv hvis en hacker kan finne deler med åpen kildekode i én svitsj, er hver av dem unikt kryptert slik at det samme angrepet ikke fungerer på flere svitsjer.
- Hvordan leveres operativsystemet for svitsjen? IT-bransjen har en global forsyningskjede med komponentproduksjon, montering, forsendelse og distribusjon med et verdensdekkende fotavtrykk. Dette skaper risiko for at svitsjen blir tuklet med før den kommer frem til sluttkunden. Nettverksinstallasjonsteamet bør alltid laste ned de offisielle operativsystemene til svitsjen direkte fra leverandørens sikre servere før installasjonen.
3: Ta de enkle grepene for å sikre de smarte tingene
I tillegg til å etablere et sikrere kjernenettverk, finnes det forholdsregler du kan sette i verk akkurat nå for å beskytte enheter bedre. Det er helt utrolig hvor mange bedrifter som ikke tar disse enkle forholdsreglene.
- Bytt ut standardpassordet – veldig enkelt, men glemmes ofte – bytt ut standardpassordet. I Dyn-saken søkte viruset etter standardinnstillingene for IP-enhetene for å ta over kontrollen.
- Oppdater programvare – i den evigvarende kampen mellom kyberkriminelle og sikkerhetseksperter, blir det stadig viktigere å holde seg helt oppdatert med de nyeste oppdateringene og sikkerhetsreparasjonene. Følg med på de nyeste oppdateringene og gjør det til en del av rutinen å holde seg oppdatert.
- Forhindre ekstern administrasjon – slå av protokoller for ekstern administrasjon, som telnet eller http, som gir muligheter for kontroll fra andre steder. Anbefalte sikre protokoller for ekstern administrasjon er via SSH eller https.
Utvikle nettverket ditt
Tingenes internett skaper fantastiske muligheter for forvandling for bedrifter i alle bransjer, fra produksjon og helsevesen til transport og utdanning. Men med alle nye bølger med teknologiske oppfinnelser følger nye utfordringer. Vi står ved starten av IoT-alderen, og derfor er det viktig å få på plass de grunnleggende kravene til nettverk for at de skal støtte både økningen i dataoverføring og håndheving av QoS-regler samtidig som risikoen for nettangrep reduseres til et minimum.