Het aantal aanvallen op Internet of Things (IoT)-apparatuur zal toenemen. Dat is waarschijnlijk de meest trefzekere voorspelling voor 2017. Het is dan ook een eenvoudige optelsom. In 2020 zullen er immers meer dan 20 miljard IoT-apparaten online zijn, versus een miljard pc’s. Langzaam maar zeker groeit een reusachtig M2M (machine-to-machine)-aanvalsoppervlak. Dit zal toenemen tot meer dan 20 miljard verbonden apparaten. Deze draaien op uiterst kwetsbare code en zijn afkomstig van fabrikanten die simpelweg niet over een beveiligingsstrategie beschikken. Deze apparaten zijn als gevaarlijke ongeleide projectielen. We kunnen er geen beveiligingsclient aan toevoegen en hun software en firmware zelfs niet effectief updaten.
IoT en achterdeurtjes
Boeven die misbruik willen maken van kwetsbaarheden in IoT-apparaten wordt het in 2017 niet heel moeilijk gemaakt. Er is veel succes te boeken door gebruik te maken van standaard gebruikersnamen en wachtwoorden, of hard-gecodeerde achterdeurtjes en fouten in code die wordt gebruikt voor IoT-verbindingen en –communicatie. Gezien het potentieel dat het Internet of Things cybercriminelen biedt om schade aan te richten en geld te verdienen, is de kans groot dat aanvallen op IoT-apparaten een geavanceerder karakter zullen aannemen en misbruik zullen maken van zwakke schakels in IoT-communicatie en processen voor het verzamelen van data.
De meeste IoT-apparaten zijn ontwikkeld om hun eigenaars gebruikservaringen op maat te bieden en namens de fabrikant gebruiksinformatie te verzamelen. De meeste fabrikanten beschikken echter niet over specialistische technologische vaardigheden. Macro-economische factoren dicteren dat verschillende leveranciers IoT-componenten bij één OEM-leverancier zullen afnemen en die simpelweg aansluiten op de apparaten die ze verkopen. Dit betekent dat één besmetting zich kan vermenigvuldigen via tientallen of zelfs honderden apparaten van uiteenlopende fabrikanten. De kans is dan ook groot dat cybercriminelen volgend jaar hun pijlen op deze OEM-leveranciers gaan richten en gebruik zullen maken van exploits om de toevoerketen van miljoenen apparaten te infiltreren.
Consumenten en IoT: heel gevaarlijk
Hoewel bedrijven diverse opties hebben om het beheer van de beveiligingsproblemen rond IoT-apparaten en –netwerken te managen, zoals toegangsbeheer en netwerksegmentatie, hebben consumenten weinig of geen mogelijkheden op dit gebied. De aanbeveling van beveiligingsexperts in de EU is om een sticker op IoT-apparatuur voor consumenten aan te brengen die aangeeft of deze apparaten al dan niet voldoen aan een bepaald beveiligingsniveau. Binnen het bedrijfsleven is hier al sprake van. Een voorbeeld is de certificering van apparaten op basis van de Common Criteria-richtlijnen. Maar een werkende consumentenvariant laat vooralsnog op zich wachten.
20 miljard IoT-apparaten vormen de zwakste cloud-schakel
De overstap naar cloud-gebaseerde opslag, verwerking en zelfs infrastructuren zit in een stroomversnelling. Vanzelfsprekend wordt het potentiële aanvalsoppervlak daardoor groter. De meeste cloud providers reageren hierop door hun netwerken in te richten op basis van layer 2 – en layer 3-beveiligingstechnologieën. Zo kunnen ze binnen de cloud een scheiding aanbrengen tussen de omgevingen van uiteenlopende klanten, de toegang beheren en hun interne netwerk afzonderen van hun publieke netwerk. Klanten kunnen tegen betaling geavanceerdere beveiligingstools zoals next generation firewalls (NFG’s) en intrusion prevention systems (IPS) toevoegen.
Echter, de zwakste schakel in de beveiliging van cloud-omgevingen is niet de architectuur. Het zijn de miljoenen apparaten die op afstand toegang zoeken tot data en systemen in de cloud. In 2017 kan er sprake zijn van aanvallen die dit vertrouwensmodel ondergraven door misbruik te maken van kwetsbaarheden in endpoints. Dit zal resulteren in aanvallen vanaf clients die met succes cloud-providers treffen en voor datalekken zorgen.
De cloud wordt bovendien gebruikt voor het bieden van alomtegenwoordige toegang tot applicaties, ICT-bronnen en diensten. We verwachten dat er vanaf besmette endpoints malware in cloud-systemen zal worden geïnjecteerd, een proces dat ook wel ‘cloud poisoning’ wordt genoemd.
Beveiliging
Bedrijven toonden zich aanvankelijk terughoudend met het gebruik van de cloud omdat ze zich zorgen maakten over de beveiliging van een omgeving die niet hun eigendom was, en waarop ze dus geen grip hadden. Als nu opeens blijkt dat de omgevingen en oplossingen in de cloud onbetrouwbaar zijn, zou dit ingrijpende gevolgen kunnen hebben voor de huidige overstap naar de cloud en de ontwikkeling van netwerkinfrastructuren die daarmee gepaard gaat.
2017 wordt een zeer interessant jaar, met waarschijnlijk veel nieuws over nieuwe mogelijke kwetsbaarheden en securitygevaren. De enige remedie tegen deze ellende is om uw ogen open en uw IT-systemen veilig te houden. Wellicht met een schaalbare beveiligingsoplossing die élk onderdeel van de bedrijfsinfrastructuur tot in detail beschermt.
Vincent Zeebregts , country manager Fortinet Nederland
