.



Van DevOps naar FieldOps, voorbij Secure by Design

Mike Nelson_DigiCert

Secure by Design is een populaire aanpak om ontwikkelaars te beïnvloeden veilige software te maken. Toch volstaat deze methodiek niet voor het snelgroeiende Internet of Things (IoT), omdat fabrikanten nog steeds onveilige IoT-apparaten ontwerpen, produceren en leveren, zonder adequate remote security. Zij denken nog vaak te laat aan de benodigde beveiliging en borgen deze onvoldoende in hun ontwerp- en ontwikkelprocessen.

De afgelopen jaren zijn er miljoenen IoT-apparaten op de markt geïntroduceerd zonder dat er tijdens het ontwikkelingsproces effectieve beveiligingsmaatregelen aan zijn toegevoegd. Daardoor zijn er incidenten geweest die IoT-apparaten een onveilig imago hebben bezorgd.

 

Secure by Design heeft fabrikanten, ontwikkelaars en verkopers sindsdien wel aangespoord om cybersecurity als een essentieel ontwikkelaspect te gaan beschouwen. Het is echter slechts een onderdeel van de bredere beveiliging die binnenkort gangbaar wordt.

IoT-beveiliging na DevOps

IoT-apparaten krijgen nog lang na de ontwerpfase gedurende hun totale levenscyclus te maken met cyberdreigingen. Alleen daarom is er al meer dan Secure by Design nodig om het IoT goed te kunnen beveiligen. Als security tijdens het ontwerp wordt ingebouwd zijn de betreffende IoT-apparaten meestal goed te updaten, alleen hoe veilig is dat proces?

Software-updates kunnen net zo goed risicovol zijn, omdat kwaadwillenden malware ook  vermommen als gewone updates in hun pogingen om de controle over apparaten te krijgen. Daarom moeten IoT-beveiligingsoplossingen ook functionaliteit bevatten om de integriteit van firmware en data op apparaten te blijven waarborgen in elke fase van de levenscyclus.

Omgaan met schaalgrootte

Één van de grootste uitdagingen voor IoT-beveiliging is de schaalgrootte van het aantal toepassingen waarvoor IoT-apparaten worden gebruikt. Vaak gaat het om vele honderden, duizenden en op termijn zelfs miljoenen verbonden apparaten, sensoren en systemen. 

Het managen van de wildgroei aan IoT-apparaten is moeilijk en kan tot fouten leiden, zoals verlopen certificaten zonder dat het securityteam dit weet, mislukte updates en Zero Days die ontstaan. Als het securityteam dat soort fouten niet kan ontdekken en oplossen, krijgen aanvallers de kans om apparaten te misbruiken voor bredere toegang tot een netwerk.

Een aanvaller hoeft vaak maar één apparaat te hacken om voet aan de grond te krijgen in een compleet netwerk, maar het securityteam moet alle apparaten in de gaten houden. Gezien de schaalgrootte van veel IoT-implementaties is dat onmogelijk nog handmatig te doen, zonder het risico te lopen kwetsbaar te worden voor beveiligingslekken.

Bij het uitbreiden van IoT-toepassingen is het belangrijk dat het betrokken securityteam de juiste tools krijgt om de infrastructuur op een flexibele en transparanten wijze te beveiligen. Zoals de mogelijkheid om certificaten in te trekken en te vernieuwen, apparaten te updaten, patches te versturen en het aantal kwetsbaarheden te verminderen. 

Diversiteit aan omgevingen

Een andere uitdaging voor IoT-beveiliging is de enorme diversiteit aan omgevingen waarin IoT-apparaten worden gebruikt. Elke netwerkinfrastructuur heeft namelijk eigen specifieke risico's, behoeften en overwegingen en daarom moet effectieve IoT-beveiliging op alle mogelijke risico's kunnen inspelen.

De meeste consumentenapparaten maken deel uit van een thuisnetwerk, zoals met het Internet verbonden deurbellen, keukenapparatuur en steeds meer voertuigen. In bedrijven worden IoT-apparaten en sensoren opgenomen in al bestaande netwerken met specifieke securitycontroles en -oplossingen. Medische apparatuur en IoT-apparaten in de industrie worden als bedrijfskritisch beschouwd en daarom vaak geïsoleerd van het open internet, waardoor weer andere beveiligingsbehoeften ontstaan.

Bescherming van apparaten in het veld

Zodra het gaat om de beveiliging van IoT-toepassingen, worden we geconfronteerd met de uitdagingen van het beheren van vele duizenden apparaten en alle specifieke eisen van de omgevingen waarin ze worden gebruikt.

Een belangrijke eis voor effectieve beveiliging is dat men beschikt over de volledige controle en inzicht in alle apparaten om mogelijke kwetsbaarheden al bij het ontstaan aan te kunnen pakken. Wanneer er beveiligingsincidenten gebeuren bij grote IoT-implementaties is er ook transparantie om de gevolgen te kunnen overzien en de oorzaak tot aan de bron te kunnen traceren. Inclusief een oplossing om het incident op apparaatniveau tegen te houden. Als er bijvoorbeeld een certificaat vervalt moet het gebruik daarvan inzichtelijk te maken zijn om het betreffende certificaat tijdig in te trekken en te vernieuwen.

Het beveiligen van IoT begint met het toekennen van een digitale identiteit aan elk apparaat en het beschermen ervan door een certificaat. Dan is elk apparaat centraal te identificeren, te authenticeren en te beheren, wat de controle en transparantie biedt die nodig is om de betreffende IoT-apparaten tijdens hun gehele levenscyclus te beveiligen.

Automatisering gaat hierbij een sleutelrol spelen, omdat de meeste IoT-netwerken veel te groot zijn om handmatig te controleren. Het automatiseren van de IoT-beveiliging biedt organisaties het benodigde vertrouwen om te kunnen profiteren van alle voordelen van IoT, terwijl ze zich goed beschermen tegen de risico’s van grote en complexe implementaties.

IoT-beveiliging moet mee evolueren met bedreigingen

Secure by Design is een belangrijke fundering voor het beveiligen van IoT. Cyberdreigingen kunnen echter op elk moment tijdens de levenscyclus van een apparaat ontstaan. Om deze risico's te minimaliseren, is het verstandig dat de beveiligingsverantwoordelijke zorgt voor een goed inzicht en controle over alle apparaten en automatisering van het dagelijks beheer. Effectieve beveiliging is flexibel, schaalbaar en kan evolueren als bedreigingen veranderen. Daarom is het nodig dat de IoT-beveiliging van DevOps doorloopt tot en met de FieldOps.

 

Mike Nelson is VP IoT Security bij DigiCert.

Lees ook
Nieuw ITU-adviesorgaan wil onderzeese telecomkabels beter beschermen

Nieuw ITU-adviesorgaan wil onderzeese telecomkabels beter beschermen

Om de beschikbaarheid van onderzeese telecomkabels te versterken, hebben de International Telecommunication Union (ITU) en de International Cable Protection Committee (ICPC) gezamenlijk het International Advisory Body for Submarine Cable Resilience opgericht. Dit nieuwe orgaan zal zich richten op het verbeteren van de weerbaarheid van onderzeese k1

DORA: wat ITOps-teams moeten weten

DORA: wat ITOps-teams moeten weten

DORA vestigt een best practice die ThousandEyes bespreekt in The Internet Report: het belang van het nemen van verantwoordelijkheid voor je gehele dienstverleningsketen, inclusief de delen die je niet direct onder controle hebt. Onder DORA zijn financiële instellingen verplicht om zowel hun eigen ICT-infrastructuur als die van hun externe partner1

NTT DATA en Palo Alto Networks leveren AI-gedreven cloud-to-edge cybersecurity

NTT DATA en Palo Alto Networks leveren AI-gedreven cloud-to-edge cybersecurity

NTT DATA, kondigt een uitgebreid partnerschap aan met Palo Alto Networks, de toonaangevende leider op het gebied van cybersecurity, om wereldwijde ondernemingen te helpen hun digitale infrastructuren te beschermen tegen cyberbeveiligingsbedreigingen, variërend van de cloud tot in de verste digitale uithoek van bedrijfsomgevingen.