Les capteurs, points aveugles de la sécurité informatique ?

La mise en réseau par des appareils IoT ne cesse de croître. Les experts de Analyse de l'IdO prévoyaient en décembre 2021 que le nombre de points finaux actifs dans le monde augmenterait de 9 % d'ici la fin de l'année pour atteindre 12,3 milliards d'appareils. Le total des connexions dépasserait donc les 27 milliards en 2025. Les entreprises en Industrie et dans le secteur de la santé ont de plus en plus implémenté des appareils, y compris de simples capteurs ou des caméras IP, qui sont connectés au réseau central de l'entreprise. Même les petites et moyennes entreprises s'ouvrent de plus en plus à Internet, souvent sans plan de sécurité informatique approprié et avec peu de ressources de défense.

Capteurs et matériel IoT comme portes d'entrée

IoT-Hardware ist ein attraktives Ziel für Hacker: Sie kapern IP-Kameras mit Anschluss ans Unternehmensnetz für Botnetze, um über sie dann Denial-of-Service-Attacken durchzuführen. Eine weit verbreitete Gefahr sind die privaten Router oder andere IoT-Geräte im Homeoffice. Über sie können Angreifer Zugriff auf die zentrale IT-Infrastruktur im Unternehmen erlangen. Letztlich eröffnen bereits kleine Lücken die Türen und Toren für weitreichende Hackeraktivitäten. Dass Sensoren und IoT-Hardware eine Schwachstelle der IT-Abwehr sind, hat verschiedene Gründe: Viele Administratoren wissen oft nicht, welche Geräte Teil ihres Netzwerks ist.  Zudem nutzen Unternehmen die Geräte so lange, wie sie irgendwie funktionieren – länger als vom Hersteller gedacht. Unterstützen die Hersteller solche Systeme dann nicht mehr, wachsen diese Geräte sich zu einer Sicherheitslücke aus, zumal die Nutzer oft die Geräte nicht aktualisieren. Sofern es Updates überhaupt gibt.

Rechercher les anomalies dans le trafic de données

Wer den Austausch von Befehlen zwischen Sensoren und Command-and-Control-Server oder Seitwärtsbewegungen zu bösartigen Zwecken früh erkennen und abwehren will, benötigt einen unmittelbaren Zugriff auf IoT-Geräte. Wenn Geräte eine IP-Adresse haben und ein Teil des Unternehmensnetzes sind, kann NDR den Datenverkehr der IP-Videokamera, des Sensors in der Produktion oder des intelligenten Türschlosses sehen und auswerten. Der Fingerabdruck einer anomalen Kommunikation mit verwalteten IP-basierten IoT-Geräten hebt sich eindeutig vom normalen Datenverkehr ab: Sensoren in der Produktion etwa liefern im sicheren Standardbetrieb regelmässig kleine Pakete an zentrale Systeme und Applikation und erhalten so gut wie nie Datenpakete zurück – von einem Update mal abgesehen. Nach außen sind dagegen keine Daten zu übertragen, außer wenn ein Zulieferer dem Partner Daten schicken wollte. Eine durch künstliche Intelligenz und maschinelles Lernen geschulte Analyse des Netzverkehrs erkennt aber nicht vorhergesehene Vorgänge und schlägt Alarm.

Six conseils pour détecter, analyser et contrer les attaques de l'Internet des objets

Parallèlement, les administrateurs informatiques devraient suivre les conseils suivants pour contrer les attaques de l'Internet des objets :

1. Segmenter les réseaux d'entreprises : Les appareils IoT devraient se déplacer sur leur propre réseau. Pour collecter et transmettre des données sur place, un réseau invité suffit. Un accès à un tel réseau ou des modèles remarquables dans le trafic de données entre le réseau IoT et le réseau central peuvent alors être vus et surveillés efficacement.
2. Zero Trust comme protection de base : Aucun accès d'un appareil IoT ne devrait être autorisé sans contrôle. Ce contrôle d'accès par défaut crée une sécurité immédiate et empêche la prolifération de matériel IoT ayant accès au réseau.
3. Patch virtuel : Un patch virtuel dans un pare-feu applicatif aide à contrôler le trafic de données des appareils IoT non actualisables ou gérables avec le réseau. Ils résolvent les problèmes de sécurité existants via un blocage au niveau du pare-feu.
4. Une alarme doit être suivie de mesures immédiates : Des modèles anormaux de trafic de données sur le réseau doivent déclencher des mesures de défense par des pare-feux, des antivirus, des systèmes de détection et de réponse des points d'accès ou la gestion des identités. Le blocage des systèmes ou une sauvegarde automatique par snapshot dès la première apparition d'une attaque présumée et pendant les préparatifs sont des mesures immédiates automatisées pour éviter les dommages de manière préventive.
5. Construire une stratégie de défense globale : Si les systèmes informatiques ne font pas partie du réseau de l'entreprise, les administrateurs informatiques peuvent théoriquement installer un capteur d'un NDR localement, ce qui entraîne des coûts élevés et une charge administrative. D'autres technologies de sécurité jouent donc un rôle important, par exemple pour le routeur domestique non géré : un client EDR assure la protection immédiate de ce point final.
6. Analyser les événements afin de prévenir les attaques de demain : Si NDR a repoussé une attaque à l'aide d'autres technologies, l'analyse de l'incident joue un rôle important pour combler la faille et empêcher les attaques ultérieures. Les chemins d'une attaque, qu'un Network Detection and Response enregistre dans une chronologie de et vers l'extérieur ainsi qu'à l'intérieur du système dans un miroir de tout le trafic de données, restent visibles. L'intelligence artificielle et l'apprentissage automatique créent également de nouveaux modèles d'attaque du trafic de données qui peuvent indiquer une attaque IoT et aident à la défense future.

Identifier les traces dans le trafic de données

Le danger de l'Internet des objets dépasse rapidement les équipes informatiques disposant de peu de ressources informatiques humaines et techniques. Pourtant, à chaque fois que l'IdO est le point de départ d'une attaque contre l'infrastructure informatique centrale avec ses systèmes, ses applications et ses connaissances d'entreprise, ces événements se reflètent dans le trafic de données. Network Detection and Response, qui développe des modèles normaux du trafic de données sur la base de l'IA, de l'apprentissage automatique et de la Threat Intelligence, donne l'alerte en cas d'anomalie et met en œuvre des mesures de défense automatiques. Une telle défense est désormais à la portée des petites et moyennes entreprises. Auteur : Paul Smit est directeur des services professionnels chez ForeNova B.V. Cette entreprise est un spécialiste de la cybersécurité en pleine croissance qui propose aux moyennes entreprises des solutions de détection et de réponse réseau (NDR) abordables et complètes afin de réduire efficacement les dommages causés par les cybermenaces et de minimiser les risques commerciaux.

Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/sensoren-als-blinde-flecken-der-it-sicherheit/