Cum poate IoT sa compromita integritatea retelei

 
Cifre recente indica faptul ca exista aproximativ 8,4 miliarde de dispozitive IoT in uz si numarul acestora este estimat sa ajunga la peste 20 de miliarde pana in 2020. Astazi, IoT cuprinde o vastitate de tehnologii, iar implementarea sa vine in numeroase forme. Printre acestea se numara cazurile de utilizare controlata a internetului industrial al lucrurilor (IIoT) si cazurile de utilizare neadministrata a Internetului de consum al obiectelor (CIoT).
Desi IIoT poate parea incredibil de complex, managementul securitatii este, de fapt, usor de realizat. Cheia este o solutie care controleaza fluxul de trafic intre dispozitive si aplicatii, garantand cele mai bune servicii din clasa si asigurand conformitatea protocolului. De asemenea, este cruciala securizarea comunicatiilor prin criptografie (TLS) si a serviciilor de securitate (protectia politicilor si a vulnerabilitatilor).
O provocare cheie in implementarea tehnologiei IIoT consta in schimbarea caracteristicilor masuratorilor de trafic. Dispozitivele IIoT sunt numeroase, sesiunile sunt lungi (luni sau chiar ani), iar volumul traficului este, de obicei, foarte scazut. Suspendarea sesiunilor inactive nu este intotdeauna o optiune. Intr-adevar, natura “permanenta” a unor aplicatii poate conduce la supra-trafic in cadrul retelei.
Dispozitivele CIoT, care de obicei nu sunt administrate in mod structurat, includ obiecte precum camerele CCTV, sistemele inteligente de difuzoare si alte consumabile. In spatele unui abonat CPE la o retea mobila sau la linie fixa, poate fi dificil de identificat astfel de dispozitive in retea, deoarece relatiile de comunicare nu sunt intotdeauna clar definite.
Problema este accentuata de faptul ca multe dispozitive inteligente sunt construite pe chipset-uri ieftine, care asigura protocolul de retea si, ocazional, un strat de aplicatie. Producatorii evita adesea furnizarea de patch-uri si, uneori, chiar isi declina responsabilitatea odata ce dispozitivul este livrat. Acest lucru poate cauza perturbari semnificative. Potrivit celui mai recent Intelligence Threat Report realizat de laboratoarele F5, Europa este deja un hotspot pentru Thingbots, care sunt construiti exclusiv plecand de la dispozitivele IoT si devin rapid una din armele cibernetice preferate de atacatorii ambitiosi.
F5 Labs a raportat 30.6 milioane de atacuri globale Thingbot intre 1 ianuarie si 30 iunie 2017, folosind echipamente Telnet, un protocol de retea care ofera o interfata de linie de comanda pentru comunicarea cu un dispozitiv. Aceasta reprezinta o crestere de 280% fata de perioada de raportare precedenta de la 1 iulie la 31 decembrie 2016. Furnizorii de servicii reprezentau 44% dintre primele 50 de adrese IP care ataca, 56% provenind din surse ISP / telecom.
In ciuda cresterii, activitatile de atac nu se aseamana cu amploarea thingbot-ilor Mirai si Persirai. 93% din atacurile din perioada de raportare a F5 au avut loc in lunile ianuarie si februarie, activitatea inregistrand o usoara scadere din martie pana in iunie. Acest lucru ar putea indica faptul ca atacurile noi se afla la orizont, in timp ce atacatorii trec de la faza de “tatonare” la faza de “constructie”.
Din pacate, vom continua sa vedem cum se construiesc Thingboti masivi in vreme ce producatorii de solutii IO vor fi fortati sa asigure aceste dispozitive, sa recheme produsele sau sa se supuna presiunii cumparatorilor care vor refuza pur si simplu sa achizitioneze dispozitive vulnerabile.
In acest context, furnizorii de servicii sunt provocati nu numai sa identifice situatiile de infectare, ci si sa atentueze atacurile DoS venite din exterior.
Regulile traditionale de layer 3 si 4 ale firewall-ului nu mai sunt de mare ajutor. Analiza comportamentala robusta a traficului este esentiala acum. In acest fel, dispozitivele de securitate invata retelei in timp comportamentul “normal”. Odata ce se constata o abatere, se initiaza o varietate de activitati. Acestea pot include crearea unei alerte care sa declanseze un proces de atenuare manuala dupa o verificare umana sau crearea unei semnaturi dinamice pentru a bloca anomaliile detectate.
Retelele cu capacitati de auto-aparare devin parte integranta a arhitecturii de securitate de maine. Intre timp, organizatiile responsabile pot incerca sa se protejeze mai bine adoptand o strategie DDoS, asigurand redundanta pentru serviciile critice si implementand solutii de administrare a credentialelor angajatilor. De asemenea, este important sa educam permanent angajatii cu privire la pericolele potentiale care apar odata cu dispozitivele IoT si cum sa le folosim in siguranta.
 
Sursa.