IoT-Cybersicherheit:5 Möglichkeiten zum Schutz Ihrer Anwendung

Im Oktober 2016 stand das Internet der Dinge im Mittelpunkt einer der größten DDoS-Angriffe (Distributed Denial of Service). Ein Botnet namens Mirai hackte IoT-Geräte und schickte dann mithilfe dieser Geräte eine beispiellose Anzahl von Verkehrsanfragen an Dyn, einen großen DNS-Anbieter. Dieser Anstieg des Datenverkehrs führte dazu, dass Dyn offline ging und in der Folge auch eine Reihe seiner bemerkenswerten Kunden offline war – darunter Amazon, Twitter und PayPal.

Während es in den letzten Jahren zahlreiche hochkarätige IoT-bezogene Cyberangriffe gab, zeigt der Dyn-Angriff die Bedeutung der IoT-Cybersicherheit. Um Ihre eigene Anwendung vor IoT-Verstößen zu schützen, können Sie fünf Dinge tun:

1. Stellen Sie Ihre IoT-Geräte nicht mit Standardbenutzernamen und -passwörtern bereit.

Ein Großteil der IoT-Cyberbedrohungen kann durch Befolgen dieser einfachen Regel vermieden werden. Hier ist der Grund:Viele gängige IoT-Geräte (wie viele intelligente Thermostate und Sicherheitskameras) basieren auf Linux, und viele werden mit Standardbenutzernamen und -kennwörtern für SSH-Verbindungen ausgeliefert. (Wir werden weiter unten auf die Gefahr von SSH eingehen.) Wenn Ihr Kunde eines dieser Geräte in sein Netzwerk einfügt, wird es zu einem sehr Einfaches Ziel. Der Mirai-Angriff suchte gezielt nach Geräten mit dieser Eigenschaft. Tools wie Shodan und Nmap machen es Hackern leicht, ein Skript zu schreiben, das diese Geräte findet und das Standardpasswort testet, was den Weg für einen groß angelegten Angriff mit Botnets ebnet.

Möchten Sie erfahren, wie groß angelegte Fertigungsbetriebe Materialien in ihren Werken verfolgen und überwachen?

Um dies zu vermeiden, empfehlen wir dringend, andere Lösungen zur Verwaltung Ihrer Anwendungen in Betracht zu ziehen, ohne Standardpasswörter. Sogar Hashing – bei dem Kunden ihre eindeutigen Produktseriennummern in einen Browser eingeben, um ihr Passwort zu erhalten – ist sicherer als der Versand standardisierter Benutzernamen und Passwörter.

2. Verwenden Sie nach Möglichkeit keine SSH-Verbindung (Secure Socket Shell).

Wie bereits erwähnt, laufen viele IoT-Anwendungen unter Linux und die meisten Linux-Systeme aktivieren SSH standardmäßig. Das bedeutet, dass das Gerät auf Port 22 „lauscht“ für jeden, der sich über SSH damit verbinden möchte. Wenn Ihre Anwendung nicht erfordert Wenn Sie SSH verwenden, stellen Sie sicher, dass es deaktiviert ist – denn es handelt sich um eine große Sicherheitslücke für die IoT-Cybersicherheit.

3. Begrenzen Sie die Gefährdung Ihrer Anwendung durch IP-basierte Netzwerke, wenn möglich.

Die Chancen stehen gut, dass jemand, der versucht, Ihr IoT-Gerät zu hacken, dies mithilfe eines skriptbasierten Online-Angriffs tut. Es ist viel seltener, dass ein Gerät von einem schlechten Schauspieler im selben Raum physisch gehackt wird. Begrenzen Sie die Gefährdung Ihrer Anwendung durch IP-Netzwerke, wenn Sie können.

Ihr Konnektivitätsanbieter kann Ihnen möglicherweise weiterhelfen. Symphony Link hat beispielsweise keine IP-basierte Kommunikation vom Endknoten zum Gateway, daher gibt es keine netzwerkbasierte Schwachstelle, die diesen Link angreifen kann. Selbst wenn ein Hacker in der Lage wäre, beispielsweise auf einen mit Symphony Link verbundenen intelligenten Wasserzähler zuzugreifen, könnte der Hacker nichts tun, um die Verbindung zum Upstream-IP-Netzwerk auszunutzen.

4. Erstellen Sie einen VPN-Tunnel in Ihr Back-End-Netzwerk.

Ermöglichen Sie Ihren Geräten, einen Tunnel für ein virtuelles privates Netzwerk (VPN) für eine sichere Kommunikation zu erstellen. Der beste Weg, dies mit mobilem IoT zu tun, besteht darin, mit Ihrem Mobilfunkanbieter zu verhandeln, um Ihre Geräte in dessen privatem Netzwerk mit einem VPN-Tunnel direkt zu Ihrem Backend hinzuzufügen. Das Ergebnis:Kein Datenverkehr von oder zu Ihren Geräten kann ins Internet gelangen. Dies ist ein Service namens virtuelles Air-Gapping, den wir unseren LTE-M-Kunden hier bei Link Labs anbieten.

5. Bestimmte IPs und Domainnamen auf die Whitelist setzen.

Erwägen Sie, nur eine ausgewählte Liste von IP-Adressen oder Domänennamen zuzulassen, um Datenverkehr an Ihre Geräte als eine Form des Firewall-Schutzes zu senden. Dies kann dazu beitragen, nicht autorisierte Verbindungen zu verhindern. Denken Sie daran, dass, wenn Ihr Gerät ist gehackt wurde, kann der Hacker möglicherweise die von Ihnen eingerichteten IP- und Domain-Sperren entfernen. Dies ist jedoch immer noch eine gute Vorsichtsmaßnahme.

Wenn Sie ein großes Unternehmen sind, das eine vernetzte Anwendung entwickelt, empfehlen wir von Link Labs dringend, sich an ein etabliertes Sicherheitsberatungsunternehmen zu wenden, das Ihre Cybersicherheitspraktiken analysieren und sicherstellen kann, dass Ihre Anwendung solide ist. Warten Sie nicht, um Thema eines Dark Reading-Artikels darüber zu werden, wie einfach es ist, Ihr Gerät auszunutzen. Geben Sie das Geld jetzt aus, um Ihre Bewerbung zu sichern. Bei Fragen in diesem Bereich helfen wir Ihnen gerne weiter – senden Sie uns eine Nachricht und wir werden uns in Kürze bei Ihnen melden.