Wir müssen das Internet der Dinge sichern, bevor jemand verletzt wird
Robert Haim von ACG Research
Dick Cheney, der ehemalige Vizepräsident der Vereinigten Staaten, hat bekanntlich den drahtlosen Zugang zu seinem Herzschrittmacher deaktiviert, weil er befürchtete, dass Terroristen einen Herzinfarkt auslösen könnten. In dem Film „Live Free or Stirb langsam“ von 2007 blockierten Kriminelle den Verkehr und verursachten Unfälle, indem sie alle Ampeln in Washington D.C. auf Grün stellten.
Diese realen und fiktiven Angriffe auf das, was wir heute das Internet der Dinge (IoT) nennen, hatten das Potenzial, Menschenleben zu verlieren. Angesichts all der IoT-Sensoren und -Steuerungen, die heute auf der ganzen Welt verwendet werden, ist es nur eine Frage der Zeit, bis schwache Sicherheitsvorkehrungen es böswilligen Akteuren ermöglichen, die Kontrolle zu übernehmen, gefährliche Verhaltensweisen zu ermöglichen oder menschliche Bediener zu falschen Aktionen zu verleiten.
Es ist nur eine Frage der Zeit. Wir müssen das Internet der Dinge sichern, bevor jemand verletzt wird. Aber wie?
In diesen Bereichen gibt es viele Herausforderungen. Zum Beispiel Identitätsmanagement. Sind Sie sich jemals genau sicher, welche Benutzer, Geräte oder Anwendungen versuchen, auf Ihre Daten zuzugreifen? Wie können Sie Ihre Identität mit begründeten Zweifeln nachweisen, aber weiterhin das Vertrauen stärken, dass Sie den richtigen Benutzern vertraut haben und nicht etwa einem Terroristen? Das bedeutet Verhaltensüberwachung in Echtzeit.
Nehmen Sie die Herausforderung an, kritische Informationen zu schützen, die möglicherweise durch Gesetze oder Branchen reguliert werden – oder einfach nur äußerst wertvoll für Unternehmen und Diebe sind. Diese Daten können sich unmittelbar (wie ein medizinisches Gerät) oder später (wie Baupläne für die Sicherheitssysteme eines Wasserkraftwerks) auf das Leben auswirken. Wie können Sie sicher sein, dass Daten und diese Geräte gut vor Manipulation oder unerlaubtem Zugriff geschützt sind?
Oder die Netzwerkverbindungen selbst, die mobile oder Festnetzgeräte wieder mit dem Rechenzentrum oder der Cloud verbinden. Sind die Verbindungen sicher? Können Hacker sich Zugang verschaffen, indem sie einen Endpunkt unterlaufen… und wurden diese Verbindungen auf Robustheit, Skalierbarkeit und Undurchdringlichkeit getestet? Finden wir heraus, wie.
Erkenne den Angriff. Stoppen Sie den Angriff
Die Herausforderung beim Erreichen eines „sicheren“ Netzwerks, einschließlich des IoT-Sektors, besteht darin, dass „Sicherheit“ ein negatives Ziel ist, sagt Robert Haim, leitender Analyst bei ACG Research , der sich auf die Netzwerk- und Telekommunikationsbranche konzentriert.
„Du versuchst etwas zu erreichen, ungeachtet dessen, was Gegner tun mögen, und du weißt nicht, welche Fähigkeiten die Gegner haben“, erklärt er. Da viele IoT-Endpunktgeräte nicht über genügend Arbeitsspeicher verfügen, um hochentwickelte Sicherheitssoftware zu integrieren. „Also, was werden wir tun?“
Eigentlich müssten zwei Probleme gelöst werden, sagt Haim:"Wir müssen uns um die Sicherheit des Geräts selbst sorgen und dann müssen wir uns auch überlegen, was wir tun müssen, wenn wir gehackt werden." Es hilft nicht, dass 55 % der Unternehmen nicht einmal wissen, woher die Bedrohung kommt und wo das Problem in ihrem Netzwerk liegt.
Schauen Sie sich Aktionen an, nicht nur die Identität
Mark McGovern, Gruppenleiter Bedrohungsanalyse, CA Technologien , sagt, dass es sehr wichtig ist, zu beobachten, was die Leute tun, wenn sie einmal Zugang zu einem System haben. Was sie tun, ist wichtiger, als wer sie sind. „Ob es ein bestehendes System ist, das 100 Millionen Benutzer in Echtzeit für ein Finanzinstitut oder große Kabelunternehmen autorisiert, wir denken nicht darüber nach, wer Sie zu sein behaupten oder welche Zugangsdaten Sie haben, sondern was Sie haben tun.“
Er erklärt:„Wenn Sie jemanden auf der Straße treffen, sagt er vielleicht, er sei X oder Y, aber die Realität ist, was beobachten Sie im Laufe der Zeit? Das ist das Vertrauen, das Sie den Menschen entgegenbringen.“
CA untersucht und analysiert das tatsächliche Verhalten der Entitäten, die zur Nutzung eines Systems berechtigt sind, und markiert die Dinge, die nicht mit dem früheren Verhalten dieser Entitäten vereinbar sind.
„Ob das ist eine IP-Adresse, ein Endpunkt, ein Login oder eine behauptete Identität, was sind die Dinge, die sich sowohl gegen ihr eigenes Verhalten als auch gegen das Verhalten der Bevölkerung abheben“, sagt McGovern. „Diese Daten verstärken das Lernen unserer Systeme und das maschinelle Lernen, das wir in diese Systeme einbetten, und bieten unseren Kunden auch einen Mehrwert.“
Beginnen Sie mit der Bedrohungsmodellierung
„Nehmen Sie ein beliebiges Gerät wie ein IoT-Türschloss“, sagt John Michelsen, Chief Product Officer, Zimperium , das KI-basierte mobile Bedrohungsabwehrsoftware herstellt. „Sie müssen auf Geräte-, Netzwerk- oder Anwendungsinhaltsebene ermitteln, wie dieses Gerät ausgenutzt werden könnte.“ Und dann musst du sie blockieren, bevor du auf den Markt gehst.
Das ist ein echtes Problem, sagt Michelsen. „Auf der Black Hat 2017 hat jemand bewiesen, dass sich 13 der 15 automatisierten Türgriffe innerhalb weniger Arbeitsstunden öffnen lassen. Mindestens 70 % der IoT-Verbraucher-IT-Geräte sind hackbar.“
Deshalb brauche man Threat Modeling, sagt er:„Zuerst machst du Threat Modeling. Dann identifizieren Sie Möglichkeiten, die Sie verhindern möchten – erkennen Sie dies und entwickeln Sie eine Lösung darum herum.“
Jeder muss nach draußen schauen
Jedes Unternehmen verfügt über interne Sicherheitsressourcen zum Testen von Software, Infrastruktur, Produkten und Dienstleistungen, aber das ist nicht genug, sagt Roark Pollock, Senior Vice President, Ziften , das Endpunktsicherheitslösungen bietet.
„Man muss nach draußen schauen. Schauen Sie sich Ihre Partner an und seien Sie offen dafür, dass sie Ihr Produkt testen. Möglicherweise müssen Sie einen ganzen Zertifizierungsprozess durchlaufen – lassen Sie sich diese Partnerzertifizierungen durchgehen. Es gibt heute Wirtschaftsprüfungsgesellschaften für die Sicherheit. Stelle sie ein.“
Vertraue dir nicht, beharrt er. Holen Sie sich externe Experten, um Ihre Ingenieure und Ihren Code noch einmal zu überprüfen.
„Dann schauen Sie sich die Community und Open-Source-Projekte an, um wieder sicherzustellen, dass es eine Community von Leuten gibt, die diesen Code noch einmal überprüfen, erneut überprüfen und vorantreiben.“
Pollock lässt sich von keinem Unternehmen beeindrucken, das davon ausgeht, dass es in puncto Sicherheit alles selbst machen kann. „Ich denke, es ist wichtig, sich Hilfe von außen zu holen.“
Künstliche Intelligenz zur Identitätssicherung nutzen
Hank Skorny, Senior Vice President, Neustar , ein Identitätsmanagement-Unternehmen, sagt, dass es mit der Ermittlung der Identität von Benutzern (oder Geräten oder Anwendungen) beginnt, die auf IoT-Geräte oder deren Daten zugreifen. Aber es hört hier nicht auf. „Man muss sich identifizieren. Das muss man auch immer in Zweifel ziehen, denn Identität ist nur eine Wahrscheinlichkeit, nie wirklich definitiv.“
Wie verbessern Sie das Vertrauen in diese Wahrscheinlichkeit? „Setzen Sie maschinelles Lernen und künstliche Intelligenz ein“, sagt er, während er ständig auf die Überwachung des von Ihnen erstellten Systems schaut.
„Sie werden nicht einfach jemanden identifizieren oder ein Gerät bestimmen oder was auch immer. Du wirst es polizeilich machen. Die einzige Möglichkeit, eine Welt im Nanosekundenbereich zu überwachen, besteht darin, computergestütztes maschinelles Lernen und künstliche Intelligenz zu verwenden, die ständig nach diesen Mustern bösen Verhaltens sucht – und sie schneller stoppen, als ein Mensch es jemals könnte.
Vertrauen Sie über mehrere Domains hinweg nachweisen
Einige Daten sind gesetzlich geschützt – denken Sie an Militärgeheimnisse oder persönlich identifizierbare Informationen über die Gesundheit, die in den Vereinigten Staaten durch den Health Insurance Portability and Accountability Act von 1996 (HIPAA) abgedeckt sind. Es gibt jedoch andere Informationen, die äußerst sensibel sind, auch wenn sie nicht durch spezielle Vorschriften abgedeckt sind. Betrachten Sie Daten über die Leistung von Profisportlern:Es handelt sich nicht um HIPPA-Gesundheitsinformationen, sondern um entscheidende Informationen für milliardenschwere Sportteams.
Zebrasport ist ein Unternehmen, das Trainingszeit- und Spieltags-Telemetriedaten von American-Football-Spielern sammelt, erklärt John Pollard, der Vizepräsident des Unternehmens, und das Unternehmen musste hart arbeiten, um Tore mit der National Football League (NFL) zu erzielen.
„Eines der Kriterien, die die NFL bei der Bewertung verschiedener Technologien durchlaufen hat, war sicherlich die Sicherheit“, sagt er. „Wir sammeln viele Informationen und müssen diese Informationen in Software und Dienste übertragen, damit unsere Kunden in den primären Branchen diese Informationen auswerten können. Das verkörpert sicherlich auch die NFL. Da wir Informationen erfassen, die für einen Profisport noch nie zuvor erfasst wurden, sprechen wir über Beschleunigung, Verzögerung, Richtungsänderung, Nähe über einen Gesamtzeitraum.“
Dass Zebra dabei hilft, zu punkten:Seine reiche Erfahrung im IoT in den Bereichen Einzelhandel, Transport, Logistik, Fertigung und Gesundheitswesen.
„Unsere Erfahrung in der Zusammenarbeit mit diesen Branchen hat uns sicherlich dabei geholfen, ein stichhaltiges Argument zu entwickeln, um ein Partner der NFL bei der Erfassung dieser Art von Informationen zu sein“, sagt Pollard.
Die Sicherheitslektion hier, sagt Pollard, ist, dass es nicht unbedingt wichtig ist, nur weil es Sport ist. Dieselben Prinzipien gelten beispielsweise für das militärische oder kommerzielle IoT wie für die NFL. Telemetrie für einen Fußballspieler unterscheidet sich nicht von Telemetrie für einen Wachmann oder sogar eine Rakete. Der erste Parameter besteht darin, es sicher zu machen.
Vertrauenszonen erstellen – und durchsetzen
Nicht alle Benutzer werden gleich erstellt und nicht alle Benutzer benötigen dieselben Informationen von einem IoT-Gerät. Das IT-Personal des Krankenhauses muss überprüfen, ob die Daten einer Dialysepumpe von der richtigen Anwendung erfasst und in den richtigen Patientenakten gespeichert werden. Ebenso muss das IT-Personal überprüfen, ob die Tür zu einem gesicherten Teil eines Gebäudes ordnungsgemäß funktioniert, aber auch hier ist es möglicherweise nicht berechtigt, die Tür selbst zu öffnen.
„Wenn man sich die Anzahl der Personen ansieht, die mit diesem Türschloss interagieren, die Rollen, die Verantwortlichkeiten, dort bauen sich die Vertrauenszonen immer wieder auf“, sagt Sanjeev Datla, Chief Technology Officer, Lantronix , das die industrielle IoT-Technologie entwickelt. „Welche verschiedenen Zugriffsebenen gibt es für den Türadministrator? Für die Krankenschwester, die mit den Dialysegeräten interagiert?“
Und was ist mit dem Außendiensttechniker, der kommt, um auf die Maschine zuzugreifen oder sie zu warten? „Kennen Sie die Rollen und Verantwortlichkeiten, was erlaubt ist und was nicht“, sagt er.
Datla besteht darauf, dass es nicht einfach ist. „Sie haben eine Infusionspumpe mit einem Ethernet-Anschluss. Was sind die Vertrauensringe oder Zugangskontrollen, wenn Sie so wollen, um diesen Port herum? Und wie wird es getestet?“ Wie Mark McGovern von CA oben sagte, muss dies komplexer sein als einfache Zugriffskontrolllisten.
„Wir suchen nach Verhaltensanalysen“, sagt Datla, „Okay, diese Person sollte das derzeit nicht tun. Wenn sie das tun, was tun Sie dagegen? Wie geben Sie eine Warnung aus und erhalten eine Genehmigung oder eine Sperre von einer höheren Ebene?“
Vergiss nie:Alles ist verbunden
„IoT-Geräte werden immer intelligenter“, sagt Pollock von Ziften. „Wir reden hier nicht mehr von dummen Mikrocontrollern für Steuergeräte mit Luftspalt. Die Rede ist von smarten Sensoren im Netzwerk. Die Rede ist von intelligenten Gateways.“
Darüber hinaus weist er darauf hin:„Viele IoT-Geräte sind für alle praktischen Zwecke voll funktionsfähige PCs, aber wir behandeln diese Geräte nicht wie normale PCs in unseren Unternehmensnetzwerken.“
„Schauen Sie, wenn Sie all diese verbundenen Geräte haben möchten, müssen Sie sowohl den Zustand dieses Geräts als auch die Hygiene dieses Geräts überwachen können. Es muss in Ihrer Umgebung gehärtet sein.“
In Anlehnung an frühere Kommentare besteht Pollock darauf, dass Unternehmen IoT-Geräte auf Verhalten überwachen müssen, nicht nur auf die Zugriffskontrolle. „Suchen Sie vom Standpunkt des Verhaltens nach Ausreißern und beginnen Sie zu identifizieren, was mit diesem Gerät passiert und was es tut. Konzentrieren Sie sich auf diese Ausreißer mit dem langen Ende der Kurve auf das, was passiert. Identifizieren Sie Geräte, die etwas Außergewöhnliches tun, und sehen Sie sich diese an und untersuchen Sie diese als potenzielle Probleme.“
Denn mit IoT-Geräten und IoT-Anwendungen, die anfällig für Angriffe sind, wird das Leben auf dem Spiel stehen.
Der Autor ist Robert Haim, Principal Analyst – Business Analysis &IoT, ACG Research
Internet der Dinge-Technologie
- Faszinierendes Internet der Dinge:Was treibt IoT-Praktiker an?
- Bringen der Blockchain in das Internet der Dinge
- Überwachung des Internets der Dinge
- Hyperkonvergenz und das Internet der Dinge:Teil 1
- Die Sicherheitsherausforderung durch das Internet der Dinge:Teil 2
- Wir müssen das Internet der Dinge sichern, bevor jemand verletzt wird
- In das Potenzial des Internets der Dinge investieren
- Das echte Internet der Dinge?
- Das Internet der Dinge:Den Datenfluss managen
- Sicherung des industriellen Internets der Dinge