Auspacken des IoT, eine Serie:Die Sicherheitsherausforderung und was Sie dagegen tun können

Netzwerkingenieure stehen bei der Bereitstellung von Internet of Things (IoT)-Initiativen vor einer Reihe von Herausforderungen. Kommen Sie in den nächsten Wochen zum Cisco IoT-Blog zurück, während wir uns mit den drei wichtigsten IoT-Herausforderungen und Best Practices zu deren Bewältigung beschäftigen.

Zunächst einmal die mit Abstand größte Herausforderung im IoT:Sicherheit .

IoT-Sicherheitsbedrohungen unterscheiden sich deutlich von Sicherheitsbedrohungen in traditionellen IT-Umgebungen:In der traditionellen IT konzentrieren sich Sicherheitsbedenken in erster Linie auf den Schutz von Daten. Angreifer können Daten stehlen, Daten kompromittieren und Lösegeld einbehalten. In letzter Zeit sind sie genauso daran interessiert, Rechenleistung für böswillige Krypto-Mining-Aktivitäten zu stehlen.

Diese Sicherheitsbedenken bestehen zwar im IoT, gehen jedoch noch weiter und erstrecken sich über die Daten hinaus in die physische Welt. Zumindest kann ein IoT-Sicherheitsvorfall Menschen belästigen oder den Betrieb unterbrechen und innerhalb weniger Stunden einen Schaden in Millionenhöhe verursachen. Im schlimmsten Fall können diese Angriffe Systeme beschädigen, die einen physischen Prozess kontrollieren und sogar Leben gefährden. Betrachten Sie die folgenden Beispiele:

• Der berüchtigte Stuxnet-Angriff im Jahr 2010 nutzte mehrere Zero-Day-Fehler in der Microsoft Windows-Software. Ziel war es, SPS mit der Step7-Software von Siemens zu erkennen und zu korrumpieren, um diese mit Malware so umzuprogrammieren, dass sich die schnell drehenden Nuklearzentrifugen unter ihrer Kontrolle buchstäblich auseinanderreißen. Als Endergebnis dieses Angriffs wurde ein Fünftel der iranischen Nuklearzentrifugen zerstört.
• Wir erlebten den ersten erfolgreichen Cyberangriff auf ein Stromnetz im Jahr 2015, als Cyberangriffe die Kontrolle über mehrere ukrainische Kraftwerke erlangten, was zu einem Stromausfall von über 225.000 Einwohnern für einen Zeitraum von bis zu sechs Stunden führte. Dieser komplexe und mehrphasige Angriff erlangte nicht nur die Kontrolle über SCADA-Systeme und ermöglichte es ausländischen Akteuren, Umspannwerke aus der Ferne abzuschalten, sondern umfasste auch einen DoS-Angriff auf das Callcenter, sodass Verbraucher nicht anrufen konnten, um Probleme zu melden oder Updates zu erhalten den Status des Blackouts.
• Im Jahr 2017 setzte ein Angreifer ICS-Malware namens Triton ein, die darauf abzielte, industrielle Sicherheitssysteme zu manipulieren, um den Betrieb kritischer Infrastrukturen zu stören. Die spezifische Ausrichtung des Angreifers auf die sicherheitsgerichteten Systeme (SIS) deutet auf ein Interesse hin, einen Angriff mit großer Wirkung mit physischen Folgen zu verursachen (ein Angriffsziel, das normalerweise von Cyberkriminellen-Gruppen nicht gesehen wird). Die Analyse des Vorfalls führte die Ermittler zu der Annahme, dass dies das Werk eines Nationalstaats war, der sich auf einen umfassenderen Angriff vorbereitet.
• Im Jahr 2019 zwang ein Ransomware-Angriff auf Norsk Hydro, einen der weltweit größten Aluminiumhersteller, das Unternehmen dazu, auf manuelle Vorgänge umzustellen, um die Sicherheitsverletzung einzudämmen. Der Angriff kostete das Unternehmen 52 Millionen US-Dollar und führte zu einem weltweiten Anstieg des Aluminiumpreises.

Diese Vorfälle zeigen, wie kritisch – und herausfordernd – Sicherheit in IoT-Szenarien sein kann.

IoT-Sicherheitsbedrohungen verhindern und eindämmen

In den obigen Beispielen hätten Sicherheitsverletzungen mit einer bewährten Methode für die Netzwerksicherheit, der Segmentierung, vollständig verhindert oder zumindest erheblich eingedämmt werden können. Die Segmentierung ist eines der effektivsten Netzwerkdesignprinzipien für die Bereitstellung aus Sicherheitsgründen. Es ist ein allgemein akzeptiertes Netzwerk-Axiom – aber wenn ja, warum segmentieren Unternehmen ihre Netzwerke nicht vollständig?

Die Antwort:Es ist kompliziert.

Um die Kosten zu senken, haben Unternehmen ihre Daten-, Sprach- und Videonetzwerke in einer gemeinsamen physischen Infrastruktur zusammengeführt. In jüngerer Zeit wurden auch IoT-Geräte zum gleichen IP-Netzwerk hinzugefügt. Aus Sicherheits- und Verwaltungsgründen ist jedoch eine logische Trennung zwischen diesen Diensten erforderlich. Dazu segmentieren Netzwerkingenieure das Netzwerk normalerweise mithilfe von VLANs. Dieser Prozess erfordert mehrere Schritte, Berührungspunkte, Richtlinien und Benutzeroberflächen. Auf hoher Ebene müssen Netzwerkingenieure Gruppen in Active Directory erstellen, Richtlinien definieren, VLANs/Subnetze ausführen und die Richtlinie implementieren.

Die Komplexität der Segmentierung macht die Aufgabe nicht nur mühsam, sondern erhöht auch das Risiko menschlicher Fehler. Beispielsweise sind Zugriffskontrolllisten (ACLs) auf Netzwerkgeräten oft Zehntausende von Zeilen lang. Sie sind aufgrund schlecht dokumentierter Gründe für jede Zeile im Eintrag schwer zu verwalten und zu verstehen. Wenn es eine Diskrepanz bei den ACLs von einem Gerät zum anderen gibt, gibt es eine potenzielle Schwachstelle und einen Angriffsvektor, der ausgenutzt werden kann.

Wir bringen Cisco Security in das IoT

Angesichts der Schlüsselrolle, die die Netzwerksegmentierung beim Schutz von Netzwerkressourcen spielt, ist es wichtig, dass Netzwerkadministratoren das Netzwerk effizient und effektiv segmentieren können. Bei Cisco vereinfachen wir die Segmentierung, indem wir Intent-based Networking auf das Unternehmensnetzwerk anwenden. Dieser spezifische Ausdruck von Intent-based Networking wird als Software Defined Access (SDA) bezeichnet.

Software Defined Access macht es für Netzwerkadministratoren überflüssig, die Sprache von Zugriffskontrolllisten oder Gruppenrichtlinien zu sprechen, um zu identifizieren, welche Netzwerkgeräte miteinander kommunizieren können. Mit ein paar einfachen Klicks und Drag-and-Drop der Maus können Netzwerkadministratoren separate virtuelle Netzwerke für Sprache, Daten, drahtlosen Gastzugriff, BYOD, IoT und mehr einrichten. In diesem Jahr haben wir diese Funktionen bis hin zum IoT-Edge ausgeweitet, sodass Parkplätze, Verteilzentren, Produktionsstätten, Flughäfen, Seehäfen usw. alle von derselben Glasscheibe aus verwaltet werden können wie das Unternehmen mit Teppichboden, nämlich Cisco DNA-Zentrum.

Mit Cisco DNA Center, einem zentralisierten Management-Dashboard, können Netzwerkadministratoren Netzwerke im gesamten Unternehmen bereitstellen und sicherstellen, dass Geräte, die einem virtuellen Netzwerk zugewiesen sind, nicht mit den Geräten in einem anderen virtuellen Netzwerk kommunizieren können. Tatsächlich können die Geräte in einem virtuellen Netzwerk nicht einmal die anderen virtuellen Netzwerke sehen. Für sie ist das virtuelle Netzwerk, mit dem sie verbunden sind, das einzige Netzwerk, das existiert oder jemals existiert hat. Das bedeutet, dass IoT-Geräte, die einem virtuellen IoT-Netzwerk zugewiesen sind, nur mit anderen Geräten, die demselben virtuellen Netzwerk zugewiesen sind, und nichts (und niemandem) sonst kommunizieren können. Eine solche logische Trennung wird Makrosegmentierung genannt.

SDA bietet Netzwerkadministratoren jedoch eine noch detailliertere Richtlinienoption.

Bei der Makrosegmentierung kann jedes Gerät innerhalb eines virtuellen Netzwerks standardmäßig mit jedem anderen Gerät in demselben virtuellen Netzwerk kommunizieren. Wenn also Videokameras, Temperatursensoren und Ausweisleser alle einem einzigen „virtuellen IoT-Netzwerk“ zugewiesen würden, könnten diese Geräte – standardmäßig – miteinander kommunizieren. Eine solche Kommunikation kann ein Sicherheitsproblem darstellen – Wenn ein einzelnes Gerät kompromittiert wird, verwenden Angreifer dieses Gerät, um das Netzwerk nach anderen Geräten zu durchsuchen, die einen weiteren Zugang zum Unternehmen ermöglichen (Sehen Sie sich an, wie dies geschieht). Hier kommt die Mikrosegmentierung ins Spiel.

In Cisco DNA Center können Netzwerkadministratoren ganz einfach Mikrosegmentierungsrichtlinien erstellen, die definieren, welche Geräte mit anderen Geräten innerhalb desselben virtuellen Netzwerks kommunizieren können . (Sehen Sie sich die Demo an, Cisco Extended Enterprise mit DNA-C.) Administratoren können die Richtlinie auch so konfigurieren, dass eine Warnung gesendet wird, wenn diese Geräte versuchen, mit nicht autorisierten Geräten zu kommunizieren, was auf einen möglichen Sicherheitsangriff hindeuten könnte. In unserem obigen Beispiel können Videokameras so konfiguriert werden, dass sie nur mit anderen Videokameras sprechen. Wenn sie versuchen, mit den Temperatursensoren oder Ausweislesern zu sprechen, wird eine Warnung ausgegeben.

Die Möglichkeit, das Netzwerk mit SDA sowohl auf Makro- als auch auf Mikroebene zu segmentieren, ist eine großartige Lösung, um Sicherheitsverletzungen sowohl zu verhindern als auch einzudämmen. Es lässt sich leicht skalieren, um die Anforderungen des Unternehmensnetzwerks zu erfüllen, und jetzt können Cisco-Kunden dieselben Konzepte auf ihre IoT-Netzwerke anwenden. Darüber hinaus können sie dies effizient und effektiv tun, indem sie dieselbe Verwaltungsschnittstelle verwenden, die sie für das Unternehmensnetzwerk verwenden. Möchten Sie mehr erfahren? Sehen Sie sich unser On-Demand-Webinar Cisco IoT:Drive Transformation in the Public Safety, Oil and Gas, and Manufacturing Sectors an. Und vergessen Sie nicht, im Cisco IoT-Blog nach den anderen wichtigsten Herausforderungen für das IoT von Unternehmen zu suchen.