Bewältigen Sie die Herausforderungen der IoT-Sicherheit für Heimarbeiter

Greg Day von Palo Alto Networks

Da die Grenzen zwischen Arbeits- und Heimumgebung immer weniger werden, verschwindet auch die Trennung zwischen geschäftlichen und privaten angeschlossenen Geräten. Dies birgt neue Herausforderungen im Bereich der Cybersicherheit, die eine koordinierte Reaktion von allen erfordern, auch von Heimarbeitern, sagt Greg Day, VP und CSO EMEA, Palo Alto Networks .

Überflutung des nicht geschäftlichen IoT in Unternehmensnetzwerke

Die Zunahme von Heim- und Hybridarbeitsplätzen führt dazu, dass Verbraucher verbundene Geräte in immer größerer Zahl in Unternehmensnetzwerke verirren. Seit zwei Jahren verfolgen wir diesen Trend im Rahmen einer IoT-Sicherheitsstudie in 18 Ländern in EMEA, APAC und Amerika.

In der Studie von 2021 berichteten 78 % der IT-Entscheidungsträger weltweit (unter denen, deren Unternehmen über IoT-Geräte mit ihrem Netzwerk verbunden sind) im letzten Jahr eine Zunahme von IoT-Geräten außerhalb des Unternehmens, die von Remote-Mitarbeitern mit Unternehmensnetzwerken verbunden wurden. In einigen Märkten wie den USA sind die Berichte sogar noch höher:84 % gaben an, dass es einen Anstieg gegeben habe.

Wenn man sich anschaut, auf welche Art von nicht geschäftsbezogenen Dingen gestoßen wird, ist die Vielfalt ziemlich auffällig. Die weltweit am häufigsten gemeldeten nicht geschäftlichen vernetzten Geräte sind tragbare medizinische Monitore, gefolgt von intelligenten Glühbirnen, vernetzten Fitnessgeräten, Kaffeemaschinen, Spielkonsolen und sogar Futterautomaten für Haustiere gehören zu den seltsamsten Geräten, die entdeckt werden. Das liegt unter anderem daran, dass der Anstieg der Heimarbeitsgewohnheiten (WFH) mit einem Boom bei Smart-Home-Kits sowie einer Reihe von Wearables für Fitness und Gesundheit zusammenfällt.

Cybersicherheitsmängel und -bedrohungen

Ein Appell ungewöhnlicher IoT-Geräte mag zwar amüsant sein, stellt jedoch eine wachsende Sicherheitsherausforderung für Cybersicherheitsteams dar. Angreifer benötigen nur einen Mitarbeiter, um über ein verwundbares Gerät zu verfügen, das ausgenutzt werden kann. Viele Consumer-IoT-Geräte verfügen über schlechte oder leider keine Sicherheitsfunktionen. Wie viel können Sie in der Tat von einem Sicherheitsniveau der Enterprise-Klasse bei einem intelligenten Gerät erwarten, das weniger als 100 US-Dollar (88,59 €) kostet? Ebenso haben bewährte Codierungspraktiken, die von ausgereiften Softwareunternehmen angewendet werden, in der Regel eine geringere Priorität, und Fehlerkorrekturen können langsam sein.

Threat Intelligence-Experten wie unser eigenes Unit 42-Team melden Angriffe, die auf Schwachstellen im Home-Office-Kit abzielen. Dazu gehörte im Februar 2021 eine Mirai-Variante, die Sicherheitslücken bei einer Reihe von IoT-Heimgeräten angreift. Die größte Sorge besteht darin, wie ein kompromittiertes, nicht geschäftlich verbundenes Gerät verwendet wird, um einen ernsthafteren Ransomware-Angriff zu starten. In diesem Sommer enthüllte Unit 42 Beweise dafür, wie Ransomware-Banden anscheinend in Tools investierten, die die eCh0raix-Ransomware-Variante nutzten, um Heimarbeiter mit NAS-Geräten anzugreifen. Die Motivation dieser Angriffe könnte darin bestehen, ein ausgenutztes Heimnetzwerkgerät als Sprungbrett für Lieferkettenangriffe auf große Unternehmen zu verwenden, die riesige Lösegelder generieren können.

Folglich könnten IoT-Geräte für Verbraucher ein großes Problem für Unternehmen darstellen. Dies haben die Befragten in unserer Studie bestätigt. Weltweit berichteten die meisten IT-Entscheidungsträger (81%), deren Organisation IoT-Geräte mit ihrem Netzwerk verbunden hat, dass die Remote-Arbeit während der COVID-19-Pandemie zu einem erhöhten Risiko durch ungesicherte IoT-Geräte im Geschäftsnetzwerk ihres Unternehmens führte. Bei mehr als sieben von zehn (78 %) führte dieses erhöhte Risiko zu einer Zunahme der IoT-Sicherheitsvorfälle.

Weder Heimarbeit noch die Zunahme von IoT-Geräten werden verschwinden, sodass der Druck erhöht wird, die IoT-Cybersicherheit zu überprüfen. Tatsächlich gaben fast alle Befragten (96 % im Jahr 2021 und 95 % im Jahr 2020) unserer globalen IoT-Umfrage an, dass ihre Organisation ihren Ansatz zur IoT-Sicherheit verbessern muss. Im Jahr 2021 hielten 25 % eine komplette Überholung für das Beste.

Wie WFH-Mitarbeiter helfen können

Es braucht einen dreigleisigen Ansatz mit verstärkter IoT-Cybersicherheit, die zu Hause beginnt.

Unternehmen müssen ihre WFH-Mitarbeiter sowohl schulen als auch beauftragen, die Messlatte für die Hygienestandards für die Cybersicherheit zu Hause zu erhöhen, beginnend mit ihrem Router. Einige grundlegende Befehle sollten das Ändern der Standardsicherheitseinstellungen und das anschließende Verschlüsseln des Heimnetzwerks umfassen, indem einfach die Routereinstellungen entweder auf WPA3 Personal oder WPA2 Personal aktualisiert werden. WFH-Mitarbeiter sollten auch beauftragt werden, eine Überprüfung der angeschlossenen Geräte durchzuführen und alle nicht regelmäßig verwendeten Geräte zu deaktivieren.

Es gibt einen weiteren Schritt, der unternommen werden sollte. WFH-Mitarbeiter sollten auch die Mikrosegmentierungsfunktion nutzen, die normalerweise in der Firmware der meisten Wi-Fi-Router enthalten ist. Dadurch können Benutzer separate Netzwerke unterhalten, eines für Gäste und IoT-Geräte und eines für Unternehmenszwecke.

Die Netzwerksegmentierung ist der Schlüssel zu einer guten allgemeinen Cyberhygiene im Unternehmen und zu Hause. Laut der IoT-Umfrage gaben 51 % der IT-Entscheidungsträger (die IoT-Geräte mit dem Netzwerk ihres Unternehmens verbunden haben) an, dass IoT-Geräte in einem separaten Netzwerk segmentiert sind. Sie sind getrennt von denen, die sie für primäre Geschäftsgeräte und Geschäftsanwendungen verwenden (z. B. HR-System, E-Mail-Server, Finanzsystem). Es ist jedoch besorgniserregend, dass eine relativ große Anzahl globaler IT-Entscheidungsträger (einer von fünf) zugibt, dass IoT-Geräte nicht in einem anderen Netzwerk segmentiert sind als dem, das sie für primäre Geräte und wichtige Geschäftsanwendungen verwenden. In einigen Märkten wie dem Vereinigten Königreich sind die Ergebnisse sogar noch schlechter, da jeder Dritte zugibt, dass überhaupt keine Segmentierung erfolgt.

Schließlich müssen Unternehmen sich vom Hub-and-Spoke-Verbindungsmodell entfernen, bei dem alles über eine Sicherheitsleitung läuft und Heimarbeiter sich über VPN wieder mit dem Unternehmen verbinden. In dem vielfältigen vernetzten Ökosystem von heute funktioniert Einheitssicherheit einfach nicht. Allzu oft suchen Benutzer nach dem AUS-Schalter ihres VPN, um Kerngeschäftsdienste wie Konferenzen zu aktivieren. Bei der Arbeit zu jeder Zeit und überall auf der Welt muss sich Edge-Cybersicherheit anpassen, um kontextabhängig zu sein, um eine angemessene Sicherheit zu ermöglichen, die für den Benutzer transparent ist und die Erfahrung optimiert, damit er nicht das Bedürfnis verspürt, sie dann auszuschalten.

Null Vertrauen anwenden

Der andere Aspekt der verstärkten IoT-Cybersicherheit liegt im Unternehmen selbst und wie betrügerische IoT-Geräte überwacht und daran gehindert werden, sich mit dem Netzwerk zu verbinden.

Unternehmen sollten Zugriffsrichtlinien mit den geringsten Berechtigungen verwenden, um zu verhindern, dass nicht autorisierte Geräte eine Verbindung zu ihren Netzwerken herstellen. Sie sollten nur zugelassenen Geräten und Benutzern den Zugriff auf das Nötigste gestatten. Nutzung von Zero Trust ist der beste Weg, um sicherzustellen, dass diese Geräte keine Daten preisgeben oder die Geschäftskontinuität beeinträchtigen.

Speziell für die IoT-Sicherheit benötigen Unternehmen eine Echtzeit-Überwachungslösung, die das Verhalten von netzwerkgebundenen IoT-Geräten kontinuierlich analysiert. Dies versucht, die Unbekannten zu kennen und die genaue Anzahl der Geräte zu ermitteln, die mit Ihrem Netzwerk verbunden sind, einschließlich der Geräte, die Sie kennen und denen Sie nicht bewusst sind, und derjenigen, die vergessen wurden. Das Inventar der IoT-Assets kann dann vorhandene Firewall-Investitionen nutzen, um automatisch Sicherheitsrichtlinien zu empfehlen und durchzusetzen. Diese würden auf der Höhe des Risikos und dem Ausmaß des nicht vertrauenswürdigen Verhaltens basieren, das in diesen Geräten erkannt wird. Eine Einzellösung kann ein Unternehmensnetzwerk erweitern und WFH-Mitarbeitern ein einheitliches Sicherheitsrichtlinienmanagement und Secure Access Service Edge (SASE) bieten:So ermöglichen Sie kontextbezogene Sicherheit.

Warte nicht auf eine rechtliche Lösung

Letztendlich können die Sicherheitsrisiken jedes IoT-Geräts durch eine Welle neuer Vorschriften gemildert werden, um Hersteller und Händler dazu zu bringen, in erster Linie stärkere Sicherheit zu schaffen. Diese Gesetze in der EU und in Ländern wie Großbritannien befinden sich jedoch erst in einem frühen Stadium und werden wahrscheinlich erst in mehreren Jahren wirkliche Auswirkungen haben. Die Verantwortung für eine verbesserte IoT-Sicherheit liegt auf den Schultern der Mitarbeiter und ihrer Organisationen.

Angesichts der Bedeutung von IoT-Geräten für unsere Arbeit und unser Spiel ist es für Unternehmen an der Zeit, ihre traditionelle Reaktion auf Cybersicherheit zu ändern und eine Kultur der proaktiven Cyber-Gesundheit zu schaffen, die sich von der C-Suite bis hin zu allen Mitarbeitern erstreckt. Diese Verlagerung wird Investitionen und Konzentration auf Cyber-Hygiene-Praktiken ermöglichen, die dazu beitragen, Cyber-Angriffe zu vereiteln und die potenziellen Auswirkungen eines Cyber-Vorfalls über ein unschuldiges geschäftliches oder persönliches vernetztes Gerät zu reduzieren.

Der Autor ist Greg Day, VP und CSO EMEA, Palo Alto Networks.