Warum "Zero Trust" der beste Weg ist, um die Sicherheit von IoT-Geräten zu verbessern

Cybersicherheitsexperten bemühen sich, Hackern einen Schritt voraus zu sein, die versuchen, Schwachstellen in Millionen von Internet-of-Things-Geräten weltweit auszunutzen. Aber vielleicht konzentrieren sie sich auf das falsche Problem.

IoT-Geräte durchdringen heute praktisch jeden Aspekt des Geschäfts und halten auch im Verbrauchersektor schnell Einzug. Jeder Sensor, der mit dem Internet verbunden ist, schafft eine weitere potenzielle Schwachstelle für seinen Benutzer. Kein Wunder also, dass der aktuelle Stand der IoT-Sicherheit „wahrscheinlich nicht sehr gut“ ist, wie es Gary Kinghorn, Managing Director bei Tempered Networks, beschreibt.

Wenn die High Roller-Datenbank eines Casinos durch ein „intelligentes“ Aquarium-Thermometer gehackt wird, ist klar, dass das aufkeimende IoT-Universum ein ernsthaftes Problem hat. Der Zustand der Verwundbarkeit der Technologie „ist fast schon absurd“, sagt Kinghorn.

Unternehmen, die ihre Informationssysteme absichern möchten, haben sich auf die Geräte selbst konzentriert, insbesondere auf die Notwendigkeit starker Passwörter, die sie vor Cyberdieben schützen sollen. Auch die Regierung hat versucht, IoT-Geräte durch Maßnahmen wie den kürzlich verabschiedeten Cybersecurity Improvement Act zu stärken. Aber Kinghorn glaubt, dass dies nicht die ganze Antwort ist – oder sogar die richtige Frage.

Jedes mit dem IoT verbundene Gerät hat eine IP-Adresse, die es zu einem verlockenden Ziel für Hacker macht. Doch Sender sind einfach nicht so „smart“, wie dieses trendige Adjektiv vermuten lässt. „Das sind sehr einfache Geräte“, sagt Kinghorn. „Sie werden nie ausgereift genug sein, um eine legitime Netzwerkverbindung oder Datenanfrage zu analysieren.“

Stattdessen sollten sich die Benutzer auf das konzentrieren, was Kinghorn „das wahre Loch“ in der Sicherheit nennt:das Netzwerk selbst. Der Schlüssel besteht darin, sicherzustellen, dass Hacker keine Angriffsvektoren zur Verfügung haben. Um dies zu erreichen, müssen Systeme ein „Null-Trust“-Modell für die Autorisierung des Zugangs annehmen.

Der Begriff bedeutet, dass "Sie nichts vertrauen, was versucht, sich mit Ihrem Netzwerk zu verbinden, nicht einmal Apps oder Geräten Ihrer eigenen internen Benutzer, es sei denn, sie sind ausdrücklich autorisiert", erklärt Kinghorn. Stellen Sie sich eine „weiße Liste“ vor, die eine Telefonleitung vor Betrügern, Telemarketern und Robocalls schützt, indem alle bis auf die zuvor festgelegten Nummern blockiert werden.

Eine Zero-Trust-Umgebung stellt sicher, dass „der gesamte Datenverkehr verschlüsselt durch das Netzwerk geleitet wird, sodass es keine Abfangen oder Man-in-the-Middle-Angriffe gibt“, sagt Kinghorn. Die Sicherheitsrichtlinie des Unternehmens wird um die Vorab-Identifizierung von Geräten und Benutzern herum verwaltet, anstatt sich auf die Zuverlässigkeit von IoT-Sensoren zu verlassen.

Ein solches System schränkt den Zugriff auf das Netzwerk selbst durch die vertrauenswürdigsten Geräte ein. Im Fall des gehackten Casinos fragt Kinghorn, warum das Aquarium-Thermometer überhaupt an die Kundendatenbank gebunden war? „Es sollte nur der Zugriff auf ein System erlaubt sein – dasjenige, das über die Temperatur des Tanks spricht.“

Zero Trust ermöglicht es Systemen, einzelne Sensoren vom größeren Netzwerk abzuschotten. Warum haben sich also nicht mehr private und öffentliche Benutzer das Konzept angenommen, obwohl die Sicherheitsverletzungen immer weiter zunehmen?

Kinghorn findet einige Antworten im Zero Trust Adoption Report von Cybersecurity Insiders. Es findet eine hohe Begeisterung für das Zero-Trust-Modell, wobei 78% der befragten I.T. Sicherheitsteams, die Interesse bekunden, in Zukunft einen Zero-Trust-Netzwerkzugriff zu implementieren. Sie reagieren auf die Notwendigkeit, die Systemsicherheit zu einer Zeit zu erhöhen, in der Unternehmen sich der Public Cloud zuwenden und versuchen, mobile Mitarbeiter sicher zu verwalten.

Gleichzeitig gaben 47 % der Stichprobe an, dass sie kein Vertrauen in die Fähigkeit ihrer aktuellen Sicherheitstechnologie haben, Zero-Trust zu implementieren. Nur 15 % verfügen bereits über ein solches System, und etwa 20 % haben die Technologie noch nicht so weit gebracht.

Kosten sind ein limitierender Faktor, sagt Kinghorn. Null Vertrauen zu erreichen kann teuer sein, da einige I.T. Systeme, und in seiner aktuellen Form erstreckt es sich nicht immer auf Anwendungen außerhalb des Rechenzentrums.

„Das ist unser Fokus“, sagt Kinghorn, „durch eine Kombination aus einem typischen Software-Agenten und festverdrahteten Gateway-Geräten auf jedes Netzwerk oder Gerät Zero Trust anwenden zu können.“

Wenn es um Technologie-Upgrades geht, sind Änderungen selten einfach. ES. Sicherheitsteams könnten sich mit herkömmlichen Firewalls und virtuellen privaten Netzwerken (VPNs) wohl fühlen oder sich Sorgen machen, dass eine Multi-Faktor-Authentifizierung erforderlich ist. Aber Zero Trust kann mit einer einzigen Anmeldung eingerichtet werden und Agenten können innerhalb von Minuten installiert werden, behauptet Kinghorn. „Es ist nicht übermäßig teuer“, sagt er, „obwohl einige Unternehmen es so machen.“

Er sieht das Interesse an Zero Trust schnell zunehmen, insbesondere als Reaktion auf die COVID-19-Pandemie und die zusätzlichen Sicherheitsprobleme, die sie für die IT mit sich gebracht hat. Abteilungen. Und obwohl die vollständige Akzeptanz der Technologie einige Zeit in Anspruch nehmen kann, werden Unternehmen, wenn sie nicht vorankommen, zunehmend schädlichen Angriffen durch kreative Hacker ausgesetzt.

Die Legacy-Systeme von gestern sind nicht für moderne Cyber-Bedrohungen gerüstet, sagt Kinghorn. „Der IP-Protokollstack ist 50 Jahre alt. Es wurde nie dafür entwickelt, das zu tun, was I.T. Organisationen werden heute dazu aufgefordert. Deshalb brauchen wir ein komplett neues Modell.“