Van DevOps naar FieldOps, voorbij Secure by Design

Mike Nelson_DigiCert

Secure by Design is een populaire aanpak om ontwikkelaars te beïnvloeden veilige software te maken. Toch volstaat deze methodiek niet voor het snelgroeiende Internet of Things (IoT), omdat fabrikanten nog steeds onveilige IoT-apparaten ontwerpen, produceren en leveren, zonder adequate remote security. Zij denken nog vaak te laat aan de benodigde beveiliging en borgen deze onvoldoende in hun ontwerp- en ontwikkelprocessen.

De afgelopen jaren zijn er miljoenen IoT-apparaten op de markt geïntroduceerd zonder dat er tijdens het ontwikkelingsproces effectieve beveiligingsmaatregelen aan zijn toegevoegd. Daardoor zijn er incidenten geweest die IoT-apparaten een onveilig imago hebben bezorgd.

 

Secure by Design heeft fabrikanten, ontwikkelaars en verkopers sindsdien wel aangespoord om cybersecurity als een essentieel ontwikkelaspect te gaan beschouwen. Het is echter slechts een onderdeel van de bredere beveiliging die binnenkort gangbaar wordt.

IoT-beveiliging na DevOps

IoT-apparaten krijgen nog lang na de ontwerpfase gedurende hun totale levenscyclus te maken met cyberdreigingen. Alleen daarom is er al meer dan Secure by Design nodig om het IoT goed te kunnen beveiligen. Als security tijdens het ontwerp wordt ingebouwd zijn de betreffende IoT-apparaten meestal goed te updaten, alleen hoe veilig is dat proces?

Software-updates kunnen net zo goed risicovol zijn, omdat kwaadwillenden malware ook  vermommen als gewone updates in hun pogingen om de controle over apparaten te krijgen. Daarom moeten IoT-beveiligingsoplossingen ook functionaliteit bevatten om de integriteit van firmware en data op apparaten te blijven waarborgen in elke fase van de levenscyclus.

Omgaan met schaalgrootte

Één van de grootste uitdagingen voor IoT-beveiliging is de schaalgrootte van het aantal toepassingen waarvoor IoT-apparaten worden gebruikt. Vaak gaat het om vele honderden, duizenden en op termijn zelfs miljoenen verbonden apparaten, sensoren en systemen. 

Het managen van de wildgroei aan IoT-apparaten is moeilijk en kan tot fouten leiden, zoals verlopen certificaten zonder dat het securityteam dit weet, mislukte updates en Zero Days die ontstaan. Als het securityteam dat soort fouten niet kan ontdekken en oplossen, krijgen aanvallers de kans om apparaten te misbruiken voor bredere toegang tot een netwerk.

Een aanvaller hoeft vaak maar één apparaat te hacken om voet aan de grond te krijgen in een compleet netwerk, maar het securityteam moet alle apparaten in de gaten houden. Gezien de schaalgrootte van veel IoT-implementaties is dat onmogelijk nog handmatig te doen, zonder het risico te lopen kwetsbaar te worden voor beveiligingslekken.

Bij het uitbreiden van IoT-toepassingen is het belangrijk dat het betrokken securityteam de juiste tools krijgt om de infrastructuur op een flexibele en transparanten wijze te beveiligen. Zoals de mogelijkheid om certificaten in te trekken en te vernieuwen, apparaten te updaten, patches te versturen en het aantal kwetsbaarheden te verminderen. 

Diversiteit aan omgevingen

Een andere uitdaging voor IoT-beveiliging is de enorme diversiteit aan omgevingen waarin IoT-apparaten worden gebruikt. Elke netwerkinfrastructuur heeft namelijk eigen specifieke risico's, behoeften en overwegingen en daarom moet effectieve IoT-beveiliging op alle mogelijke risico's kunnen inspelen.

De meeste consumentenapparaten maken deel uit van een thuisnetwerk, zoals met het Internet verbonden deurbellen, keukenapparatuur en steeds meer voertuigen. In bedrijven worden IoT-apparaten en sensoren opgenomen in al bestaande netwerken met specifieke securitycontroles en -oplossingen. Medische apparatuur en IoT-apparaten in de industrie worden als bedrijfskritisch beschouwd en daarom vaak geïsoleerd van het open internet, waardoor weer andere beveiligingsbehoeften ontstaan.

Bescherming van apparaten in het veld

Zodra het gaat om de beveiliging van IoT-toepassingen, worden we geconfronteerd met de uitdagingen van het beheren van vele duizenden apparaten en alle specifieke eisen van de omgevingen waarin ze worden gebruikt.

Een belangrijke eis voor effectieve beveiliging is dat men beschikt over de volledige controle en inzicht in alle apparaten om mogelijke kwetsbaarheden al bij het ontstaan aan te kunnen pakken. Wanneer er beveiligingsincidenten gebeuren bij grote IoT-implementaties is er ook transparantie om de gevolgen te kunnen overzien en de oorzaak tot aan de bron te kunnen traceren. Inclusief een oplossing om het incident op apparaatniveau tegen te houden. Als er bijvoorbeeld een certificaat vervalt moet het gebruik daarvan inzichtelijk te maken zijn om het betreffende certificaat tijdig in te trekken en te vernieuwen.

Het beveiligen van IoT begint met het toekennen van een digitale identiteit aan elk apparaat en het beschermen ervan door een certificaat. Dan is elk apparaat centraal te identificeren, te authenticeren en te beheren, wat de controle en transparantie biedt die nodig is om de betreffende IoT-apparaten tijdens hun gehele levenscyclus te beveiligen.

Automatisering gaat hierbij een sleutelrol spelen, omdat de meeste IoT-netwerken veel te groot zijn om handmatig te controleren. Het automatiseren van de IoT-beveiliging biedt organisaties het benodigde vertrouwen om te kunnen profiteren van alle voordelen van IoT, terwijl ze zich goed beschermen tegen de risico’s van grote en complexe implementaties.

IoT-beveiliging moet mee evolueren met bedreigingen

Secure by Design is een belangrijke fundering voor het beveiligen van IoT. Cyberdreigingen kunnen echter op elk moment tijdens de levenscyclus van een apparaat ontstaan. Om deze risico's te minimaliseren, is het verstandig dat de beveiligingsverantwoordelijke zorgt voor een goed inzicht en controle over alle apparaten en automatisering van het dagelijks beheer. Effectieve beveiliging is flexibel, schaalbaar en kan evolueren als bedreigingen veranderen. Daarom is het nodig dat de IoT-beveiliging van DevOps doorloopt tot en met de FieldOps.

 

Mike Nelson is VP IoT Security bij DigiCert.

Meer over
Lees ook
Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare-rapport maakt inzichtelijk dat organisaties moeilijkheden ondervinden bij het identificeren en beheren van cyberrisico's van API's

Cloudflare heeft het API Security & Management Report gepubliceerd. Dit rapport onthult dat API's meer dan ooit worden ingezet, waardoor bedrijven de deur wijd openzetten voor meer online bedreigingen dan we eerder hebben meegemaakt. Het rapport maakt inzichtelijk dat er een kloof bestaat tussen het gebruik van API’s door bedrijven en hun vermogen om...

Mirco Kloss van TXOne Networks Europe: ‘Binnen OT is continuïteit echt alles’

Mirco Kloss van TXOne Networks Europe: ‘Binnen OT is continuïteit echt alles’

De scheidslijn tussen informatietechnologie (IT) en operationele technologie (OT) is aan het vervagen. Om goed te functioneren zijn OT-apparaten steeds afhankelijker van data en IoT-functies. Dat zorgt echter ook voor een verhoogd risico en nieuwe securityuitdagingen. Securityleverancier TXOne specialiseert zich op het snijvlak waar IT en OT overlappen.

Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’

Marc Punte van Ster over MOVEit Automation: ‘Data moet immutable zijn’

De Stichting Etherreclame, beter bekend als Ster Reclame, zorgt voor de verkoop van reclameruimte op radio, tv en online van de Nederlandse publieke omroep. Data speelt bij alle processen een cruciale rol en moet dus altijd beschikbaar zijn, en niet te onderscheppen of manipuleren zijn. Systeem- en netwerkarchitect Marc Punte van de Ster, legt uit waarom...