Onlangs sprak ik met een CEO van een medische startup. Zij ontwikkelen medicatieschema’s op maat van kankerpatiënten, op basis van genoominformatie, real-time gezondheidsdata en de historiek van eerder voorgeschreven geneesmiddelen. Het schema geeft de gepaste combinaties en doseringen aan om negatieve bijwerkingen te vermijden. Absoluut fantastisch, en meteen de reden waarom wij zo veel energie stoppen in cyberbeveiliging.
Wij moeten stilstaan bij de potentiële impact van een aanval met ransomware bij die startup, of met klassiekere malware die gegevens aanpast of de besturing van medicatietoestellen overneemt. Het Internet of Things heeft een enorm potentieel voor de zorgsector en in andere sectoren is dat potentieel zelfs al uitgegroeid tot de realiteit met automatisering in productieomgevingen en de nutsindustrie. IoT gaat echter gepaard met een sterk cyberrisico: de meeste toestellen kunnen zichzelf niet beschermen en de perimeter is zo ontzettend groot dat schaal een bijkomende moeilijkheid is.
IoT anders segmenteren
Daarom hebben we midden vorige maand Cisco IoT Threat Defense aangekondigd op het IoT World Forum in Londen. Deze beveiligingsarchitectuur voor het Internet of Things segmenteert alle IoT-toestellen in aparte groepen zodat een eventueel gehackt toestel niet als uitvalbasis kan dienen om de rest van het netwerk aan te vallen.
Netwerksegmentatie is niet nieuw, maar de klassieke virtualisatie in VLANs en access control lists zou door de enorme reikwijdte van IoT ietwat onhandig en tijdrovend zijn. We hebben met Cisco IoT Threat Defense dus een schaalbare en geautomatiseerde oplossing ontwikkeld voor een praktische, veilige segmentatie voor het Internet of Things.
Classificatie volgens Manufacturer Usage Descriptions
We gaan in feite het netwerk niet segmenteren, maar de toestellen classificeren zoals Cisco TrustSec ook doet in klassieke netwerken. TrustSec geeft netwerkgebruikers en –toestellen een virtuele beveiligingstag (Security Group Tag) met eigen toegangsrechten die overal worden gecontroleerd door onze toegangscontrolesoftware Identity Services Engine (ISE). Potentiële malware wordt meteen in quarantaine gezet. Deze oplossing hebben we nu uitgebreid naar industriële IT.
Vorig jaar heeft Cisco een open standaard voor IoT-toestellen voorgesteld aan de IETF. Elke fabrikant beschikt voor elk toestel over een xml-bestandje met de omschrijving van het toestel en hoe het communiceert (Manufacturer Usage Descriptions of MUD). Als een gehackt toestel iets anders probeert te doen, dan weet de netwerkcontroleur dat het niet overeenstemt met de MUD en wordt verdere verspreiding gestopt. Aan de hand van de MUD zal Cisco TrustSec, een van de componenten van IoT Threat Defense, het IoT-toestel automatisch in een veilige, geïsoleerde TrustSec zone stoppen, buiten het bereik van cybercriminelen.
Contextuele beveiliging
Volgens onderzoeker Zeus Kerravala komt de geïntegreerde suite IoT Threat Defense pas echt tot zijn recht voor toestellen zonder MUD, dankzij onder meer de netwerkanalysetoepassingen Stealthwatch en Cognitive Threat Analytics. Neem het voorbeeld van een slimme frisdrankautomaat. Die stuurt dagelijks informatie naar de fabrikant. Als die slimme koelkast een kassasysteem of boekhoudserver probeert te bereiken, kan dit beschouwd worden als een hack en plaatst IoT Threat Defense het toestel – zonder MUD – in quarantaine. Dat is wat men contextuele beveiliging noemt.
IoT Threat Defense omvat onder meer ook onze next-generation firewall (vele IoT-toestellen zitten zelfs niet achter een firewall..) en onze toepassingen voor online security Umbrella en voor malwarebescherming AMP. Met de integratie willen we zo veel mogelijk securitytaken automatiseren voor beheerders – al kies je zelf hoeveel of hoe weinig je automatiseert. Het laatste wat IoT-beheerders willen horen is automatische cyberbeveiliging. Dat werkt misschien voor de meeste IT-netwerken, maar zeker niet voor industriële controlenetwerken.
Menselijke fouten
Als we zelf aan de knoppen draaien, is een voortdurende analyse van netwerkverkeer wel van essentieel belang. Een geïntegreerde securityarchitectuur detecteert sneller onregelmatigheden, blokkeert tijdig nieuwe bedreigingen, identificeert aangetaste hosts en voorkomt gebruikersfouten. Want ondanks de technologische vooruitgang waar IoT voor staat, blijft de menselijke factor het belangrijkst. Met IoT Threat Defense behoudt u voldoende controle en heeft u permanent de vinger aan de pols.