Micro-gateways kunnen potentieel elk IoT-apparaat beveiligen

De opmars van het Internet of Things (IoT) valt niet te stoppen. Bijna elk toestel heeft tegenwoordig een netwerkpoort of wifi-ontvanger, en is bijgevolg ook een veiligheidsrisico. Wat als je apparaat ouder wordt en geen updates meer ontvangt? Of je vergeet het zelf te updaten? Het apparaat weggooien is het veiligst, maar niet praktisch. Een micro-gateway plaatsen, kan ook al helpen.

IoT is dikwijls een heel brede term die alle met het internet geconnecteerde apparaten verzamelt. Ook bedrijven verzamelen steeds meer IoT-apparaten binnen de bedrijfsmuren, wat de nodige risico’s met zich meebrengt. Op CPX 2018 gaat Jeroen De Corel, Global Security Architect bij Check Point, dieper in op de gevaren.

Endpoint security

Hij duidt de diverse verticale sectoren en bijhorende veiligheidsuitdagingen. Heel wat apparaten maken gebruik van kwetsbare protocollen en in sommige gevallen werden ze zelfs niet ontworpen met security in het achterhoofd. Daarnaast is het ook belangrijk om je volledige netwerk in kaart te brengen. Het is dikwijls het gebrek aan overzicht dat ervoor zorgt dat hackers toegang krijgen via een zwakke ingang.

De Corel duidt ook hybride omgevingen met een hoge diversiteit aan als een security-uitdaging. Wanneer je apparaten met diverse besturingssystemen en andere hardware-eigenschappen combineert in één geheel, moet je goed uitkijken dat alles goed is afgesloten. Endpoint security is daarin essentieel.

 

Segmentatie van je bedrijfsnetwerk is van cruciaal belang.

 

Tot slot legt hij bijzonder zwaar de nadruk op segmentatie in elk bedrijfsnetwerk. Maak verschillende netwerken in een netwerk, zodat één lek niet direct je hele netwerk bedreigt. Zeker wanneer je bedrijf PLC’s en SCADA-systemen gebruikt, is segmentatie van cruciaal belang.

Medische apparaten

Wat medische IoT-apparaten betreft, wordt altijd hetzelfde traject doorlopen. Allereerst moet een apparaat worden geregulariseerd. Van zodra dat in orde is, wordt de up-time belangrijk om te kennen. Is het toestel permanent actief in het netwerk of niet? Hackers gaan op zoek naar actieve apparaten met een oud OS of gedateerde software waar lekken mogelijk zijn. Van zodra de zwakste schakel gevonden is in de kring, heb jij er weinig controle over en verhoogt het risico immens.

Checkpoint gateway

 

Dit proces herhaalt zich in principe bij elk IoT-apparaat, hoe banaal het apparaat ook maar is. Elk apparaat is een achterdeur naar het bedrijfsnetwerk. Om dat Trojaans paard te temmen, staat de IT-afdeling voor een flinke uitdaging. Zij kunnen namelijk onmogelijk elk apparaat van de laatste nieuwe firmware voorzien, dikwijls omdat de fabrikant het apparaat niet meer updatet. Segmentatie, zoals we eerder al zeiden, is een belangrijke oplossing. Maar er zijn binnenkort meer opties beschikbaar.

Micro-gateway

Check Point werkt vandaag aan een proof-of-concept om belangrijke IoT-apparaten, die een lange levenscyclus hebben, over al die jaren te beveiligen. In Australië hebben ze bijvoorbeeld een MRI-scanner voorzien van een aparte micro-gateway. Die wordt centraal beheerd en beschermt kritische apparatuur door middel van een VPN-tunnel en aparte firewall. Binnenkort wordt het proefproject ook naar Europa en de VS uitgerold om meer ervaring op te doen.

 

In Australië heeft Check Point een MRI-scanner voorzien van een aparte micro-gateway.

 

De Corel focust tijdens zijn presentatie veel op de medische wereld, maar benadrukt dat er genoeg andere verticale markten zijn die dringend beter moeten worden beveiligd. Hij noemt onder andere beveiligingscamera’s, betaalautomaten, printers, routers, sensors en assemblage-machines.

Algemeen OS

Om deze apparaten te beveiligen, werkt Check Point aan een integreerbare oplossing. Er wordt op dit ogenblik geëxperimenteerd met een Dragon Board 410C met een eigen firewall erachter.

 

 

Check Point voorziet één centraal OS dat heel wat functies omvat zoals antimalware, VPN, firewall, antibot, antiransomware, app control, URL filtering en forensics. Dat laatste laat toe om na te gaan wie er op je systeem heeft proberen in te breken, en waar het fout is gegaan.

Het concept zit nog in een vroege experimentele fase, maar de securityspecialist start met enkele projecten in snoep- en drankautomaten. Het idee vinden we alvast goed. We moeten iets doen om de veiligheidschaos rond IoT-apparaten in te dammen. Dit zou een stap in de goede richting kunnen zijn.