De kans dat IoT-apparaten op grote schaal worden platgelegd

In mijn vorige blog besprak ik de risico’s die het Internet of Things (IoT) met zich meebrengt. Als we kijken naar de vooruitgang die de afgelopen 25 jaar op ICT-gebied is geboekt, lijkt het erop dat elke belangrijke technologische mijlpaal in rap tempo wordt gevolgd door malware-infecties en gegevensdiefstal.

Om een paar voorbeelden te geven:

  • De introductie van pc’s en servers werd direct gevolgd door de komst van computervirussen. Herinnert zich iemand nog het Cascade-virus? Dat was een van de eersten.
  • Toen kwam het internet. Fantastisch nieuws voor mensen die daar in 1994 toegang toe kregen, en in het bijzonder voor hackers die online identiteitsgegevens en gevoelige bedrijfsinformatie als laaghangend fruit konden plukken.
  • En op dit moment geven het IoT, cloud computing en mobiliteit de aanzet tot botnet-, DDoS- en social engineering-aanvallen door cybercriminelen die de laatste innovaties op de voet volgen.

Hoewel we technologische innovatie natuurlijk toejuichen, zijn er ook altijd hackers die nieuwe kansen zien om daar geld mee te verdienen. Zo worden er inmiddels reusachtige botnets via het dark net aangeboden als abonnementsdienst. En de kans is groot dat we in 2017 te maken krijgen met de eerste geavanceerde IoT-aanvallen op bedrijven en vitale infrastructuren.

Ondertussen zijn we steeds afhankelijker geworden van internetconnectiviteit. We zoeken toegang op afstand tot apparaten om die te configureren, houden tijdens de vakantie het huis in de gaten met een camerabewakingssysteem en slaan back-ups in de cloud op. En fabrikanten ontvangen op hun beurt via internet diagnostische gegevens. Deze bieden hen inzicht in onder meer de betrouwbaarheid en het energieverbruik van hun producten, zodat ze die verder kunnen optimaliseren.

Als je de noodzaak van 24/7 internettoegang optelt bij de snelle ontwikkelingen op het gebied van malware en exploits, is het niet moeilijk om te raden wat ons staat te wachten. Zo is het mogelijk dat cybercriminelen complexe internetwormen met ingebouwde ransomware ontwikkelen die zich verspreiden via beheeroplossingen in de cloud. Het zou natuurlijk vervelend zijn om thuis te komen en te merken dat uw koffieapparaat plotseling voor elke espresso geld begint te vragen, of dat de printer op kantoor pas documenten wil afdrukken nadat er bitcoins zijn betaald. Maar er zijn nog veel grotere gevaren. Wat als een aanval een compleet businessmodel ondergraaft? Dit zou niet alleen het merkimago van bedrijven kunnen schaden, maar ook een complete sector ertoe dwingen om de bestaande processen volledig op de schop te gooien.

Neem bijvoorbeeld huurauto’s. De belangrijkste aanbieders hebben banden met specifieke autofabrikanten. Consumenten kiezen immers voor een bedrijf dat huurauto’s van hun favoriete merk aanbiedt. De toevoerketen van de bestelling tot de levering van een nieuwe huurauto ziet er als volgt uit:

Aantal bestelde auto’s -> Just-in time (JIT)-productie -> Transport -> Verhuren en rijden

Wat als het nu mogelijk was om tijdens een van de stappen in het JIT-productieproces malware te introduceren die wacht totdat er kentekennummers aan een partij huurauto’s worden toegekend en zichzelf daarop instelt om op een bepaalde datum en tijd actief te worden? Dat zou er als volgt kunnen uitzien:

  • De datum: Kerstavond, 24 december 2017.
  • De situatie: Er worden tienduizenden huurauto’s gereserveerd door mensen die met de kerst naar huis terugkeren of familie bezoeken.
  • De malware wordt op middernacht geactiveerd:
    • Op het navigatiescherm van 40.000 nieuwe auto’s wordt het bericht ‘PWNed by RANSOM’ weergegeven.
    • De auto’s kunnen niet langer worden gestart.
    • Dit is alleen van toepassing op smart cars, en niet op oudere ‘analoge’ modellen.
  • De wagenparkbeheerder ontvangt het bericht– ‘Betaal ons om je wagenpark te ontgrendelen’.
  • Na betaling van het losgeld ontvangt de wagenparkbeheerder een code van de cybercriminelen, die vervolgens via een sms-bericht naar alle huurders worden verzonden.
  • De huurders voeren de code in het navigatiesysteem in, waarop de auto wordt ontgrendeld en weer rijklaar is.

Maar het leed is al geleden. 40.000 klanten van het autoverhuurbedrijf hebben ernstige vertraging ondervonden als gevolg van de besmetting met ransomware. De klantentevredenheid maakt een snoekduik. En dan zijn er ook nog de ondersteuningskosten die tijdens het beveiligingsincident werden gemaakt, de bankrekening die moet worden aangezuiverd na de betaling van het losgeld en de imagoschade als gevolg van berichtgeving in de pers en op social media.

Zover ik weet hebben er zich nog geen van dit soort incidenten voorgedaan. Maar het is verre van een onmogelijkheid. Maar stel nu dat er technologie beschikbaar was die dit soort aanvallen voorkomt, het netwerk inzet om het productieproces te beschermen en in geval van detectie van malware een vroegtijdige waarschuwing naar het verhuurbedrijf verzendt? Het goede nieuws is dat deze technologie reeds bestaat.

  • Het productieproces beschermen: Het productieproces kent diverse virtuele en fysieke interfaces en maakt gebruik van diverse sterk gedistribueerde diensten. Het is mogelijk dat verschillende dienstverleners gebruikmaken van een en dezelfde cloud, maar hun omgevingen moeten dan wel van elkaar worden gescheiden en vanaf een centrale locatie moeten worden beheerd. Dit is bijvoorbeeld mogelijk door het combineren van de MX-routers van Juniper met zijn SRX- en vSRX-firewalls en deze te laten beheren met Juniper Contrail Service Orchestrator. Dit maakt integrale automatisering mogelijk van de toepassing van consistente en up-to-date beleidsregels op basis van een complete beveiligingsoplossing die personen met kwade bedoelingen uit het netwerk weert.
  • Geavanceerde bedreigingen voorkomen: Het Software Defined Secure Network (SDSN)-platform van Juniper Networks voorziet in beleidsregels en detectiemechanismen. Het is in staat om elke netwerkcomponent in te zetten voor de toepassing van beveiligingsregels. Het platform benut de schaalomvang van de cloud en kan gebruikmaken van feeds met beveiligingsinformatie van externe partijen. SDSN wordt centraal beheerd, en zijn policy engine past zich dynamisch aan het bedreigingslandschap aan.

Hoewel we nooit op onze lauweren zouden moeten gaan rusten als het om cyberbedreigingen gaat, denk ik dat we voor het eerst in een tijd zijn beland waarin de technologie het mogelijk om ontwikkelaars van malware een stap voor te zijn. Met de juiste mate van beveiliging is het onwaarschijnlijk dat aanvallen van dit type een kans van slagen maken.

Laurence Pitt, Juniper Networks

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *