{"id":21470,"date":"2022-07-02T11:18:00","date_gmt":"2022-07-02T09:18:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=21470"},"modified":"2022-06-29T12:39:22","modified_gmt":"2022-06-29T10:39:22","slug":"die-sicherheitsluecke-internet-of-things-schliessen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=21470","title":{"rendered":"Die Sicherheitsl\u00fccke Internet of Things schlie\u00dfen"},"content":{"rendered":"\n

Autor\/Redakteur: Paul Smit, Director Professional Services bei ForeNova<\/a>\/gg<\/p>\n\n\n\n

Jedes Ger\u00e4t, welches \u00fcber eine Internet-Konnektivit\u00e4t verf\u00fcgt, sendet seine vor Ort an der Edge erhobenen Daten aus dem Internet of Things (IoT) an die zentrale IT. Ein Versand in die andere Richtung ist nicht vorgesehen und damit in der Regel verd\u00e4chtig. Gefahr entsteht f\u00fcr Unternehmen dann, wenn eine gekaperte IoT Malware-Code und Hacker-Befehle an die Zentrale weiterleitet oder abgesch\u00f6pfte Informationen nach au\u00dfen sendet. Der daraus resultierende Datenverkehr ist aber im Netzwerkverkehr sichtbar. Eine Network Detection and Response (NDR) ist deshalb ein wichtiges Element einer umfassenden Cyber-Abwehr.<\/p>\n\n\n\n

\"\"<\/a>
Bild: ForeNova<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Basiert NDR auf einer auf K\u00fcnstlicher Intelligenz gest\u00fctzten und durch Machine Learning optimierten Analyse der Netzverkehrsmuster, untersucht sie den im Normalfall stattfindenden ein- wie ausgehenden Datenverkehr. Darauf aufbauend definiert NDR ein typisches Modell der legitimen Muster, Informationen oder Befehle. Bei davon abweichendem Datenverkehr schl\u00e4gt sie Alarm. Im Verbund mit weiteren Abwehrtechnologien und sofern einige Grunds\u00e4tzen der Abwehr auf Netzwerkebene befolgt werden, lassen sich Risiken und Gefahren aus dem Internet der Dinge minimieren.<\/p>\n\n\n\n

Neue gro\u00dfe Angriffsfl\u00e4chen<\/strong><\/p>\n\n\n\n

Mit dem Internet der Dinge w\u00e4chst die Angriffsfl\u00e4che einer Unternehmens-IT. Die Experten von IoT-Analytics<\/a> rechnen bis 2025 mit 27 Milliarden Verbindungen, welche die IoT-Hardware kn\u00fcpft. F\u00fcr Hacker sind das viele potenzielle Hintert\u00fcren in Unternehmensnetze: So kapern Hacker IP-Kameras, um dann Denial-of-Service-Attacken zu starten oder sie in ein Botnetz einzugliedern. Ebenso k\u00f6nnen die privaten Router oder andere IoT-Ger\u00e4te der Mitarbeiter im Homeoffice ein Weg in die jeweilige IT-Infrastruktur sein.<\/p>\n\n\n\n

Es gibt mehrere Gr\u00fcnde, warum es sich f\u00fcr Hacker lohnt, Sensoren und IoT-Hardware ins Visier zu nehmen: Viele Administratoren kennen nicht jede konnektive Hardware. Aber auch Hersteller sorgen mit fehlerhaft entwickelter IoT-Hardware f\u00fcr Gefahr: Authentifikationsprozesse lassen sich umgehen oder stellen durch das Default-Passwort \u201e1234\u201c keine H\u00fcrde dar, wenn der Angreifer etwas ausprobieren will.<\/p>\n\n\n\n

Zudem nutzen viele Unternehmen und Mitarbeiter die Ger\u00e4te so lange, wie sie ihren Dienst tun \u2013 und damit \u00fcber die Lebensdauer der Ger\u00e4te hinaus, die der Anbieter vorgesehen hatte. Wenn in dieser Zeit der Herstellersupport ausl\u00e4uft, wird die Hardware zu einer Sicherheitsl\u00fccke. Diese w\u00e4chst mit jedem Update, welches ein Nutzer oder IT-Administrator verpasst.<\/p>\n\n\n\n

\"\"<\/a>
Network Detection and Response basiert auf dem 360-Grad-Blick \u00fcber alle IT-Ressourcen hinweg. Jede IoT-Hardware, die eine IP-Adresse hat und zentral verwaltet ist, l\u00e4sst sich von ihr \u00fcberwachen. (Bild: ForeNova)<\/figcaption><\/figure>\n\n\n\n

Anomalien im Datenverkehr erkennen<\/strong><\/p>\n\n\n\n

CISOs und IT-Administratoren sind aber in der Lage, ihre Systeme, Applikationen und Daten gegen Angriffe \u00fcber IoT-Hardware zu verteidigen – und das auch dann, wenn aus Kosten- und Effizienzgr\u00fcnden nicht jeder Router im Homeoffice einen eigentlich notwendigen Endpunkt-Schutz erhalten kann. Wer aber den durch den Austausch von Befehlen zwischen Sensor und Command-and-Control-Server bedingten Datenverkehr fr\u00fch erkennen, abwehren oder im Nachgang analysieren will, ben\u00f6tigt den unmittelbaren Zugriff auf IoT-Ger\u00e4te. Haben Ger\u00e4te eine IP-Adresse und sind ein Teil des Unternehmensnetzes, kann eine NDR den Datenverkehr einer IP-Videokamera oder des Produktionssensors \u00fcberwachen.<\/p>\n\n\n\n

Verh\u00e4lt sich eine IP-Kamera im Netzwerk atypisch, bemerkt dass die Network Detection. Was ist aber f\u00fcr die NDR atypisch? Ganz einfach: Alles was vom Normalfall abweicht.<\/p>\n\n\n\n\n\n\n\n

Eine IP-Kamera liefert beispielsweise kontinuierlich Video-Pakete an die Zentrale, sollte aber abgesehen von einem gelegentlichem Update keinerlei Daten von dort empfangen. Sendet sie aber pl\u00f6tzlich Daten nach au\u00dfen oder \u00fcbermittelt statt Videodaten ausf\u00fchrbaren Code, ist diese verd\u00e4chtige Anomalie recht einfach anhand der Metadaten des Netzverkehrs zu erkennen. Eine durch k\u00fcnstliche Intelligenz und maschinelles Lernen geschulte NDR schl\u00e4gt in diesem Fall Alarm.<\/p>\n\n\n\n

\"\"<\/a>
Bild: ForeNova<\/figcaption><\/figure>\n\n\n\n

Viele IoT-Systeme sind aber f\u00fcr die IT-Sicherheitsverantwortlichen auf ihren zentralen Dashboards nicht sichtbar oder sie k\u00f6nnen mangels Zeit, Kompetenz oder Ressourcen nicht immer angemessen auf Angriffe reagieren. Sie sollten daher auch folgende Ratschl\u00e4ge befolgen, um Attacken aus dem Internet of Things abzuwehren oder deren Effekte zu minimieren:<\/p>\n\n\n\n

  1. IoT nicht direkt in das zentrale Netz einbinden:<\/strong> IoT-Ger\u00e4te sollten auf ein Gastnetz beschr\u00e4nkt sein. Der Datenverkehr an der Schnittstelle zwischen IoT- und zentralem Netz l\u00e4sst sich effizient \u00fcberwachen.<\/li>
  2. Zero Trust schlie\u00dft viele Schwachstellen<\/strong>: Administratoren sollten zun\u00e4chst jede Kontaktaufnahme aus dem Netz blocken und \u00fcberpr\u00fcfen. Ein wichtiger Nebeneffekt solcher per Default verschlossenen Netzwerkt\u00fcren: Ein Wildwuchs von IoT-Hardware mit Zugriff aufs Netzwerk kann gar nicht erst zustande kommen. Der IT-Administrator lernt nun jede Hardware kennen, die Teil des Unternehmensnetzes ist oder es werden will.<\/li>
  3. Dank virtueller Patches auf der <\/strong>Application-Firewall-Ebene lassen sich Risiken nicht aktualisierbarer oder verwaltbarer IoT-Ger\u00e4te am Perimeter abwehren.<\/li>
  4. Notfallma\u00dfnahmen definieren:<\/strong> Ein anomaler Datenverkehr muss Abwehrma\u00dfnahmen durch Firewalls, Antivirus, Endpoint Detection and Response oder Identit\u00e4tsmanagement ausl\u00f6sen. Das Blocken von Systeme, Netzsegmenten oder ein automatisches Snapshot Backup verhindert Sch\u00e4den vorbeugend.<\/li>
  5. IT-Sicherheit umfassend denken:<\/strong> Nicht zentral verwaltete IoT-Hardware ist ein dunkler Fleck der IT-Abwehr, da Administratoren nicht auf sie zugreifen k\u00f6nnen und den von ihnen ausgehenden Datenverkehr nur indirekt sehen. Letztlich lie\u00dfe sich ein Sensor einer NDR lokal installieren, was aber zu teuer und aufwendig ist. Daher ist ein EDR-Client unerl\u00e4sslich, um etwa den Homeoffice-Datenverkehr zu \u00fcberwachen.<\/li>
  6. Der Blick zur\u00fcck in die Zukunft:<\/strong> Hat NDR mit Hilfe anderer Technologien einen Angriff abgewehrt, kommt es auf die Analyse des Vorfalls an, um die gefundene L\u00fccke zu schlie\u00dfen und Folgeangriffe zu verhindern. Daf\u00fcr bleiben die Wege einer Attacke, die eine Network Detection and Response in einer Timeline der Metadaten von und nach au\u00dfen sowie innerhalb des Systems in einem Spiegel des gesamten Datenverkehrs dokumentiert, sichtbar. K\u00fcnstliche Intelligenz und maschinelles Lernen erstellen zudem neue Angriffsmuster des Datenverkehrs, die auf einen IoT-Angriff hindeuten k\u00f6nnen, und helfen bei der zuk\u00fcnftigen Abwehr.<\/li><\/ol>\n\n\n\n

    Nicht nur f\u00fcr gro\u00dfe Unternehmen<\/strong><\/p>\n\n\n\n

    Immer, wenn IoT die Quelle f\u00fcr einen Angriff auf die zentrale IT-Infrastruktur mit Systemen, Applikationen und Unternehmenswissen wird, zeigt sich dies in einem neuen atypischen Datenverkehrsmuster. Eine Network Detection and Response, die basierend auf KI, ML und Threat Intelligence solche Differenzen erkennen kann, schaltet in diesem Moment die allgemeine IT-Abwehr ein. Eine solche IoT-Netzwerksicherheit ist auch f\u00fcr kleine und mittlere Unternehmen umsetzbar, weil sie sich nur bei wirklicher Gefahr im Verzug meldet und nicht die Verantwortlichen mit vermeintlich relevanten Alarmen \u00fcbersch\u00fcttet.<\/p>\n","protected":false},"excerpt":{"rendered":"

    Jedes Ger\u00e4t, welches \u00fcber eine Internet-Konnektivit\u00e4t verf\u00fcgt, sendet seine vor Ort an der Edge erhobenen Daten aus dem Internet of Things (IoT) an die zentrale IT. Ein Versand in die andere Richtung ist nicht vorgesehen und damit in der Regel verd\u00e4chtig. Gefahr entsteht f\u00fcr Unternehmen dann, wenn eine gekaperte IoT Malware-Code und Hacker-Befehle an die Zentrale weiterleitet oder abgesch\u00f6pfte Informationen nach au\u00dfen sendet. Der daraus resultierende Datenverkehr ist aber im Netzwerkverkehr sichtbar. Eine Network Detection and Response (NDR) ist deshalb ein wichtiges Element einer umfassenden Cyber-Abwehr.<\/p>\n","protected":false},"author":81,"featured_media":21472,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,3831],"tags":[6785,16590,16591,8220,10986,1862,6752,4873],"class_list":["post-21470","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-m2miot","tag-edr","tag-forenova","tag-iot-analytics","tag-ki","tag-ml","tag-patch","tag-threat-intelligence","tag-zero-trust"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21470","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=21470"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21470\/revisions"}],"predecessor-version":[{"id":21475,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/21470\/revisions\/21475"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/21472"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=21470"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=21470"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=21470"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}