Diese Woche habe ich einen Artikel gelesen, in dem von Verschlüsselung als Sicherheit die Rede war, aber wahre Sicherheit geht viel tiefer als nur die Verschlüsselung einer Webübertragung.
Verschlüsselung ist von grundlegender Bedeutung, aber wenn man sich einige der damit verbundenen Hashing-Standards (z. B. http://valerieaurora. org/hash.html) ansieht, stellt man fest, dass viele eine Lebensdauer von weniger als zehn Jahren haben. Berücksichtigt man die zunehmende Rechenleistung und die damit verbundene Möglichkeit, schwächere Protokolle durch Brute-Forcing zu knacken, wird die Situation noch schlimmer. Der einzige wirkliche Schutz besteht darin, die Software zu aktualisieren oder sie sehr häufig zu ersetzen. Dies gilt sowohl für das Gerät als auch für die Kommunikationsinfrastruktur, z. B. Router oder Webserver.
Gehen wir noch einen Schritt weiter und betrachten nur die Gerätesoftware: Nahezu jedes Gerät ist mit einem allgemeinen Betriebssystem ausgestattet, das zwangsläufig bis zum Ende der Supportzeit laufend gepatcht werden muss. Ohne die Anwendung von Patches könnten Geräte kompromittiert werden, ohne dass die Verschlüsselung in den Protokollen geknackt wird. Diese Kompromittierung würde dann jede Verschlüsselung sinnlos machen, da die Quelldaten offengelegt werden. Noch schlimmer ist, dass es sehr schwierig sein kann, nachzuweisen, dass eine Infektion vollständig beseitigt wurde, so dass unter Umständen ein Austausch der Hardware erforderlich ist, um dies zu beheben.
Um Ihre Lösung zu schützen, sollten Sie sich der Tatsache bewusst sein, dass Systeme nicht statisch sind und regelmäßig aktualisiert werden müssen. Diese Aktualisierung sollte nicht kostspielig sein (z. B. durch den Besuch eines Technikers), da dies von einer Aktualisierung abhalten würde. Sie sollte auch Teil der normalen Verwaltung des Systems sein, entweder durch Sie oder Ihre Lieferanten.
Was Sie bei der Festlegung Ihrer Sicherheitspolitik beachten sollten
Wichtige Aspekte und Fragen, die Sie sich bei der Einrichtung Ihrer Sicherheit stellen sollten:
- Verfügt das Gerät über genügend Kapazität, um künftige Sicherheitsupgrades während der voraussichtlichen Lebensdauer zu bewältigen (Prozessor und Speicher)?
- Verfügen Sie über ein Verfahren zur Aktualisierung der Geräte und testen und verwenden Sie es häufig?
- Bieten Ihre Lieferanten langfristigen Support für Entwicklungs- und Kommunikationsumgebungen?
- Wie isoliert sind Ihre Geräte von der elektronischen Welt - befinden sie sich in nicht vertrauenswürdigen öffentlichen Netzen oder in privaten Netzen?
- Können Sie Geräte auf Verhaltensänderungen überwachen, ohne das Gerät abzufragen? Veränderungen im Datenverkehr können auf eine Gefährdung hinweisen.
- Können Sie Geräte, die sich nicht wie erwartet verhalten, aus der Ferne diagnostizieren und kontrollieren, isolieren oder rechtzeitig aktualisieren?
- Wird die gesamte Lösung verwaltet und regelmäßig aktualisiert?
- Wie sicher ist der Aktualisierungskanal?
- Wie widerstandsfähig ist die unterstützende Infrastruktur, könnte sie dazu benutzt werden, einen DoS oder einen Ausfall zu verursachen?
Vorgeschlagene Standards zur Gewährleistung einer einheitlichen Sicherheit für Ihre gesamte IoT-Bereitstellung
In vielerlei Hinsicht ähnelt die Lösung der Erfüllung der GDPR-Anforderungen: Geräte sollten nur das tun, was sie tun müssen, und unnötige Funktionen sollten dem System erst dann hinzugefügt werden, wenn sie benötigt werden. Geräte sollten auf kontrollierte Weise entwickelt und verwaltet werden, und sie sollten deaktiviert werden können. Die Geräte sollten nur dann Zugang zu Daten haben oder in einem Netzwerk offengelegt werden, wenn dies für ihren Betrieb erforderlich ist. Die IT-Umgebung, in der sie sich befinden, sollte verstanden und dokumentiert werden. Eine unabhängige Überwachung sollte sicherstellen, dass Fehlkonfigurationen, Ausnutzungen oder andere unerwartete Verhaltensweisen schnell erkannt werden, um das Risiko einer Gefährdung zu verringern und das Ausmaß des Schadens zu minimieren. Die Geräte müssen auf dem neuesten Stand gehalten werden, sowohl was die Kernbibliotheken und die Software als auch die Technologien und Schwachstellen betrifft. Audits müssen durchgeführt werden, um die Einhaltung der Vorschriften zu gewährleisten. Probleme sollten schnell erkannt, verwaltet, eingedämmt und bei Bedarf kommuniziert werden.
Alle diese Konzepte sind in den aktuellen Sicherheitsstandards enthalten. Sie sind viel wichtiger als die bloße Aussage "Verwenden Sie AES-256", die eigentlich keine Aussage zur Sicherheit, sondern eine Protokollanforderung ist. Wenn AES-256 mit einem SSL-3.0-Stack verwendet wird, ist es unsicher.
Wenn Sie nicht erkennen, dass Sicherheit eine umfassende Lösungsperspektive erfordert, laufen Sie Gefahr, im Internet der kompromittierten Dinge stecken zu bleiben.
Bei Tele2 steht die IoT-Sicherheit im Mittelpunkt der Entwicklung von Produkten und Lösungen sowie der täglichen Arbeit mit unseren Kunden und Partnern. Wenn Sie mehr darüber erfahren möchten, wie IoT Ihr Unternehmen unterstützen kann, nehmen Sie bitte Kontakt mit uns auf.