Volgens onderzoek van Strategy Analytics waren eind 2018 wereldwijd 22 miljard apparaten op het internet aangesloten. De verwachting is dat over vijf jaar dat aantal gestegen is tot bijna 40 miljard. Nog eens vijf jaar later, in 2030, zullen er 50 miljard verbonden apparaten in omloop.
Martin van Son
Uit recent onderzoek van Infoblox (What’s Lurking In The Shadows 2020), dat inzoomt op individuele ondernemingen, blijkt dat wereldwijd in 2019 bij de meeste organisaties meer dan duizend apparaten zijn aangesloten op het bedrijfsnetwerk. Bij meer dan een kwart van de ondernemingen (28 procent) gaat het om duizend tot tweeduizend stuks. Maar liefst 48 procent van de ondernemingen heeft twee- tot tienduizend aangesloten apparaten. Voor Nederlandse ondernemingen geldt dat ongeveer een derde van hen tussen de vijf- en tienduizend apparaten heeft aangesloten op het bedrijfsnetwerk.
>> LEES OOK: Wetenschap werkt aan blauwdruk Internet of Secure
Privélaptops vormen potentieel risico
Deze (groeiende) aantallen apparaten zorgen voor nieuwe beheer- en beveiligingsuitdagingen voor het netwerk en de IT-afdelingen. Deze hebben ook steeds vaker te maken met persoonlijke apparaten van medewerkers die op het bedrijfsnetwerk worden aangesloten. Denk dan bijvoorbeeld aan privélaptops, mobiele telefoons en tablets. Deze persoonlijke apparaten worden veelal niet beheerd noch geautoriseerd door de IT-afdeling. Daarmee vormen ze een potentieel risico. Als zo’n apparaat niet goed wordt beheerd en het beveiligingsbeleid van de onderneming niet wordt gevolgd, kan het als gateway worden gebruikt voor cyberaanvallen en het installeren van malware.
Ongeautoriseerde applicaties ofwel Shadow IoT
Ook komt het geregeld voor dat medewerkers binnen een onderneming applicaties installeren en gebruiken die niet door de IT-afdeling worden beheerd en/of zijn geautoriseerd: zogenaamde Shadow IoT. Hieraan zijn eveneens, zo mogelijk nog grotere, risico’s verbonden. Dergelijke applicaties kunnen, eenmaal geïnstalleerd, niet alleen het netwerk en/of de systemen in gevaar brengen, maar ook de beveiliging van gevoelige data en bedrijfs- en/of klantgegevens. Deze ongeautoriseerde applicaties kunnen door cybercriminelen worden misbruikt voor het ontvreemden van informatie, het uitvoeren van DDoS- of andere cyberaanvallen of het installeren van malware.
Je kunt niet vertrouwen op het beveiligingsbeleid alleen
Onbekendheid met beveiligingsprotocollen
Hoe reageren bedrijven hierop? Meestal door een beveiligingsbeleid op te stellen voor verbonden apparaten en protocollen voor het gebruik van niet-zakelijke applicaties. Maar… uit eerder onderzoek van Infoblox (What’s Lurking On Your Network, 2018) bleek al dat 24 procent van de werknemers van de geanalyseerde bedrijven niet weet of hun organisatie een beveiligingsbeleid heeft. Van diegenen die zeggen dat beleid wel te kennen, geeft 20 procent aan dat zelden of nooit te volgen. Of het onwetendheid of nalatigheid is: het is duidelijk dat je niet kunt vertrouwen op het beveiligingsbeleid alleen. Het is nodig de bedreigingen actief te beheren. Dat kan, en moet, op drie fronten tegelijk:
1. Toegangsbeperkingen
De eerste stap is het beperken van de toegang tot sites met potentieel gevaarlijke content door het toepassen van toegangscontrole. Er zijn oplossingen beschikbaar die niet alleen de toegang tot bepaalde soorten inhoud kunnen beperken (bijvoorbeeld sociale netwerken en content voor 18+), maar ook helpen het beveiligingsbeleid consistent toe te passen door te controleren of bepaalde netwerkactiviteiten het beleid mogelijk schenden.
2. Verbetering van de netwerkzichtbaarheid
Zorg voor volledig en uniform inzicht in alle apparaten vanuit een centrale management oplossing (een authoritative network database), waarmee het mogelijke risico van apparaten kan worden afgewogen tegen de netwerkcontext. IP-adresbeheer (IPAM) maakt bovendien een efficiëntere besturing van apparaten mogelijk.
3. Inzet & beveiliging van de Domain Name Server
De meeste internetcommunicatie is afhankelijk van DNS, maar de Domain Name Server zelf is bij veel bedrijven nog onvoldoende beveiligd. Bestaande beveiligingssystemen, zoals firewalls en proxyservers, richten zich zelden op DNS en de bijbehorende bedreigingen. Als de DNS gecompromitteerd is, brengt dit het gehele netwerk in gevaar. Andersom vormt een veilig domeinnaamsysteem juiste een belangrijke eerste verdedigingslinie (de first line of defense), omdat een dergelijk systeem essentiële informatie biedt over apparaten en applicaties die contact leggen met het netwerk, zodat IT-beheerders snel gewaarschuwd worden bij onregelmatigheden en meteen kunnen zien welke bedrijfsmiddelen en/of apparaten op het netwerk worden aangesloten. Daardoor kunnen IT-beheerders schadelijke activiteiten identificeren en blokkeren. Bovendien wordt Shadow IoT en verdacht netwerkverkeer met een dergelijke oplossing direct gesignaleerd.
De integratie van bedreigingsinformatie (Threat Intelligence) in DNS-beheer maakt het mogelijk de toegang tot bekende verdachte domeinen te blokkeren. Maar ook om bijvoorbeeld de toegang te bewaken tot NOD (Newly Observed Domains): nieuwe domeinnamen waarvan nog niet duidelijk is in hoeverre ze te vertrouwen zijn. Dit soort domeinen worden bijvoorbeeld vaak vlak voor een phishing-aanval in het leven geroepen. Door de toegang tot deze sites te voorkomen, verkleinen organisaties het risico dat werknemers door het aanklikken van een link per ongeluk malware tot het netwerk toelaten, wat leidt tot een efficiënte en flexibele aanpak.
Martin van Son, Networking, Security en Automation Consultant bij Infoblox