Zijn IoT-apparaten belangrijke bron van security-inbreuken ?
Belangrijkste bevindingen:
- 98% van de IoT-malware-aanvallen vond plaats in de technologie-, productie-, retail- en de zorg-sector;
- Entertainment- en home automation-apparaten, waaronder virtuele assistenten, vormen het grootste risico;
- De meeste IoT-aanvallen kwamen uit China, de VS en India;
- De drie meest aangevallen landen zijn Ierland, de VS en China;
- De Gafgyt en Mirai malware-families waren goed voor 97% van de IoT-malware.
Zscaler leider in cloudbeveiliging, presenteert een nieuw onderzoek naar de impact van IoT-apparaten op bedrijfsnetwerken in een tijd waarin organisaties gedwongen werden zich te verplaatsen naar een werkomgeving op afstand. Het rapport ‘IoT in the Enterprise: Empty Office Edition’ analyseerde meer dan 575 miljoen transacties en 300.000 IoT-specifieke malware-aanvallen die geblokkeerd werden door Zscaler gedurende twee weken in december 2020. Er werd een toename van 700% gevonden ten opzichte van dezelfde periode voor de pandemie. Deze aanvallen waren gericht op 533 soorten apparaten, waaronder printers, digital signage-schermen en smart tv’s. Aangezien veel werknemers op afstand werkten tijdens de pandemie, waren al deze apparaten vaker verbonden met zakelijke IT-netwerken. Het Zscaler ThreatLabZ-team identificeerde de meest kwetsbare IoT-apparaten, de oorsprong van de meest voorkomende aanvallen en bestemmingen, en de malware-families die verantwoordelijk waren voor het meeste kwaadaardige verkeer.
“De meeste kantoren stonden meer dan een jaar leeg en werknemers werkten vooral vanuit huis. Onze serviceteams merkten echter op dat, ondanks een gebrek aan werknemers op kantoor, er nog steeds enorm veel IoT-activiteiten waren op bedrijfsnetwerken”, zegt Deepen Desai, CISO bij Zscaler. “Het volume en de verscheidenheid aan IoT-apparaten die aangesloten zijn op de bedrijfsnetwerken is enorm en omvat alles van slimme verlichting tot IP-camera’s. Ons team zag dat 76% van deze apparaten nog steeds communiceerden op niet-versleutelde text channels. Dit betekent dat de meeste IoT-transacties een groot risico vormen voor de organisatie.”
Welke apparaten vormen het grootste risico?
Uit meer dan een half miljard IoT-transacties identificeerde Zscaler 533 verschillende apparaten van 212 producenten. Daarvan viel 65% in de volgende drie categorieën: set-top boxes (29%), smart tv’s (20%) en smartwatches (15%). De home entertainment-categorie had de meeste verscheidenheid aan unieke apparaten, maar zag de minste transacties in vergelijking met apparaten in de productie-, enterprise- en zorg-sector.
Het meeste verkeer kwam van apparaten in productie en retail - 59% van alle transacties kwamen van apparaten in deze sectoren, waaronder 3D-printers, geolocatie trackers, automotive multimediasystemen, datacollection-terminals zoals barcodelezers, en betaal-terminals. Enterprise-apparaten kwamen daarna het meest voor en waren goed voor 28% van de transacties. Apparaten in de gezondheidszorg volgden met 8% van het totale verkeer.
ThreatLabZ ontdekte verder een aantal onverwachte apparaten die verbonden waren met de cloud, zoals slimme koelkasten en slimme verlichting (muzieklampen).
Wie is verantwoordelijk?
Het ThreatLabZ-team keek ook naar activiteiten van IoT-malware in de Zscaler-cloud. Wat betreft volume, werd er een totaal van 18.000 unieke hosts en ongeveer 900 unieke payload-deliveries geobserveerd in 15 dagen. Malware-families Gafgyt en Mirai waren de meest voorkomenden en waren goed voor 97% van de 900 unieke payloads. Deze twee families staan bekend om het kapen van apparaten om botnets te creëren. Dit zijn grote netwerken van privé computers die als groep kunnen worden beheerd om malware te verspreiden, de infrastructuur te overbelasten of spam te verzenden.
Wie is het doelwit?
De drie landen die het meest aangevallen werden waren Ierland (48%), de VS (32%) en China (14%). Bij de meerderheid van de gecompromitteerde IoT-apparaten, bijna 90%, werd data teruggestuurd naar servers in een van de volgende drie landen: China (56%), de VS (19%) of India (14%).
Hoe kunnen organisaties zich hiertegen beschermen?
Aangezien de lijst met ‘slimme’-apparaten dagelijks langer wordt, is het bijna onmogelijk om te voorkomen dat zij de organisatie binnenkomen. In plaats van te proberen schaduw-IT te elimineren, moeten IT-teams een toegangsbeleid invoeren dat ervoor zorgt dat deze apparaten niet direct verbinding kunnen maken met de meest gevoelige bedrijfsdata en applicaties. Dit beleid kan altijd worden ingezet, ook als IT-teams (of andere werknemers) niet op kantoor zijn. ThreatLabZ beveelt de volgende stappen aan om de dreiging van IoT-malware te verkleinen, zowel op beheerde als BYOD-apparaten:
- Krijg inzicht in alle apparaten op het netwerk. Implementeer oplossingen die netwerk-logs kunnen bekijken en analyseren om inzicht te krijgen in alle apparaten die via het netwerk communiceren.
- Verander alle default wachtwoorden. Controle op alle wachtwoorden is niet altijd mogelijk. Wat wel mogelijk is voor corporate-owned IoT-apparaten, is het regelmatig updaten van wachtwoorden en het toepassen van tweestapsverificatie.
- Update en patch regelmatig. Veel sectoren - met name de productie en gezondheidszorg - vertrouwen op IoT-apparaten voor hun dagelijkse workflows. Blijf op de hoogte van nieuwe kwetsbaarheden en zorg dat dergelijke apparaten up-to-date zijn met de laatste patches.
- Implementeer een Zero Trust security-architectuur. Dwing een streng beleid af voor alle bedrijfsmiddelen zodat gebruikers en apparaten alleen toegang hebben tot datgene wat zij nodig hebben, en alleen na authenticatie. Beperk communicatie tot relevante IP’s, ASN’s en poorten die nodig zijn voor externe toegang. Niet-goedgekeurde IoT-apparaten die internettoegang vereisen, moeten een inspectie ondergaan en worden afgeschermd van alle bedrijfsgegevens, idealiter via een proxy. De enige manier om te voorkomen dat schaduw-IoT-apparaten een bedreiging vormen voor het bedrijfsnetwerk, is door het impliciete vertrouwensbeleid te elimineren en de toegang tot gevoelige data streng te controleren met behulp van dynamische identiteitsgebaseerde authenticatie - ook wel bekend als Zero Trust.