Les capteurs, points aveugles de la sécurité informatique ?

La mise en réseau par des appareils IoT ne cesse de croître. Les experts de Analyse de l'IdO prévoyaient en décembre 2021 que le nombre de points finaux actifs dans le monde augmenterait de 9 % d'ici la fin de l'année pour atteindre 12,3 milliards d'appareils. Le total des connexions dépasserait donc les 27 milliards en 2025. Les entreprises en Industrie et dans le secteur de la santé ont de plus en plus implémenté des appareils, y compris de simples capteurs ou des caméras IP, qui sont connectés au réseau central de l'entreprise. Même les petites et moyennes entreprises s'ouvrent de plus en plus à Internet, souvent sans plan de sécurité informatique approprié et avec peu de ressources de défense.

Capteurs et matériel IoT comme portes d'entrée

Le matériel IoT est une cible attrayante pour les pirates : ils détournent les caméras IP connectées au réseau de l'entreprise pour en faire des réseaux de zombies, afin de lancer ensuite des attaques par déni de service. Les routeurs privés ou autres appareils IoT dans les bureaux à domicile constituent un danger très répandu. Ils permettent aux pirates d'accéder à l'infrastructure informatique centrale de l'entreprise. En fin de compte, même de petites failles ouvrent les portes à des activités de piratage de grande envergure. Le fait que les capteurs et le matériel IoT constituent un point faible de la défense informatique s'explique par plusieurs raisons : De nombreux administrateurs ne savent souvent pas quels appareils font partie de leur réseau. En outre, les entreprises utilisent les appareils aussi longtemps qu'ils fonctionnent d'une manière ou d'une autre - plus longtemps que prévu par le fabricant. Si les fabricants ne supportent plus ces systèmes, ces appareils deviennent une faille de sécurité, d'autant plus que les utilisateurs ne mettent souvent pas à jour les appareils. Pour autant qu'il y ait des mises à jour.

Rechercher les anomalies dans le trafic de données

Pour détecter et contrer rapidement l'échange de commandes entre les capteurs et le serveur de commande et de contrôle ou les mouvements latéraux à des fins malveillantes, il faut disposer d'un accès immédiat aux appareils IoT. Si les appareils ont une adresse IP et font partie du réseau de l'entreprise, NDR peut voir et analyser le trafic de données de la caméra vidéo IP, du capteur dans la production ou de la serrure de porte intelligente. L'empreinte digitale d'une communication anormale avec des appareils IoT gérés basés sur IP se distingue clairement du trafic de données normal : les capteurs dans la production, par exemple, livrent régulièrement de petits paquets aux systèmes centraux et à l'application en mode standard sécurisé et ne reçoivent pratiquement jamais de paquets de données en retour - si ce n'est une mise à jour. En revanche, il n'y a pas de données à transmettre vers l'extérieur, sauf si un fournisseur voulait envoyer des données à son partenaire. Une analyse du trafic réseau, formée par l'intelligence artificielle et l'apprentissage automatique, détecte toutefois les événements non prévus et donne l'alerte.

Six conseils pour détecter, analyser et contrer les attaques de l'Internet des objets

Parallèlement, les administrateurs informatiques devraient suivre les conseils suivants pour contrer les attaques de l'Internet des objets :

1. Segmenter les réseaux d'entreprises : Les appareils IoT devraient se déplacer sur leur propre réseau. Pour collecter et transmettre des données sur place, un réseau invité suffit. Un accès à un tel réseau ou des modèles remarquables dans le trafic de données entre le réseau IoT et le réseau central peuvent alors être vus et surveillés efficacement.
2. Zero Trust comme protection de base : Aucun accès d'un appareil IoT ne devrait être autorisé sans contrôle. Ce contrôle d'accès par défaut crée une sécurité immédiate et empêche la prolifération de matériel IoT ayant accès au réseau.
3. Patch virtuel : Un patch virtuel dans un pare-feu applicatif aide à contrôler le trafic de données des appareils IoT non actualisables ou gérables avec le réseau. Ils résolvent les problèmes de sécurité existants via un blocage au niveau du pare-feu.
4. Une alarme doit être suivie de mesures immédiates : Des modèles anormaux de trafic de données sur le réseau doivent déclencher des mesures de défense par des pare-feux, des antivirus, des systèmes de détection et de réponse des points d'accès ou la gestion des identités. Le blocage des systèmes ou une sauvegarde automatique par snapshot dès la première apparition d'une attaque présumée et pendant les préparatifs sont des mesures immédiates automatisées pour éviter les dommages de manière préventive.
5. Construire une stratégie de défense globale : Si les systèmes informatiques ne font pas partie du réseau de l'entreprise, les administrateurs informatiques peuvent théoriquement installer un capteur d'un NDR localement, ce qui entraîne des coûts élevés et une charge administrative. D'autres technologies de sécurité jouent donc un rôle important, par exemple pour le routeur domestique non géré : un client EDR assure la protection immédiate de ce point final.
6. Analyser les événements afin de prévenir les attaques de demain : Si NDR a repoussé une attaque à l'aide d'autres technologies, l'analyse de l'incident joue un rôle important pour combler la faille et empêcher les attaques ultérieures. Les chemins d'une attaque, qu'un Network Detection and Response enregistre dans une chronologie de et vers l'extérieur ainsi qu'à l'intérieur du système dans un miroir de tout le trafic de données, restent visibles. L'intelligence artificielle et l'apprentissage automatique créent également de nouveaux modèles d'attaque du trafic de données qui peuvent indiquer une attaque IoT et aident à la défense future.

Identifier les traces dans le trafic de données

Le danger de l'Internet des objets dépasse rapidement les équipes informatiques disposant de peu de ressources informatiques humaines et techniques. Pourtant, à chaque fois que l'IdO est le point de départ d'une attaque contre l'infrastructure informatique centrale avec ses systèmes, ses applications et ses connaissances d'entreprise, ces événements se reflètent dans le trafic de données. Network Detection and Response, qui développe des modèles normaux du trafic de données sur la base de l'IA, de l'apprentissage automatique et de la Threat Intelligence, donne l'alerte en cas d'anomalie et met en œuvre des mesures de défense automatiques. Une telle défense est désormais à la portée des petites et moyennes entreprises. Auteur : Paul Smit est directeur des services professionnels chez ForeNova B.V. Cette entreprise est un spécialiste de la cybersécurité en pleine croissance qui propose aux moyennes entreprises des solutions de détection et de réponse réseau (NDR) abordables et complètes afin de réduire efficacement les dommages causés par les cybermenaces et de minimiser les risques commerciaux.

Cet article est paru initialement sur m-q.ch - https://www.m-q.ch/de/sensoren-als-blinde-flecken-der-it-sicherheit/