Organizacje korzystają z coraz większej liczby urządzeń IoT – począwszy od małych czujników mierzących parametry otoczenia, po urządzenia medyczne, terminale POS, aż po ciężkie maszyny w przemyśle, energetyce i innych branżach. Funkcjonują one w środowiskach rozproszonych i zazwyczaj nie są odpowiednio chronione. Problemy z ich bezpieczeństwem mogą rozwiązać platformy Secure Access Service Edge (SASE).
O podatnościach ukrytych w oprogramowaniu urządzeń IoT (Internetu Rzeczy) mówi się od dawna. Elementom Internetu Rzeczy brakuje zabezpieczeń, ponieważ nie są budowane z myślą o bezpieczeństwie. Ich producenci skupiają się na zastosowaniu sprzętu i jego użyteczności w konkretnej branży.
Organizacje prowadzące projekty IoT rzadko korzystają z usług wykwalifikowanych specjalistów ds. cyberbezpieczeństwa. Ochrona przed zagrożeniami jest więc jedynie punktem na liście kontrolnej osoby odpowiedzialnej za wdrożenie i wsparcie urządzeń IoT.
– Takie osoby realizują różne zadania. Muszą zadbać na przykład o zdalne monitorowanie stanu urządzeń, zbieranie danych analitycznych w celu optymalizacji kosztów i efektywności, a także o konserwację sprzętów. Oznacza to, że rozwiązania bezpieczeństwa dla IoT powinny być łatwe we wdrożeniu i utrzymaniu – mówi Michał Zalewski, Solution Architect w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.
Przez cały cykl życia urządzenia IoT trudno jest – o ile to w ogóle możliwe – utrzymać wysoki poziom jego bezpieczeństwa. Producenci zwykle nie są w stanie nadążyć z wdrażaniem łatek oprogramowania, które są konieczne do szybkiej naprawy znanych podatności. Każdą łatkę należy starannie przetestować, aby uniknąć różnych awarii, a instalacja aktualizacji na dużej liczbie urządzeń, często rozproszonych i zdalnie zarządzanych, jest wyzwaniem samym w sobie. To wszystko sprawia, że urządzenia IoT powinny być zawsze uważane za zagrożone i niegodne zaufania.
Zero Trust dla IoT
W rozproszonym środowisku z wieloma urządzeniami, często zlokalizowanymi w odległych od siebie miejscach, pierwszym wyzwaniem jest łączność. Na rynku są rozwiązania sprzętowe rozwiązujące ten problem, jednak całkowicie zaniedbują one bezpieczeństwo i skalowalność. Nie jest to więc dobry wybór.
Co warto wziąć pod uwagę, poszukując rozwiązań dla projektów IoT?
- Planowaną liczbę urządzeń. Wdrożenia produkcyjne wiążą się z problemami ze skalowalnością.
- Łączność przez LAN, Wi-Fi, 5G/4G/LTE lub inną technologię będzie wymagać urządzenia sprzętowego. Warto zwrócić uwagę na zakres jego funkcjonalności.
- Elementom IoT nie można ufać w zakresie bezpieczeństwa. Dlatego powinny być one izolowane od innych urządzeń i bezpośredniego połączenia z Internetem. Dobrze jest użyć firewalla klasy IoT do zapewnienia łączności i bezpieczeństwa oraz nie przypisywać publicznego adresu IP do sprzętu IoT.
- Ochrona urządzenia przed zagrożeniami z Internetu to tylko połowa sukcesu. Należy zabezpieczyć także komunikację w sieciach publicznych i rozważyć możliwe wady w protokołach przemysłowych. Pomoże dodatkowe szyfrowanie, które wymaga technologii VPN do ochrony samej komunikacji oraz rozwiązań bezpieczeństwa następnej generacji.
- Dozwolona komunikacja sieciowa od i do urządzenia musi być ograniczona do niezbędnego minimum.
- Wdrożenie sprzętu i jego wymiana nie mogą być skomplikowane. Technik powinien podłączyć urządzenie i zakończyć jego instalację. Natomiast sama konfiguracja i przypisanie licencji w sytuacji idealnej odbywa się zdalnie.
- Scentralizowane zarządzanie jest kluczowe do tego, by wdrażać poprawki bezpieczeństwa, przeprowadzać aktualizacje oprogramowania oraz dbać o odpowiednią konfigurację urządzeń. Wiele organizacji wymaga zastosowania szczegółowych reguł bezpieczeństwa i konfiguracji, aby zapewnić wysoki poziom bezpieczeństwa. Jest to możliwe tylko wtedy, gdy istnieje prosty, ale wszechstronny portal do zarządzania scentralizowanego.
- W zakresie bezpieczeństwa IoT nie ma miejsca na filozofię „ustaw i zapomnij”. Niezależnie od tego, jakie urządzenia zostaną wdrożone, zawsze należy zakładać, że konieczne będzie ich dostosowanie i optymalizacja w przyszłości.
Jak SASE zabezpiecza urządzenia IoT
SASE, czyli Secure Access Service Edge, to nowa koncepcja architektury bezpieczeństwa. Zakłada integrację funkcji bezpieczeństwa oraz sieciowej obsługi dostępu do aplikacji i zasobów internetowych. Zabezpiecza użytkowników, witryny i urządzenia IoT. Ochrona jest zapewniana bezpośrednio na krawędzi sieci (niezależnie od lokalizacji), ale zarządzanie wszystkimi jej elementami odbywa się w jednym panelu w chmurze.
– SASE jest dziś tym, co pozwala bezpiecznie włączyć urządzenia Internetu Rzeczy (IoT) do infrastruktury przedsiębiorstwa. Umożliwia segmentację sieci IoT i oddzielenie jej urządzeń od innych. Tym samym pozwala na ograniczenie potencjalnych szkód w przypadku przejęcia elementu sieci IoT przez cyberprzestępcę. SASE stosuje model bezpieczeństwa Zero Trust, który zakłada ścisłą kontrolę dostępu do zasobów sieciowych, w tym do urządzeń IoT. Pozwala na szyfrowanie danych przesyłanych między elementami Internetu Rzeczy a chmurą. Oferuje też narzędzia do monitorowania i analizy ruchu sieciowego IoT, co umożliwia identyfikację podejrzanych działań i szybkie reagowanie na incydenty bezpieczeństwa – mówi Michał Zalewski z Barracuda Networks.
