L'IoT aggrave les problèmes de sécurité du backbone 5G

Alors que l'IoT évolue vers l'utilisation d'une infrastructure 5G en expansion, l'IoT est mal sécurisé Les appareils représentent une menace croissante pour la sécurité du réseau 5G.

L'interconnexion et la commodité sont deux choses que beaucoup considèrent maintenant comme essentielles à la vie de tous les jours. Alors qu'une grande partie du monde attend la commodité de l'Internet des objets (IoT), ils accordent généralement peu d'attention à la sécurité des réseaux de transmission sous-jacents à l'IoT. Mais avec 13,8 milliards de connexions d'appareils IoT actives cette année et de manière exponentielle plus attendue dans un avenir proche, la sécurité du réseau IoT est d'une importance primordiale.

Avec plus de 25 milliards d'appareils IoT attendus d'ici 2025, les entreprises seraient prudentes d'appliquer le principe du moindre privilège à leur personnel informatique. (Source :freepik)

Selon la GSM Association (GSMA), une organisation représentant les opérateurs de réseaux mobiles du monde entier, les fabricants d'appareils IoT ne parviennent toujours pas à concevoir et à construire de manière adéquate dans un souci de sécurité.

Pire encore, la GSMA suggère que la plupart des fabricants d'appareils ne comprennent pas suffisamment comment sécuriser leurs appareils. Les appareils non sécurisés offrent aux pirates un accès facile aux réseaux de télécommunications, créant des risques importants de cyberattaques. Et à mesure que l'IoT évolue vers l'utilisation de la 5G à mesure que ce réseau se développe, les appareils non sécurisés menacent la sécurité du réseau 5G.

Le manque de sécurité à la périphérie de l'IoT impose des contraintes de sécurité importantes aux fournisseurs de services de communication (CSP), y compris les fournisseurs de réseaux de télécommunications, les services de câblodistribution et les fournisseurs de communications cloud. Alors que de plus en plus d'acteurs au-delà des opérateurs de télécommunications traditionnels participent à l'IoT et s'engagent avec des appareils IoT via le réseau 5G, la surface d'attaque s'étend considérablement. Les CSP doivent donc prendre des mesures supplémentaires pour assurer la sécurité de leurs systèmes.

Évolution des problèmes de sécurité pour les CSP

Dans son examen annuel du paysage de la sécurité, la GSMA a identifié huit principaux domaines de menace et de vulnérabilité pour l'industrie des communications mobiles :

• Appareil et IoT
• Sécurité du cloud
• Sécurisation de la 5G
• Signalisation et interconnexion
• Chaîne d'approvisionnement
• Logiciels et virtualisation
• Cyber ​​et sécurité opérationnelle
• Pénurie de compétences en matière de sécurité

La sécurité des appareils et de l'IoT est une préoccupation constante pour la GSMA, d'autant plus que le nombre d'appareils connectés continue de dépasser de loin la population mondiale, avec 25 milliards d'appareils IoT connectés attendus d'ici 2025. La complexité des piles technologiques pour les appareils augmente par la suite.

La GSMA identifie les connexions entre les réseaux d'entreprise et les réseaux de télécommunications comme un vecteur d'attaque potentiel important, en particulier lorsque les entreprises profitent du déploiement de la 5G. Les professionnels de l'industrie et les universitaires ont enquêté sur les risques de sécurité de la 5G depuis plusieurs années, tout comme le gouvernement américain. Mais des inquiétudes subsistent quant à l'expansion de la surface d'attaque alors que la 5G devient plus répandue. La GSMA suggère une gamme de protocoles de sécurité que les CSP 5G devraient mettre en œuvre.

Parmi les mesures recommandées pour sécuriser les CSP figure la gestion des accès à privilèges. Un PAM correctement mis en œuvre réduit la surface d'attaque en limitant le nombre de privilèges et d'autorisations que les pirates peuvent tenter d'exploiter. Et PAM aura un impact minimal sur les opérations CSP car l'intention est de supprimer les autorisations et les droits qui ne sont pas nécessaires aux personnes et aux processus pour faire leur travail.

PAM contre IAM

De nombreux lecteurs connaissent peut-être IAM (gestion des identités et des accès), mais moins PAM. Et bien qu'ils partagent des objectifs communs, ils ont une portée et une application différentes.

Considérons une pyramide où un nombre limité d'utilisateurs administratifs siègent au sommet et les utilisateurs généraux constituent la base. Dans ses différentes itérations, IAM couvre l'ensemble de la pyramide. Cependant, de nombreuses applications IAM se concentrent sur les autorisations des utilisateurs de la base, ceux qui accèdent fréquemment au système mais qui disposent de peu ou pas d'autorisations administratives. D'un autre côté, PAM se concentre sur le haut, c'est-à-dire sur ceux qui font les cibles les plus désirables en raison de leurs rôles organisationnels.

Notez que lorsque nous parlons ici d'utilisateurs, ce n'est pas la même chose que de dire des humains. Les contrôles IAM et PAM s'appliquent également aux identités non humaines au sein d'un système, par exemple, les processus qui peuvent avoir leur propre identification.

Autorisations de provisionnement et droits d'accès

Lors de l'attribution de droits et d'autorisations aux utilisateurs d'une organisation, le personnel informatique peut adopter plusieurs approches. Le premier, et le pire, est un accès généralisé et étendu aux systèmes de l'entreprise et aux magasins de données - en fait, aucun contrôle du tout. Il va sans dire que cette approche est à haut risque et crée une exposition importante pour l'organisation. Mais de nombreuses organisations accordent aux utilisateurs un accès bien plus important qu'ils n'en ont besoin pour éviter de perturber involontairement les activités quotidiennes, étendant ainsi la surface d'attaque de l'entreprise.

Les entreprises prudentes appliquent le principe du moindre privilège, l'accès nécessaire ou une combinaison des deux. Le moindre privilège concerne la façon dont les utilisateurs travaillent dans le système ; doivent savoir à quoi ils peuvent accéder dans le système.

En vertu du principe du moindre privilège, les utilisateurs ne reçoivent que les droits et autorisations nécessaires à leur travail, ni plus ni moins. En empêchant les utilisateurs d'avoir des autorisations pour les zones qu'ils n'utilisent jamais, les organisations suppriment une vulnérabilité inutile sans affecter négativement les performances de l'utilisateur.

Le besoin de savoir s'applique aux données de l'organisation, avec des restrictions limitant l'accès aux données directement liées et nécessaires à l'utilisateur pour exécuter ses fonctions.

L'absence de contrôle du moindre privilège ou du besoin de savoir ne sont que quelques-unes des vulnérabilités liées à l'identité courantes dans de nombreuses organisations. De nombreuses organisations ont encore des comptes ou des mots de passe partagés, ce qui réduit la capacité d'auditer l'activité et de garantir la conformité avec les politiques de sécurité de l'entreprise. Les entreprises ont aussi fréquemment d'anciens comptes inutilisés, souvent avec des privilèges substantiels, qui auraient idéalement été purgés bien avant. Et de nombreuses entreprises s'appuient encore sur le provisionnement et la maintenance manuels ou décentralisés des informations d'identification des utilisateurs.

Pourquoi (et comment) les CSP devraient utiliser PAM

Chaque privilège et accès dont dispose un utilisateur crée une opportunité unique à exploiter pour un cybercriminel. Il est donc dans l'intérêt de chaque CSP de limiter ces privilèges et droits d'accès. Cela limite les vecteurs d'attaque potentiels et minimise les dommages possibles lorsqu'un pirate informatique réussit à s'approprier l'identité d'un utilisateur particulier. Moins un utilisateur a d'autorisations, moins un attaquant efficace doit travailler avec.

La limitation des privilèges peut également restreindre les types d'attaques susceptibles d'endommager les systèmes d'une organisation. Par exemple, certains types de logiciels malveillants nécessitent des privilèges plus élevés pour s'installer et s'exécuter efficacement. Si un pirate tente d'insérer un logiciel malveillant via un compte d'utilisateur non privilégié, il se heurte à un mur.

Voici quelques-unes des meilleures pratiques que les CSP devraient suivre.

1. Mettre en œuvre une politique de gestion des privilèges :étant donné qu'il n'existe pas de norme de sécurité IoT unique et universellement applicable, CSPS a besoin de politiques rigoureusement définies et surveillées qui garantissent la conformité en supprimant toute opportunité de déviation. Les politiques doivent définir qui contrôle l'approvisionnement et la gestion des autorisations et des droits, comment l'approvisionnement se produit et les calendriers de réapprovisionnement ou de désapprovisionnement si nécessaire. En outre, les politiques doivent aborder la sécurité des mots de passe, y compris la force des mots de passe, l'utilisation de l'authentification multifacteur et l'expiration des mots de passe.

2. Centraliser PAM et IAM :les CSP doivent disposer d'un système centralisé pour l'approvisionnement, la maintenance et l'annulation de l'approvisionnement des autorisations et des droits d'accès. La constitution d'un inventaire des comptes avec des autorisations élevées empêche les organisations de laisser passer les comptes inutilisés entre les mailles du filet.

3. Assurez-vous que le moindre privilège signifie le moindre privilège :bien que les utilisateurs puissent devenir frustrés s'ils doivent contacter le service d'assistance pour effectuer certaines tâches, ce n'est pas une raison pour leur fournir plus d'autorisations que nécessaire. La plupart des utilisateurs de périphérie ou de point de terminaison de l'entreprise n'ont pas besoin de droits d'administration ou d'accès aux répertoires racine. Même les utilisateurs privilégiés n'ont pas besoin de droits d'accès étendus. Restreindre l'accès à ce qui est absolument nécessaire pour effectuer le travail.

4. Ajoutez de la sécurité grâce à la segmentation :la segmentation des systèmes et des réseaux permet d'empêcher les pirates informatiques de lancer des attaques latérales lorsqu'ils réussissent à pénétrer dans le réseau d'une entreprise. Renforcez la segmentation avec des politiques de confiance zéro entre les segments lorsque cela est possible.

5. Appliquer les bonnes pratiques en matière de sécurité des mots de passe :une mauvaise hygiène des mots de passe reste une vulnérabilité importante pour de nombreuses organisations. Développez une culture de sécurité en formant les employés à comprendre que les légers inconvénients des mots de passe forts, de l'authentification multifacteur et de l'expiration des mots de passe protègent l'entreprise des conséquences potentiellement dévastatrices d'une violation.

Les CSP sécurisés sont l'épine dorsale d'un IoT sécurisé

Sans réseaux CSP sécurisés, l'IoT est le terrain de jeu d'un cybercriminel. Avant de s'inquiéter des millions d'appareils périphériques, les experts en sécurité CSP doivent regarder à l'intérieur et sécuriser au mieux leurs systèmes internes. L'application des principes du moindre privilège et des systèmes de gestion des accès privilégiés est une première étape utile.