Déballage de l'IoT, une série :le défi de la sécurité et ce que vous pouvez y faire

Les ingénieurs réseau sont confrontés à un certain nombre de défis lors du déploiement d'initiatives Internet des objets (IoT). Revenez sur le blog Cisco IoT au cours des prochaines semaines pour découvrir les trois principaux défis de l'IoT et les meilleures pratiques pour les relever.

Tout d'abord, le plus grand défi de l'IoT de loin :la sécurité .

Les menaces de sécurité IoT diffèrent considérablement des menaces de sécurité dans les environnements informatiques traditionnels :dans l'informatique traditionnelle, les préoccupations de sécurité se concentrent avant tout sur la protection des données. Les attaquants peuvent voler des données, compromettre des données et demander une rançon. Récemment, ils sont tout aussi intéressés par le vol de puissance de calcul pour des activités de cryptomining malveillantes.

Bien que ces problèmes de sécurité existent dans l'IoT, ils vont également plus loin, s'étendant au-delà des données et dans le monde physique. Au minimum, un incident de sécurité IoT peut gêner les gens ou interrompre les opérations, causant des millions de dollars de dommages en quelques heures. Au pire, ces attaques peuvent endommager les systèmes qui contrôlent un processus physique et même mettre des vies en danger. Considérez les exemples suivants :

• La tristement célèbre attaque Stuxnet en 2010 a exploité plusieurs failles zero-day dans les logiciels Microsoft Windows. L'objectif était de détecter et de corrompre les automates exécutant le logiciel Step7 de Siemens afin de les reprogrammer avec des logiciels malveillants pour que les centrifugeuses nucléaires à rotation rapide sous leur contrôle se déchirent littéralement. Le résultat final de cette attaque a vu la destruction d'un cinquième des centrifugeuses nucléaires iraniennes.
• Nous avons assisté à la première cyberattaque réussie sur un réseau électrique en 2015, lorsque des cyberattaquants ont pris le contrôle de plusieurs centrales électriques ukrainiennes, entraînant la perte d'électricité pour plus de 225 000 habitants pendant des périodes allant jusqu'à six heures. Cette attaque complexe et en plusieurs phases a non seulement pris le contrôle des systèmes SCADA, permettant aux acteurs étrangers d'éteindre les sous-stations à distance, mais a également inclus une attaque DoS sur le centre d'appels afin que les consommateurs ne puissent pas appeler pour signaler des problèmes ou recevoir des mises à jour de l'état de la panne.
• En 2017, un attaquant a déployé un malware ICS, baptisé Triton, conçu pour manipuler les systèmes de sécurité industrielle de manière à perturber le fonctionnement des infrastructures critiques. Le ciblage spécifique de l'attaquant des systèmes instrumentés de sécurité (SIS) suggère un intérêt à provoquer une attaque à fort impact avec des conséquences physiques (un objectif d'attaque généralement pas vu par les groupes de cybercriminalité). L'analyse de l'incident a conduit les enquêteurs à croire qu'il s'agissait du travail d'un État-nation se préparant à une attaque plus large.
• En 2019, une attaque de ransomware contre Norsk Hydro, l'un des plus grands fabricants d'aluminium au monde, a forcé l'entreprise à passer à des opérations manuelles dans le but de contenir la brèche. L'attaque a coûté 52 millions de dollars à l'entreprise et a entraîné une augmentation mondiale du prix de l'aluminium.

Ces incidents montrent à quel point la sécurité peut être critique et difficile dans les scénarios IoT.

Prévenir et contenir les menaces de sécurité IoT

Dans les exemples ci-dessus, les failles de sécurité auraient pu être entièrement évitées ou, du moins, contenues de manière significative, en utilisant une bonne pratique de sécurité réseau :la segmentation. La segmentation est l'un des principes de conception de réseau les plus efficaces à déployer pour la sécurité. C'est un axiome de réseautage universellement accepté, mais si c'est le cas, pourquoi les organisations ne segmentent-elles pas entièrement leurs réseaux ?

La réponse :c'est compliqué.

Pour réduire les coûts, les entreprises ont convergé leurs réseaux de données, voix et vidéo sur une infrastructure physique partagée. Plus récemment, des appareils IoT ont également été ajoutés au même réseau IP. Cependant, il est nécessaire de maintenir une séparation logique entre ces services à des fins de sécurité et de gestion. Pour ce faire, les ingénieurs réseau segmentent généralement le réseau à l'aide de VLAN. Ce processus nécessite plusieurs étapes, points de contact, politiques et interfaces utilisateur. À un niveau élevé, les ingénieurs réseau doivent créer des groupes dans Active Directory, définir des politiques, exécuter des VLAN/sous-réseaux et mettre en œuvre la politique.

La nature complexe de la segmentation ne rend pas seulement la tâche fastidieuse, elle augmente également le risque d'erreur humaine. Par exemple, les listes de contrôle d'accès (ACL) sur les périphériques réseau comptent souvent des dizaines de milliers de lignes. Ils sont difficiles à gérer et à comprendre en raison de raisons mal documentées pour chaque ligne de l'entrée. S'il existe une divergence pour les listes de contrôle d'accès d'un appareil à un autre, il existe une vulnérabilité potentielle et un vecteur d'attaque qui peuvent être exploités.

Apporter la sécurité de Cisco à l'IoT

Étant donné le rôle clé que joue la segmentation du réseau dans la protection des actifs du réseau, il est essentiel que les administrateurs réseau puissent segmenter le réseau de manière efficace et efficiente. Chez Cisco, nous simplifions la segmentation en appliquant une mise en réseau basée sur l'intention au réseau de l'entreprise. Cette expression spécifique de mise en réseau basée sur l'intention s'appelle l'accès défini par logiciel (SDA).

L'accès défini par logiciel élimine le besoin pour les administrateurs réseau de parler le langage des listes de contrôle d'accès ou des stratégies de groupe afin d'identifier les périphériques réseau pouvant communiquer entre eux. En quelques clics et glisser-déposer de la souris, les administrateurs réseau peuvent établir des réseaux virtuels distincts pour la voix, les données, l'accès invité sans fil, le BYOD, l'IoT, etc. Cette année, nous avons étendu ces capacités jusqu'à la périphérie de l'IoT, afin que les parkings, les centres de distribution, les installations de fabrication, les aéroports, les ports maritimes, etc. puissent tous être gérés à partir du même panneau de verre que l'entreprise de moquette, à savoir Cisco. Centre d'ADN.

À l'aide de Cisco DNA Center, un tableau de bord de gestion centralisé, les administrateurs réseau peuvent provisionner des réseaux dans toute l'entreprise et s'assurer que les appareils affectés à un réseau virtuel ne peuvent pas communiquer avec les appareils d'un autre réseau virtuel. En fait, les appareils d'un réseau virtuel ne peuvent même pas voir les autres réseaux virtuels. En ce qui les concerne, le réseau virtuel auquel ils sont connectés est le seul et unique réseau qui existe ou qui ait jamais existé. Cela signifie que les appareils IoT affectés à un réseau virtuel IoT ne peuvent communiquer qu'avec d'autres appareils affectés au même réseau virtuel et rien (ni personne) d'autre. Une telle séparation logique est appelée macro-segmentation.

Cependant, SDA offre une option de politique encore plus granulaire aux administrateurs réseau.

Dans la segmentation macro, tout périphérique d'un réseau virtuel peut par défaut communiquer avec tout autre périphérique de ce même réseau virtuel. Ainsi, si les caméras vidéo, les capteurs de température et les lecteurs de badges étaient tous affectés à un seul « réseau virtuel IoT », ces appareils – par défaut – seraient capables de communiquer entre eux. Une telle communication peut présenter un problème de sécurité – Si un seul appareil est compromis, les attaquants utiliseront cet appareil pour rechercher sur le réseau d'autres appareils susceptibles de fournir un point d'ancrage supplémentaire dans l'organisation (regardez comment cela se fait). C'est là qu'intervient la micro-segmentation.

Dans Cisco DNA Center, les administrateurs réseau peuvent facilement créer des politiques de micro-segmentation qui définissent quels appareils peuvent communiquer avec d'autres appareils au sein du même réseau virtuel . (Regardez la démo, Cisco Extended Enterprise avec DNA-C.) Les administrateurs peuvent également configurer la stratégie pour envoyer une alerte si ces appareils tentent de communiquer avec des appareils non autorisés, ce qui pourrait indiquer une attaque de sécurité potentielle. Dans notre exemple ci-dessus, les caméras vidéo peuvent être configurées pour parler uniquement à d'autres caméras vidéo, et si elles essaient de parler aux capteurs de température ou aux lecteurs de badge, une alerte sera émise.

La possibilité de segmenter le réseau à la fois au niveau macro et micro avec SDA est une excellente solution à la fois pour prévenir et contenir une violation de sécurité. Il évolue facilement pour répondre aux besoins du réseau d'entreprise et les clients Cisco peuvent désormais appliquer ces mêmes concepts à leurs réseaux IoT. De plus, ils peuvent le faire de manière efficace et efficiente en utilisant la même interface de gestion qu'ils utilisent pour le réseau d'entreprise. Vous voulez en savoir plus ? Consultez notre webinaire à la demande, Cisco IoT :Drive Transformation in the Public Safety, Oil and Gas, and Manufacturing Sectors. Et n'oubliez pas de consulter le blog Cisco IoT pour les autres principaux défis auxquels l'IoT d'entreprise est confronté.