Cybersécurité de l'IoT :5 manières de sécuriser votre application

En octobre 2016, l'Internet des objets était au centre de l'une des plus grandes attaques par déni de service distribué (DDoS). Un botnet appelé Mirai a piraté des appareils IoT et a ensuite utilisé ces appareils pour envoyer un nombre sans précédent de demandes de trafic à Dyn, un grand fournisseur DNS. Cette augmentation du trafic a amené Dyn à se déconnecter, et par la suite, un certain nombre de ses clients remarquables ont également été déconnectés, notamment Amazon, Twitter et PayPal.

Bien qu'il y ait eu de nombreuses cyberattaques liées à l'IoT de grande envergure au cours des dernières années, l'attaque Dyn démontre l'importance de la cybersécurité de l'IoT. Pour protéger votre propre application contre les violations de l'IoT, vous pouvez faire cinq choses :

1. Ne configurez pas vos appareils IoT avec des noms d'utilisateur et des mots de passe par défaut.

Une grande majorité des cybermenaces liées à l'IoT peut être évitée en suivant cette règle simple. Voici pourquoi :de nombreux appareils IoT courants (comme de nombreux thermostats intelligents et caméras de sécurité) sont basés sur Linux, et beaucoup sont livrés avec des noms d'utilisateur et des mots de passe par défaut pour les connexions SSH. (Nous discuterons du danger de SSH ci-dessous.) Si votre client met un de ces appareils sur son réseau, cela devient un très cible facile. L'attaque Mirai a spécifiquement recherché des appareils avec ce trait. Des outils comme Shodan et Nmap permettent aux pirates d'écrire facilement un script qui trouve ces appareils et teste le mot de passe par défaut, ouvrant la voie à une attaque à grande échelle utilisant des botnets.

Vous voulez savoir comment les opérations de fabrication à grande échelle suivent et surveillent les matériaux dans leurs usines ?

Pour éviter cela, nous vous recommandons fortement d'envisager d'autres solutions pour gérer vos applications, sans mots de passe par défaut. Même le hachage, où les clients entrent leurs numéros de série de produits uniques dans un navigateur pour obtenir leur mot de passe, est plus sécurisé que l'envoi de noms d'utilisateur et de mots de passe standardisés.

2. N'utilisez pas de connexion SSH (Secure Socket Shell), si possible.

Comme mentionné, de nombreuses applications IoT exécutent Linux et la plupart des systèmes Linux activent SSH par défaut. Cela signifie que l'appareil « écoute » le port 22 pour quiconque souhaite s'y connecter via SSH. Si votre application ne nécessite pas que vous utilisez SSH, assurez-vous qu'il est désactivé, car il s'agit d'une vulnérabilité majeure de la cybersécurité de l'IoT.

3. Limitez l'exposition de votre application aux réseaux IP, si possible.

Il y a de fortes chances que si quelqu'un essaie de pirater votre appareil IoT, il le fasse en utilisant une attaque en ligne basée sur un script. C'est beaucoup, plus rare qu'un appareil soit piraté physiquement par un mauvais acteur dans la même pièce. Limitez l'exposition de votre application aux réseaux IP si vous le pouvez.

Votre fournisseur de connectivité peut être en mesure de vous aider. Symphony Link, par exemple, n'a pas de communication basée sur IP du nœud final à la passerelle, il n'y a donc aucune vulnérabilité basée sur le réseau qui peut attaquer ce lien. Même si un pirate informatique pouvait accéder, par exemple, à un compteur d'eau intelligent connecté à Symphony Link, il n'y aurait rien qu'un pirate informatique puisse faire pour exploiter la connexion au réseau IP en amont.

4. Créez un tunnel VPN dans votre réseau principal.

Permettez à vos appareils de créer un tunnel de réseau privé virtuel (VPN) pour une communication sécurisée. La meilleure façon de le faire avec l'IoT cellulaire est de négocier avec votre opérateur pour ajouter vos appareils à leur réseau privé, avec un tunnel VPN directement sur votre backend. Le résultat :il n'y a aucun moyen pour le trafic vers ou depuis vos appareils d'accéder à Internet. Appelé espacement d'air virtuel, il s'agit d'un service que nous proposons à nos clients LTE-M ici à Link Labs.

5. Liste blanche de certaines IP et noms de domaine.

Envisagez de n'autoriser qu'une liste sélectionnée d'adresses IP ou de noms de domaine pour envoyer du trafic à vos appareils en tant que forme de protection par pare-feu. Cela peut aider à empêcher les connexions malveillantes. Gardez à l'esprit que si votre appareil est piraté, il peut être possible pour le pirate informatique de supprimer les blocs d'adresses IP et de domaine que vous avez en place, mais cela reste une bonne mesure de précaution.

Enfin, si vous êtes une grande entreprise qui développe une application connectée, Link Labs vous recommande fortement de rechercher une société de conseil en sécurité établie qui peut analyser vos pratiques de cybersécurité et vous aider à vous assurer que votre application est solide. N'attendez pas de faire l'objet d'un article Dark Reading sur la simplicité d'exploitation de votre appareil. Dépensez l'argent maintenant pour sécuriser votre application. Si vous avez des questions dans ce domaine, nous serions ravis de vous aider :envoyez-nous un message et nous vous répondrons dans les plus brefs délais.