Nous devons sécuriser l'Internet des objets avant que quelqu'un ne soit blessé

Robert Haim de ACG Research

Dick Cheney, l'ancien vice-président des États-Unis, a désactivé l'accès sans fil à son stimulateur cardiaque parce qu'il craignait que des terroristes ne provoquent une crise cardiaque. Dans le film de 2007 "Live Free or Die Hard", des criminels ont bloqué la circulation et causé des accidents en mettant tous les feux de circulation de Washington, DC au vert.

Ces attaques réelles et fictives contre ce que nous appelons maintenant l'Internet des objets (IoT) avaient le potentiel de causer des pertes de vie. Compte tenu de tous les capteurs et contrôles IoT utilisés dans le monde aujourd'hui, ce n'est qu'une question de temps avant qu'une sécurité faible permette à de mauvais acteurs de prendre le contrôle, d'activer des comportements dangereux ou d'amener des opérateurs humains à effectuer la mauvaise action.

C'est juste une question de temps. Nous devons sécuriser l'Internet des objets avant que quelqu'un ne soit blessé. Mais comment ?

Il y a de nombreux défis dans ces domaines. Par exemple, la gestion des identités. Êtes-vous déjà sûr des utilisateurs, appareils ou applications qui tentent d'accéder à vos données ? Comment pouvez-vous prouver l'identité dans un doute raisonnable, mais continuez à améliorer la confiance que vous avez fait confiance aux bons utilisateurs, et non, par exemple, à un terroriste ? Cela signifie une surveillance comportementale, en temps réel.

Relevez le défi de protéger les informations critiques, qui peuvent être réglementées par des lois ou des secteurs - ou tout simplement extrêmement précieuses pour les entreprises et les voleurs. Ces données peuvent affecter des vies immédiatement (comme un dispositif médical) ou plus tard (comme les plans des systèmes de sécurité d'un barrage hydroélectrique). Comment pouvez-vous être sûr que les données et ces appareils sont bien protégés contre la falsification ou l'accès illicite ?

Ou les connexions réseau elles-mêmes, qui relient les appareils mobiles ou fixes au centre de données ou au cloud. Les connexions sont-elles sécurisées ? Les pirates informatiques peuvent-ils accéder en subvertissant un point de terminaison… et ces connexions ont-elles été testées pour être robustes, évolutives et impénétrables ? Voyons comment.

Repérez l'attaque. Arrêtez l'attaque

Le défi de la réalisation d'un réseau « sécurisé », y compris le secteur de l'IoT, est que la « sécurité » est un objectif négatif, déclare Robert Haim, analyste principal chez ACG Research , qui se concentre sur les secteurs des réseaux et des télécommunications.

« Vous essayez de réaliser quelque chose malgré ce que les adversaires pourraient faire et vous ne savez pas quelles sont leurs capacités », explique-t-il. Étant donné que de nombreux terminaux IoT ne disposent pas de suffisamment de mémoire pour y inclure un logiciel de sécurité sophistiqué. « Alors, qu'allons-nous faire ? »

Il y a en fait deux problèmes qui doivent être résolus, dit Haim :"Nous devons nous soucier de la sécurité de l'appareil lui-même, puis nous devons également réfléchir à ce que nous devons faire si nous nous faisons pirater." Cela n'aide pas que 55% des entreprises ne sachent même pas d'où vient la menace et où se trouve le problème dans leur réseau.

Regardez les actions, pas seulement l'identité

Mark McGovern, chef de groupe de l'analyse des menaces, CA Technologies , dit qu'il y a un énorme besoin de surveiller ce que font les gens, une fois qu'ils ont accès à un système. Ce qu'ils font est plus important que ce qu'ils sont. « Qu'il s'agisse d'un système existant qui autorise 100 millions d'utilisateurs en temps réel pour une institution financière ou de grandes entreprises de câblodistribution, la façon dont nous y pensons ne concerne pas qui vous prétendez être ou les informations d'identification que vous possédez, c'est ce que vous faire."

Il explique :« Quand vous rencontrez quelqu'un dans la rue, il peut dire qu'il est X ou qu'il fait Y, mais en réalité, qu'est-ce que vous l'observez faire au fil du temps ? C'est le niveau de confiance que vous accordez aux gens. »

CA étudie et analyse le comportement réel des entités autorisées à utiliser un système, et signale les éléments qui ne correspondent pas aux comportements passés de ces entités.

« Qu'il s'agisse d'une adresse IP, d'un point de terminaison, d'une connexion ou d'une identité revendiquée, quelles sont les choses qui se démarquent, à la fois contre leur propre comportement, puis contre celui de la population », explique McGovern. "Ces données renforcent l'apprentissage que font nos systèmes et l'apprentissage automatique que nous intégrons dans ces systèmes, et apportent également de la valeur à nos clients."

Commencez par la modélisation des menaces

« Prenez n'importe quel appareil, comme une serrure de porte IoT », déclare John Michelsen, chef de produit, Zimperium , qui fabrique un logiciel de défense contre les menaces mobiles basé sur l'IA. « Vous devez identifier au niveau de l'appareil, du réseau ou du contenu de l'application, quelles sont les façons dont cet appareil pourrait être exploité. » Et puis vous devez les bloquer avant d'aller au marché.

C'est un vrai problème, dit Michelsen. « Au Black Hat de 2017, quelqu'un a prouvé que 13 des 15 boutons de porte automatisés pouvaient être ouverts en quelques heures de travail. Au moins 70 % des appareils informatiques grand public IoT sont piratables."

C'est pourquoi vous avez besoin d'une modélisation des menaces, dit-il :« D'abord, vous faites de la modélisation des menaces. Vous identifiez ensuite les moyens que vous allez éviter - détectez cela et élaborez une solution autour de cela. "

Tout le monde doit regarder dehors

Chaque entreprise dispose de ressources de sécurité internes pour tester les logiciels, l'infrastructure, les produits et les services, mais cela ne suffit pas, déclare Roark Pollock, vice-président senior de Ziften. , qui propose des solutions de sécurité des terminaux.

« Il faut regarder dehors. Regardez vos partenaires et soyez ouvert à ce qu'ils testent votre produit. Ils peuvent vous obliger à passer par tout un processus de certification – passez-vous par ces certifications partenaires. Il existe aujourd'hui des cabinets d'audit pour la sécurité. Embauchez-les. »

Ne te fais pas confiance, insiste-t-il. Demandez à des experts externes de revérifier vos ingénieurs, de revérifier votre code.

« Ensuite, regardez la communauté et les projets open source pour vous assurer à nouveau qu'il existe une communauté de personnes qui vérifient, revérifient et appuient sur ce code. »

Pollock n'est impressionné par aucune entreprise qui suppose qu'elle peut tout faire elle-même en matière de sécurité. "Je pense qu'il est essentiel d'obtenir de l'aide extérieure."

Utiliser l'intelligence artificielle pour contrôler l'identité

Hank Skorny, vice-président principal, Neustar , une société de gestion des identités, affirme qu'elle commence par déterminer l'identité des utilisateurs (ou des appareils ou des applications) qui accèdent aux appareils IoT ou à leurs données. Mais cela ne s'arrête pas là. « Il faut établir l'identité. Il faut aussi toujours remettre ça en doute, car l'identité n'est qu'une probabilité, jamais vraiment définitive. »

Comment améliorez-vous la confiance dans cette probabilité ? "Utilisez l'apprentissage automatique et l'intelligence artificielle", dit-il, tout en surveillant constamment le système que vous avez créé.

"Vous n'allez pas simplement identifier quelqu'un ou déterminer un appareil ou quoi que ce soit d'autre. Vous allez le surveiller. La seule façon de contrôler un monde à l'échelle de la nanoseconde est d'utiliser l'apprentissage automatique et l'intelligence artificielle, en recherchant constamment ces modèles de comportement maléfique, en l'arrêtant plus rapidement qu'un humain ne le pourrait jamais.

Prouvez la confiance sur plusieurs domaines

Certaines données sont protégées par la loi – pensez aux secrets militaires ou aux informations personnellement identifiables sur la santé, couvertes par le Health Insurance Portability and Accountability Act de 1996 (HIPAA) aux États-Unis. Il existe d'autres informations, cependant, qui sont extrêmement sensibles, même si elles ne sont pas couvertes par des réglementations spécifiques. Tenez compte des données sur les performances des athlètes professionnels :il ne s'agit pas d'informations sur la santé HIPPA, mais d'informations cruciales pour des équipes sportives d'un milliard de dollars.

Zèbre Sports est une entreprise qui collecte les données télémétriques des joueurs de football américain sur les heures d'entraînement et les jours de match, explique John Pollard, vice-président de l'entreprise, et l'entreprise a dû travailler dur pour marquer des buts avec la National Football League (NFL).

« L'un des critères utilisés par la NFL pour évaluer diverses technologies était certainement la sécurité », dit-il. « Nous collectons beaucoup d'informations et devons transférer ces informations dans des logiciels et des services afin que nos clients des principaux secteurs verticaux puissent évaluer ces informations. La NFL incarne certainement cela aussi. Parce que nous capturons des informations qui n'ont jamais été capturées auparavant pour un sport professionnel, nous parlons d'accélération, de décélération, de changement de direction, de proximité sur une durée globale. »

Aider Zebra à marquer des points :sa riche expérience en IoT dans les domaines de la vente au détail, du transport, de la logistique, de la fabrication et de la santé.

"Notre expérience de travail avec ces industries nous a certainement aidés à constituer un dossier valable pour être un partenaire de la NFL dans la capture de ce type d'informations", a déclaré Pollard.

La leçon de sécurité ici, dit Pollard, c'est que ce n'est pas parce que c'est du sport que c'est vital. Les mêmes principes s'appliquent, par exemple, à l'IoT militaire ou commercial qu'à la NFL. La télémétrie pour un joueur de football n'est pas différente de la télémétrie pour un agent de sécurité, ou même un missile. Le premier paramètre est de le sécuriser.

Créez des zones de confiance — et appliquez-les

Tous les utilisateurs ne sont pas créés de la même manière et tous les utilisateurs n'ont pas besoin des mêmes informations d'un appareil IoT. Le personnel informatique de l'hôpital doit vérifier que les données d'une pompe de dialyse sont capturées par la bonne application et stockées dans les bons dossiers du patient… mais ils n'ont pas besoin de voir les données, et en fait, HIPAA peut interdire leur accès. De même, le personnel informatique doit vérifier que l'entrée d'une partie sécurisée d'un bâtiment fonctionne correctement, mais encore une fois, ils peuvent ne pas être autorisés à ouvrir la porte eux-mêmes.

"Si vous regardez le nombre de personnes qui interagissent avec cette serrure de porte, les rôles, les responsabilités, c'est là que les zones de confiance continuent de s'accumuler", explique Sanjeev Datla, directeur de la technologie, Lantronix , qui construit la technologie IoT industrielle. « Quels sont les différents niveaux d'accès pour l'administrateur de la porte ? Pour l'infirmière lorsqu'elle interagit avec les appareils de dialyse ? »

Et qu'en est-il du technicien de service sur site qui vient accéder ou entretenir la machine ? « Connaître les rôles et les responsabilités concernant ce qu'il faut autoriser et ce qu'il ne faut pas autoriser », dit-il.

Datla insiste sur le fait que ce n'est pas simple. « Vous avez une pompe à perfusion avec un port Ethernet. Quels sont les anneaux de confiance, ou les contrôles d'accès, si vous préférez, autour de ce port ? Et comment est-il testé ? » Comme l'a dit Mark McGovern de CA ci-dessus, cela doit être plus sophistiqué que de simples listes de contrôle d'accès.

"Nous recherchons une analyse comportementale", explique Datla, "D'accord, cette personne n'est pas censée faire cela pour le moment. Alors quand ils font ça, que faites-vous à ce sujet ? Comment déclencher une alerte et obtenir l'approbation ou un blocage d'un niveau supérieur ?"

N'oubliez jamais :tout est connecté

« Les appareils IoT deviennent de plus en plus intelligents », déclare Pollock de Ziften. « Nous ne parlons plus de microcontrôleurs stupides pour les unités de contrôle qui sont à air-gap. Nous parlons de capteurs intelligents dans le réseau. Nous parlons de passerelles intelligentes. »

De plus, souligne-t-il, « de nombreux appareils IoT sont des PC entièrement fonctionnels à toutes fins pratiques, mais nous ne traitons pas ces appareils de la même manière que nous traitons les PC ordinaires sur nos réseaux d'entreprise. »

« Regardez, si vous voulez avoir tous ces appareils connectés, vous devez être en mesure de surveiller à la fois l'état de cet appareil et l'hygiène de cet appareil. Il doit être durci sur votre environnement. »

Faisant écho aux commentaires précédents, Pollock insiste sur le fait que les entreprises doivent surveiller le comportement des appareils IoT, pas seulement le contrôle d'accès. « Recherchez les valeurs aberrantes du point de vue du comportement et commencez à identifier ce qui se passe avec cet appareil et ce qu'il fait. Concentrez-vous sur ces valeurs aberrantes avec la longue queue de la courbe sur ce qui se passe. Identifiez les appareils qui font quelque chose qui sort de l'ordinaire, examinez-les et examinez-les comme des problèmes potentiels."

Parce qu'après tout, avec les appareils IoT et les applications IoT vulnérables aux attaques, les vies seront être en jeu.

L'auteur est Robert Haim, analyste principal – Business Analysis &IoT, ACG Research