Slik beskytter du bedriftsnettverket mot DDoS-angrep og botnet

Internet of Things er i økning, og det forventer over 20 milliarder tilkoblede enheter om få år. Med i bildet følger også faren for DDoS-angrep, som vil være en stor risikofaktor for bedrifter.

Artikkelen er skrevet av Ingo Schneider, Director of Business Development & Data Network Infrastructure, EUNO, Alcatel-Lucent Enterprise

Allmennheten ble for alvor gjort oppmerksom på Distributed Denial of Service-angrep (DDoS – distribuert tjenestenekting) i fjor, som følge av flere mye omtalte saker.

Ett av de største og mest omtalte var Dyn-angrepet i oktober 2016. Selv om dette ikke nødvendigvis er en ny type trussel, er Dyn-saken et interessant eksempel, fordi det brukte dårlig sikrede IoT-enheter til å koordinere angrepet.

Prognosen er at det kommer til å være 20 milliarder tilkoblede enheter innen 2020. Som del av det stadig voksende Tingenes internett kommer også behovet for implementering av de rette nettverksprosedyrene og -verktøyene for sikring av alle disse enhetene til å øke.

Tingenes internett er den nye kamparenaen – stadig flere robotnett til leie

Enkelt sagt skjer DDoS-angrep når en angriper prøver å gjøre en nettverksressurs utilgjengelig for legitime brukere ved å oversvømme nettverket med overflødig trafikk. Serverne blir overbelastet og tjenesten dermed utilgjengelig.

Mange tusen slike angrep skjer hvert år, og de er i stadig økning, både i antall og størrelse. I henhold til enkelte rapporter så vi i 2016 en økning på 138% fra året før i det totale angrepet som var større enn 100Gbps.

Dyn-angrepet bruket Mirai-robotnettet (botnett) som utnytter dårlig sikrede, IP-aktiverte “smarte ting”, til å utvide sin hær med infiserte enheter. Nettet er programmert til å skanne etter IoT-enheter som fortsatt bare er beskyttet med fabrikkinnstilte standardinnstillinger eller hardkodede brukernavn og passord. Når de er infisert, blir enhetene del av et robotnett (botnett) med titusenvis av IoT-enheter som kan bombardere et utvalgt mål med skadelig trafikk.

Dette og andre robottnett kan leies på nettet fra driftige cyberkriminelle, og etterhvert som funksjonene og muligheten utvides og forbedres, blir flere og flere tilkoblede enheter utsatt for risiko. 

Hva kan bedrifter gjøre for å beskytte seg nå og i fremtiden?

1. Avgrensning av trusselen

En viktig metode er IoT-avgrensning. Dette er en metode for å opprette virtuelle isolerte miljøer med teknikker for nettverksvirtualisering. Tanken er at tilkoblede enheter som har en bestemt funksjon, og de respektive autoriserte brukerne, grupperes i et unikt avgrenset IoT-område. Man vil fortsatt ha alle brukerne og enheten i en bedrift fysisk tilkoblet én nettverksinfrastruktur, men de er logisk sett isolerte.

La oss for eksempel si at sikkerhetsteamet har ti IP-overvåkningskameraer på et anlegg. Ved å opprette et IoT-område for sikkerhetsteamets nettverk, kan IT-ansatte opprette et virtuelt, isolert nettverk som uautorisert personale ikke har tilgang til – og som ikke kan sees av andre enheter utenfor det virtuelle miljøet. Hvis noen del av nettverket utenfor dette miljøet utsettes for sikkerhetsbrudd, spres ikke dette til overvåkningsnettverket.

Ved å opprette et virtuelt IoT-miljø kan du også sikre korrekte forhold for at en gruppe enheter skal fungere som de skal. Innenfor et slikt område kan regler for servicekvalitet (QoS – Quality of Service) håndheves, og det er mulig å reservere eller begrense båndbredde, prioritere viktig trafikk og blokkere uønskede programmer. Det kan for eksempel skje at overvåkingskameraer som kjører en kontinuerlig strøm krever en reservert mengde båndbredde, og maskiner som holder mennesker i live på sykehus må ha høyeste prioritet.

Denne QoS-håndhevingen kan oppnås bedre ved å bruke svitsjer som er aktivert med dybdeinspeksjon av pakker, som ser pakkene mens de flyttes gjennom nettverket i tillegg til hvilke programmer som er i bruk. Da kan du se om noen er inne i CRM-systemet, ser på sikkerhetsstrømmen eller bare ser på Netflix.

2. Beskyttelse ved svitsjen – tilnærming fra tre sider

Bedrifter bør sikre at svitsjleverandør tar trusselen på alvor og setter i verk prosedyrer for å beskyttet maskinvare best mulig. En god tilnærming kan oppsummeres med at den takler problemet fra tre sider;

  • Et par ekstra øyne: Pass på at svitsjenes operativsystem er bekreftet av uavhengige sikkerhetseksperter. Enkelte bedrifter unngår å dele kildekode for å få den bekreftet av spesialister i bransjen, men det er viktig å se på produsenter som har pågående forhold med ledende sikkerhetseksperter i bransjen.
  • Kryptert kode betyr at én svitsj ikke kan utsette hele nettverket for sikkerhetsbrudd. Bruk av åpen kildekode som del av operativsystemer er vanlig i bransjen, noe som medfører noe risiko siden koden er “kjent for alle”. Kryptering av objektkode i minnet til svitsjen betyr at selv hvis en hacker kan finne deler med åpen kildekoder i én svitsj, er hver av dem unikt kryptert slik at det samme angrepet ikke fungerer på flere svitsjer.
  • Hvordan leveres operativsystemet for svitsjen? IT-bransjen har en global forsyningskjede med komponentproduksjon, monitering, forsendelse og distribusjon med et verdensdekkende fotavtrykk. Dette skaper risiko for at svitsjen blir tuklet med før den kommer frem til sluttkunden. Nettverksinstallasjonsteamet bør alltid laste ned de offisielle operativsystemene til svitsjen direkte fra leverandørens sikre servere før installasjonen.

3. Ta de enkle grepene for å sikre de smarte tingene

I tillegg til å etablere et sikrere kjernenettverk, finnes det forholdsregler du kan sette i verk akkurat nå for å beskytte enheter bedre. Det er helt utrolig hvor mange bedrifter som ikke tar disse enkle forhåndsreglene

  • Bytt ut standardpassordet – veldig enkelt, men glemmes ofte – bytt ut standardpassordet. I Dyn-saken søkte viruset etter standardinnstillingene for IP-enheter for å ta over kontrollen.
  • Oppdater programvare – i den evigvarende kampen mellom cyberkriminelle og sikkerhetseksperter, blir det stadig viktigere å holde seg helt oppdatert med de nyeste oppdateringene og sikkerhetsreperasjonene. Følg med på de nyeste oppdateringene og gjør det til en del av rutinen å holde seg oppdatert.
  • Forhindre ekstern administrasjon – slå av protokoller for ekstern administrasjon, som telnet eller http, som gir muligheter for kontroll fra andre steder. Anbefalte sikre protokoller for ekstern administrasjon er via SSH eller https.

Utvikle nettverket ditt

Tingenes internett skaper fantastiske muligheter for forvandling for bedrifter i alle bransjer, fra produksjon og helsevesen til transport og utdanning. Men med alle nye bølger med teknologiske oppfinnelser følger nye utfordringer.

Vi står ved starten av IoT-alderen, og derfor er det viktig å få på plass de grunnleggende kravene til nettverk for at de skal støtte både økningen i dataoverføring og håndheving av QoS-regler samtidig som risikoen for nettangrep reduseres til et minimum.

Kommentarer