BLOG

Wie IoT die Netzwerkintegrität beeinträchtigen kann

F5 Miniaturansicht
F5
Veröffentlicht am 01. Mai 2018

Das IoT (Internet der Dinge) bringt frischen Wind in die Vernetzung und ebnet den Weg für die Kommunikation von Maschine zu Maschine (M2M) und automatisierte Prozesse. Von vernetzten Autos und Smart Homes bis hin zu Fernoperationen und Robotik – die Chancen und Potenziale sind endlos.

Aktuelle Zahlen gehen davon aus, dass derzeit schätzungsweise 8,4 Milliarden IoT-Geräte im Einsatz sind. Bis 2020 dürfte diese Zahl auf über 20 Milliarden ansteigen. Heute umfasst das IoT einen riesigen technologischen Rahmen und seine Bereitstellung erfolgt in vielen Varianten. Zu den wichtigsten zählen die verwalteten Anwendungsfälle des industriellen Internets der Dinge (IIoT) und die nicht verwalteten Anwendungsfälle des Verbraucher-Internets der Dinge (CIoT).

Obwohl IIoT eine abschreckende Komplexität aufweisen kann, ist die Sicherheitsverwaltung tatsächlich leicht umsetzbar. Der Schlüssel liegt hierbei in einer Lösung, die den Datenverkehr zwischen den Geräten und der/den Application(en) steuert, einen erstklassigen Service garantiert und die Protokollkonformität sicherstellt.  Darüber hinaus ist es wichtig, die Kommunikation über Kryptografie (TLS) und Stateful Security Services (Polizei und Schutz vor Schwachstellen) zu sichern.

Eine zentrale Herausforderung bei der IIoT-Bereitstellung sind die sich ändernden Eigenschaften der Verkehrsmetriken. Es gibt massenhaft IIoT-Geräte, die Sitzungen dauern lange (Monate oder sogar Jahre) und das Datenverkehrsaufkommen ist normalerweise sehr gering. Das Beenden inaktiver Sitzungen ist nicht immer eine Option. Die ständige Verfügbarkeit einiger Applications kann tatsächlich zu einem Datenverkehr im Netzwerk führen.

Zu den CIoT-Geräten, die normalerweise nicht verwaltet werden, gehören beispielsweise CCTV-Kameras, intelligente Lautsprechersysteme und Wearables. Wenn man hinter einem mobilen Breitband- oder Festnetz-Teilnehmer-CPE sitzt, kann es schwierig sein, solche Geräte im Netzwerk zu identifizieren, da die Kommunikationsbeziehungen nicht klar definiert sind.

Das Problem wird dadurch verschärft, dass viele intelligente Geräte auf kostengünstigen Chipsätzen basieren, die den Netzwerkprotokollstapel und gelegentlich eine Application bereitstellen. Hersteller verzichten häufig auf die Bereitstellung von Patches und übernehmen manchmal sogar keinerlei Verantwortung mehr, sobald das Gerät ausgeliefert wird. Dies kann zu erheblichen Störungen führen. Dem jüngsten Threat Intelligence Report von F5 Labs zufolge ist Europa bereits ein Hotspot für Thingbots, die ausschließlich aus IoT-Geräten gebaut werden und sich für ambitionierte Angreifer, die Botnetze aufbauen, schnell zum bevorzugten Trägersystem für Cyberwaffen entwickeln.

F5 Labs meldete zwischen dem 1. Januar und dem 30. Juni 2017 weltweit 30,6 Millionen Thingbot-Angriffe. Dabei wurden Geräte über Telnet ausgenutzt, ein Netzwerkprotokoll, das eine Befehlszeilenschnittstelle für die Kommunikation mit einem Gerät bereitstellt. Dies entspricht einer Steigerung von 280 % gegenüber dem vorherigen Berichtszeitraum vom 1. Juli bis 31. Dezember 2016. 44 % der 50 am häufigsten angreifenden IP-Adressen entfielen auf Hosting-Anbieter, 56 % stammten von ISP-/Telekommunikationsquellen.

Trotz des Anstiegs erreichen die Angriffsaktivitäten nicht das Ausmaß der Hauptschuldigen unter den Thingbot-Angriffen Mirai und Persirai. 93 % der Angriffe während des Berichtszeitraums von F5 ereigneten sich im Januar und Februar, wobei die Aktivität von März bis Juni zurückging. Dies könnte ein Hinweis darauf sein, dass neue Angriffe bevorstehen, da die Angreifer von der Aufklärungsphase in die reine Aufbauphase übergehen.

Leider werden wir weiterhin den Bau riesiger Thingbots erleben, bis die IoT-Hersteller gezwungen sind, diese Geräte abzusichern, Produkte zurückzurufen oder dem Druck der Käufer nachzugeben, die den Kauf dieser anfälligen Geräte schlichtweg ablehnen.

Vor diesem Hintergrund stehen Dienstanbieter vor der Herausforderung, nicht nur Infektionsaktivitäten zu identifizieren, sondern auch ausgehende DoS-Angriffe abzuwehren.

Herkömmliche Firewall-Regeln der Schichten 3 und 4 sind nicht mehr so hilfreich. Eine robuste Verhaltensanalyse des Verkehrs ist heute unerlässlich. Auf diese Weise erlernen Sicherheitsgeräte mit der Zeit die „normale“ Netzwerk-Basislinie. Sobald eine Abweichung erkannt wird, werden verschiedene Aktivitäten eingeleitet. Hierzu könnte beispielsweise die Einrichtung einer Warnung gehören, die nach menschlicher Überprüfung einen manuellen Schadensbegrenzungsprozess auslöst, oder die Erstellung einer dynamischen Signatur für vorhandene Schadensbegrenzungstechnologien, um erkannte Anomalien zu blockieren.

Selbstverteidigende Netzwerke sind ein wesentlicher Bestandteil der Sicherheitsarchitektur von morgen. In der Zwischenzeit können verantwortungsbewusste Organisationen ihr Bestes tun, um sich zu schützen, indem sie eine DDoS-Strategie implementieren, Redundanz für kritische Dienste sicherstellen und Credential Stuffing -Lösungen implementieren. Darüber hinaus ist es wichtig, die Mitarbeiter kontinuierlich über die potenziellen Gefahren von IoT-Geräten und deren sichere Verwendung zu informieren.