Jsou zařízení IoT ohrožující vaše organizace


Jsou zařízení IoT ohrožující vaše organizace

V kancelářích dnešního malého a středně velkého podniku můžete najít řadu inteligentních zařízení, jako jsou tiskárny, fotoaparáty, čidla a dveřní zámky, které mohou komunikovat s ostatními zařízení prostřednictvím bezdrátových připojení. Dokonce i místnost pro přestěhování zaměstnanců začíná využívat příští generace technologií, jako jsou inteligentní ledničky a inteligentní kávovary.

I když internet věcí (IoT) přinesl bohatou efektivitu prostřednictvím konektivity, vytvořil také miliony nových útočných ploch v důsledku slabého návrhu zabezpečení nebo administrativních postupů. Nejen, že zařízení byla napadena a ohrožena, hackeři používali zařízení společně v botnetách k tomu, aby spustili distribuované útoky typu Denial-of-Service (DDoS) proti webovým stránkám a podnikovým sítím. Například web Krebs on Security trval k jednomu z nejsilnějších útoků, kdy malware Mirai "zombizoval" nějaké zařízení IoT připojené k internetu, které používaly uživatelská jména a hesla z výroby.

Mnoho zařízení IoT nebylo navrženo se silným a konfigurovatelným zabezpečením. Některá zařízení mají hard-kódované heslo, které nelze změnit bez aktualizace firmwaru, který nemusí být k dispozici, protože dodavatel jednoduše nebyl vytvořen nebo produkt již není podporován. Dalším potenciálním problémem je malware infekce aplikací, které ovládají zařízení IoT.

David Britton, viceprezident průmyslových řešení, podvodů a identity společnosti Experian, varuje, že Universal Plug and Play (UPnP) je související problém, zejména pokud jde o bezdrátové směrovače.

"Několik směrovačů podporuje toto automatické připojení a některé mají standardně povolený UPnP," řekl Britton. "UPnP umožňuje zařízením okamžitě rozpoznat a připojit se k síti a dokonce vytvořit komunikaci s jinými zařízeními v síti bez jakéhokoli zásahu nebo konfigurace člověka. Výzva z bezpečnostního hlediska spočívá v tom, že správce má menší viditelnost nebo kontrolu, "

Britton také poukazuje na to, že různorodá sada technologií a protokolů připojení používaných zařízeními IoT, jako jsou Wi-Fi, Bluetooth, RFID a ZigBee, představují další vrstva složitosti. Každý typ připojení je dodáván s různými úrovněmi zabezpečení a různými nástroji pro správu. Pro malé obchody, které nemají interní technickou podporu, snaží se zůstat na vrcholu, je to v nejlepším případě obtížné a zhoršuje tak jejich útoky.

co je řešením debaty o bezpečnosti IoT?

Dekan výzkumu na technologickém institutu společnosti SANS Johannes Ullrich říká, že "organizace musí začít tím, že kontrolují získávání a inventarizaci zařízení IoT". Ve svém článku SANS Internet Storm Center uvádí Ullrich podrobné informace týkající se dotázaných dodavatelů během fáze vyhodnocení produktu, pokud jde o to, jak dlouho dodavatel plánuje uvolnit bezpečnostní aktualizace a jak dodavatel implementuje šifrování.

Britton si myslí, že komplexní inventář je důležitý že by měl sledovat verze firmwaru, datum poslední aktualizace, porty používané zařízeními IOT a poslední datum, kdy byly hesla aktualizovány, mezi ostatními položkami. Doporučuje také nastavit v kalendáři opakující se úlohu, abyste aktualizovali, upravili a ověřili konec životnosti zařízení IoT, aby se předešlo zranitelnosti zabezpečení obsaženým ve starších zařízeních.

Jak Ullrich, tak Britton věří, že je důležité změnit výchozí heslo na každém IoT před připojením k síti. Zařízení, které nemá dostatečnou bezpečnost, může do vaší sítě otevřít dveře, které může hacker využít během několika vteřin a přistupovat k dalším připojeným zařízením.

Doporučují, aby byla zajištěna vysoká bezpečnost ve všech sítích Wi-Fi, což zahrnuje například vynucování silných směrovačů a síťových hesel, šifrování a omezení přístupu k síti (z internetu, kdykoli je to možné) prostřednictvím brány firewall. U bezdrátových směrovačů Britton říká, že vypne konfiguraci UPnP na směrovači, aby se vyhnuly nechtěným připojením zařízení. Pokud zařízení IoT podporuje dvoufaktorové ověřování, využijte ho. To může být stejně jednoduché jako získání kódu, který musí být zadán při přihlášení k zařízení, což přidává další vrstvu ochrany.

Naše zdroje také doporučují bdělost při správě nainstalovaných aplikací. Stahujte aplikace pouze od renomovaných poskytovatelů nebo vytvořených důvěryhodnými subjekty a spusťte aktuální software proti škodlivému softwaru na zařízeních IO nebo na konfiguraci zařízení IoT.

Nakonec proveďte výstrahy a upozornění a testování a ověření, část svého kontrolního seznamu osvědčených postupů. Ullrich doporučuje zaregistrovat se s každým dodavatelem, který má být informován o uvolnění záplat a uvedením systémů do provozu, které vás upozorní, pokud je do vaší sítě připojeno neoprávněné zařízení. Na testovací frontě nezapomeňte vyzkoušet zařízení, která se připojují k službám cloudu dodavatele, abyste zajistili dostatečnou ochranu dat. Zjistěte, jak se zařízení autentizuje v systémech dodavatele a zda jsou data řádně šifrována - pro přenosy by měl používat protokol TLS (Transport Layer Security)

Další tipy pro kybernetický zabezpečení naleznete v příručce Mobby Business


12 Služeb odběru jedinečných boxů

12 Služeb odběru jedinečných boxů

Zde je 12 jedinečných odběrových služeb, které využívají datovou analýzu ke zlepšení zážitku zákazníků. FabFitFun FabFitFun nabízí svým zákazníkům sezónní krabice čtyřikrát do roka. Položky jsou vybírány módní výrobky, které odpovídají aktuální sezóně, jako jsou šátky na podzim a letní sluneční brýle.

(Obchodní)

Jak zapnout uvedení do provozu

Jak zapnout uvedení do provozu

Jak vaše malé firmy roste, možná budete chtít rozšířit a sdílet své produkty a služby s většími publikem. Pokud však nemáte čas nebo touhu provozovat více míst na vlastní pěst, můžete svou firmu přeměnit na franchisu a nechat ostatní podnikatelé, kteří se cítí, rozvíjet pro vás již existující obchodní model.

(Obchodní)