1. Blog
  2. Secure infrastructure
  3. Rise of the Machines: de behoefte aan dynamische micro-netwerksegmentatie

Rise of the Machines: de behoefte aan dynamische micro-netwerksegmentatie

Blog door: Patrick Brog, Security Consultant

De meeste mensen die op het punt staan om deze blog te lezen, kennen de filmserie The Terminator wel, en dat deel 3 gaat over ‘The Rise of the Machines’. Ik moet toegeven dat ik elk deel van de serie meer dan een paar keer heb gezien, aangezien ik SciFi-films en series leuk vind. In de film bouwt het leger een kunstmatig-intelligentie verdedigingsnetwerk op, omdat het veel sneller en efficiënter zal zijn bij het nemen van defensiebeslissingen en het nemen van verdedigende acties dan mensen zouden kunnen. De problemen ontstaan wanneer het leger zijn controle over de ‘hersenen’ van de kunstmatige intelligentie verliest en deze zijn eigen logica begint te bouwen en beslissingen daarop begint te baseren.

Skynet is de naam van het systeem. Het netwerk “spoiler alert” groeit buiten de controle van mensen en neemt uiteindelijk de controle over. Hierdoor komt het leger in een situatie terecht die ‘FUBAR’ is zoals ze in het leger zeggen.

Tijdens een klantbijeenkomst waar we het hadden over het beveiligingsincident dat ze binnen hun IoT-netwerk hebben meegemaakt, dacht ik opeens aan Skynet. Ik weet niet waarom of hoe mijn brein dit verband heeft gelegd, maar toen de gedachte opdook kwam deze logisch over.

Automatiseren, automatiseren, automatiseren…

IoT

We zijn met zijn allen op grote schaal bezig met het ontwerpen, implementeren en gebruiken van IoT/OT-apparaten om informatie te verzamelen om alles wat we kunnen bedenken te automatiseren. Meestal om een geldige reden, zijnde bedrijfs- of productie-verbeteringen, het optimaliseren van het gebruik van elke beschikbare vierkante meter kantoorruimte, het verlagen van het energieverbruik, het verhogen van de efficiëntie van productielijnen, etc. etc. En in bijna alle gevallen, bevat het ontwerp van deze IoT/OT-sensoren geen beveiliging in de basis van het ontwerp. De software is niet voorzien van een ‘afbakening’ wat het betreffende device wel en niet mag doen. Een soortgelijk ontwerpfoutje werd gemaakt in het ontwerp van Skynet. De software had geen beschermende instructies en bevatte geen grens van wat het nooit zou mogen doen.

Nu beweer ik niet dat de IoT/OT-apparaten de controle over de wereld zullen overnemen en elk levend persoon op aarde zullen doden. Ik durf echter te stellen dat als we steeds opnieuw IoT/OT-apparaten ontwerpen en gebruiken op dezelfde manier als we tot nu toe in de meeste omgevingen hebben gedaan, we uiteindelijk heel hard op de feiten zullen worden gedrukt. Omdat de vraag dan niet zal zijn; zal een grootschalige IoT/OT-gegenereerde internet- / netwerkaanval het internet / netwerk uitschakelen, maar de vraag zal dan zijn; WANNEER zal een grootschalige IoT/OT-gegenereerde internet- / netwerkaanval het internet / netwerk uitschakelen? (of een gegevenslek veroorzaken).

IoT-network

Meer weten over OT/IoT security?

Bij OT, ICS en kantoor-IT worden steeds vaker netwerken gedeeld.  Maar vaak zijn deze apparaten niet ontwikkeld met het oog op beveiliging en daarom passen ze ook niet goed in uw processen.

Lees meer

Dus wat te doen? Zijn we te laat met het nemen van adequate maatregelen? Of heeft Skynet het al overgenomen en zijn we op weg naar het einde van de digitale wereld?

Neem het heft in eigen hand

Persoonlijk denk ik niet dat dit het geval is. We kunnen echter niet blijven wachten op de fabrikanten van de IoT/OT-apparaten om hun beveiligingsontwerpen op orde te krijgen, om een duidelijke ‘verklaring van taken’ op te nemen in de code van de IoT/OT-apparaten waarmee ze alleen dingen kunnen doen waarvoor ze zijn ontworpen.

We moeten dus de grenzen gaan bepalen, de grenzen gaan opleggen en het bereik van de IoT/OT-apparaten in het netwerkontwerp beperken. Maar wij moeten dit slim doen, wij moeten de oplossing baseren op een geautomatiseerd dynamisch beleid. Handmatige herconfiguratie van switchpoorten, draadloze SSID’s, schaalt niet. Skynet zal ons dan vanaf het begin overtreffen. We moeten de IoT/OT-apparaten verslaan in hun eigen spel, zijnde automatisering!

Naar mijn mening vereist dit de volgende stappen/componenten:

  • Het verkrijgen van volledig overzicht van wat er met uw netwerk verbonden is, op een gedetailleerd niveau (herkenning als generieke Linux- of Windows-apparaten dekt de noodzaak niet);
  • Implementeer een policy gebaseerde oplossing voor netwerktoegangscontrole (voor bekabeld, draadloos en wan);
  • Ontwerp en implementeer dynamische micro-netwerksegmentatie;
    • Dynamisch omdat de toegang is gebaseerd op profilering en beleid;
    • Micro omdat netwerktoegang, connectiviteit en bereik zijn gebaseerd op apparaat/gebruiker/toepassing;
    • Netwerk omdat het beleid onafhankelijk van de toegangsmedia (LAN, WLAN of WAN) wordt toegepast;
    • Segmentatie omdat het beleid bepaalt welk VLAN, peer-to-peer communicatie ja/nee, mag netwerkverkeer lokaal of moet dit centraal uitbreken en indien nodig aanvullende handhaving door toepassen van dynamische ACL’s;

Dit is geen science fiction! De vereiste technologie bestaat, in feite is het inmiddels zelfs bewezen technologie. Dus neem alsjeblieft niet de houding aan, “het zal mij niet gebeuren”. Als je het niet voor jezelf doet, doe het dan voor mij en de andere mensen die graag internetten. Laat Skynet je niet verrassen en winnen!

Wilt u meer weten over dynamische micro-netwerksegmentatie

In een volgende blog zal mijn collega Willem Bargeman een meer diepgaande technische beschrijving geven van dynamische micro-netwerksegmentatie. Als je in de tussentijd meer wilt weten, neem dan contact met mij op via patrick.brog@orangecyberdefense.com of via Twitter op @pbrog_nl.

Ook interessant voor u…

Hoe beveiligt u IoT?

The CISO file: The IoT/OT challenge

 

ot-security

OT security strategie heroverwegen? Dit is het moment.

 

sessie_patrick_willem_thumb

Secure Network Access-as-a-Service: geef alle zorgen rondom veilige netwerktoegang uit handen

 

Delen