Den stadigt stigende brug af IoT-enheder får virksomheder til at anvende en af de evigt grønne metoder til it-sikkerhed – segmentering – for at beskytte deres spirende flåder af IoT-apparater.
IoT-enheder, såsom kortlæsere, sensorer og apparater, har normalt ikke meget computerkraft eller hukommelse ombord. Derfor kan mange ikke køre sikkerhedsprogrammer for at beskytte sig selv på et netværk. Desuden er det ofte næsten umuligt at opdatere eller patch IoT-enheder trådløst.
Der vil være 41.6 milliarder tilsluttede IoT-enheder i drift i 2025, ifølge en IDC prognose. Dette væld af enheder vil til den tid pumpe svimlende 79.4 zettabyte data ud. Disse tal i sig selv er nok til at give enhver IT-sikkerhedsprofessionel en stor hovedpine.
Angribere er allerede rettet mod virksomheder med en række forskellige IoT-sikkerhedstrusler og brud. Der vil uden tvivl være mange flere i horisonten. En mekanisme organisationer kan bruge til at beskytte deres IoT-enheder og det bredere virksomhedsnetværk er segmentering og mikrosegmentering.
Hvad er segmentering?
Segmentering er en sikkerhedsmetode, der opdeler et netværk i flere segmenter eller undernet, der fungerer som små netværk. I en eller anden form er segmentering vokset op med den udbredte brug af virksomhedsnetværk og internettet gennem det 21. århundrede.
På trådløse 5G-netværk kaldes segmentering netværksudskæring. Denne 5G-metode vil blive mere og mere relevant for IoT, efterhånden som flere IoT-enheder konverterer til trådløse 5G-forbindelser, i stedet for at bruge 4G LTE-links eller laveffekt WAN-forbindelser, som det er typisk i dag.
IoT-segmentering kan stoppe ransomware-infektioner eller en angriber i at bevæge sig gennem netværket.
Hvorfor vælge segmentering som en sikkerhedsmetode?
På trods af overfloden af sikkerhedsforanstaltninger, som it-administratorer kan implementere, er netværkssegmentering fortsat et væsentligt forsvar mod cybersikkerhedstrusler. Hver segmenteret gruppe af enheder kan kun få adgang til de ressourcer, de har brug for til godkendte anvendelser. IoT-segmentering kan stoppe ransomware-infektioner eller en angriber i at bevæge sig gennem netværket.
Organisationer behøver ikke at bruge segmentering specifikt med nogen anden sikkerhedspraksis, men det kan tilføje netværksforsvar. IoT-netværkssegmentering kan øge den samlede ydeevne. Adskillelse af forskellige operationelle enheder fra hinanden kan reducere overbelastning af netværket.
Sådan implementeres segmentering til IoT
Med fremkomsten af IoT er netværkssegmentering blevet endnu mere kritisk. Efterhånden som IoT-enheder udbredes, skal disse sårbare enheder isoleres fra andre applikationer og systemer på tværs af en organisations netværk.
Når et IoT-baseret netværkssegmenteringsprojekt udrulles, skal it-administratorer først identificere alle IoT-apparaterne i organisationens flåde. Etablering af en enhedsbeholdning kan være en udfordring, fordi IoT-enheder kan omfatte tilsluttede kameraer og mobile kortlæsere samt en hel række industrielle skærme og sensorer.
Mikrosegmentering isolerer enheder og applikationer for at forhindre angribere eller malware i at sprede sig gennem et netværk.
I dag bruger mange virksomheder netværksadgangskontrol (NAC) værktøjer til implementere en sikkerhedspolitik uden tillid på tværs af deres netværk. Et NAC-system overvåger løbende netværket og de enheder, der er tilsluttet det. NAC-værktøjet bør opdage og identificere alle brugere og enheder, før det giver adgang til netværket.
Ved den første opsætning af et NAC-system vil en organisations digitale sikkerhedspersonale bestemme det passende autorisationsniveau for brugere og enheder. For eksempel kræver en ingeniør, der bruger en sensor til at teste temperatur på en industriel del af virksomhedens netværk, meget andre adgangsrettigheder end en automatiseret belysningsopsætning, der kører på det samme netværk.
Nogle it-administratorer ser mikrosegmentering som næste trin i netværkssikkerhed, især for IoT-opgaver. Mikrosegmentering skaber endnu mindre dele af et netværk, som IoT-enheder kan få adgang til, og reducerer derved de angrebsflader - systemelementer eller endepunkter - der er mest modtagelige for hacking.
It-administratorer kan anvende politikker til at segmentere individuelle arbejdsbelastninger, der kører i et cloudmiljø. Teknologien gælder for øst-vest lateral trafik mellem enheder, arbejdsbelastninger og applikationer på netværket. Den øgede brug af softwaredefineret netværk inden for netværksarkitekturer har føjet til mikrosegmenteringsadoption. Software, der er afkoblet fra netværkshardware, gør segmentering lettere.
I disse dage er segmentering gjort mere bekvemt, fordi det sker i software på enhedslaget. De politikker, der anvendes på en IoT-enhed, forbliver hos den enhed, selvom den flyttes til en anden netværkssektor.
Med segmentering kan IoT-enheder køre på en fælles infrastruktur, der inkluderer et delt netværk og sikkerhedsplatform. Denne segmentering er nem at administrere og betjene uden at give kompromitterede eller svækkede enheder måder at bringe andre dele af en virksomheds netværk i fare.
