Het steeds toenemende gebruik van IoT-apparaten zorgt ervoor dat bedrijven een van de altijd groene methoden van IT-beveiliging adopteren – segmentatie – om hun groeiende vloot van IoT-apparaten te beschermen.
IoT-apparaten, zoals kaartlezers, sensoren en apparaten, hebben doorgaans niet veel rekenkracht of geheugen aan boord. Daarom kunnen velen geen beveiligingsprogramma's uitvoeren om zichzelf op een netwerk te beschermen. Bovendien is het vaak vrijwel onmogelijk om updates uit te voeren of patch IoT-apparaten via de ether.
Volgens een IDC zullen er in 41.6 2025 miljard verbonden IoT-apparaten in gebruik zijn voorspelling. Deze veelheid aan apparaten zal tegen die tijd maar liefst 79.4 zettabytes aan gegevens wegpompen. Deze cijfers op zichzelf zijn genoeg om elke IT-beveiligingsprofessional grote kopzorgen te bezorgen.
Aanvallers richten zich al op bedrijven met een verscheidenheid aan IoT-beveiligingsbedreigingen en inbreuken. Ongetwijfeld zullen er nog veel meer aan de horizon zijn. Eén mechanisme dat organisaties kunnen gebruiken om hun IoT-apparaten en het bredere bedrijfsnetwerk te beschermen is segmentatie en microsegmentatie.
Wat is segmentatie?
Segmentatie is een beveiligingsmethode die een netwerk verdeelt in meerdere segmenten of subnetten die als kleine netwerken fungeren. In de een of andere vorm is segmentatie ontstaan door het wijdverbreide gebruik van bedrijfsnetwerken en internet in de 21e eeuw.
Op draadloze 5G-netwerken wordt segmentatie genoemd netwerk slicing. Deze 5G-methode zal steeds relevanter worden voor het IoT naarmate meer IoT-apparaten overstappen op draadloze 5G-verbindingen, in plaats van het gebruik van 4G LTE-verbindingen of WAN-verbindingen met laag vermogen, zoals tegenwoordig gebruikelijk is.
IoT-segmentatie kan ervoor zorgen dat ransomware-infecties of een aanvaller zich niet door het netwerk kunnen verplaatsen.
Waarom kiezen voor segmentatie als beveiligingsmethode?
Ondanks de overvloed aan beveiligingsmaatregelen die IT-beheerders kunnen implementeren, blijft netwerksegmentatie een essentiële verdediging tegen cyberdreigingen. Elke gesegmenteerde groep apparaten heeft alleen toegang tot de bronnen die ze nodig hebben voor goedgekeurd gebruik. IoT-segmentatie kan ervoor zorgen dat ransomware-infecties of een aanvaller zich niet door het netwerk kunnen verplaatsen.
Organisaties hoeven segmentatie niet specifiek te gebruiken bij andere beveiligingspraktijken, maar het kan wel bijdragen aan de netwerkverdediging. Segmentatie van IoT-netwerken kan de algehele prestaties verbeteren. Door verschillende operationele apparaten van elkaar te scheiden, kan de netwerkcongestie worden verminderd.
Hoe segmentatie voor IoT te implementeren
Met de komst van IoT is netwerksegmentatie nog belangrijker geworden. Naarmate IoT-apparaten zich verspreiden, moeten deze kwetsbare eenheden worden geïsoleerd van andere applicaties en systemen in het netwerk van een organisatie.
Bij het uitrollen van een IoT-gebaseerd netwerksegmentatieproject moeten IT-beheerders eerst alle IoT-apparaten in het wagenpark van de organisatie identificeren. Het opzetten van een apparaatinventaris kan een uitdaging zijn, omdat IoT-apparaten verbonden camera's en mobiele kaartlezers kunnen omvatten, evenals een hele reeks industriële monitoren en sensoren.
Microsegmentatie isoleert apparaten en applicaties om te voorkomen dat aanvallers of malware zich via een netwerk verspreiden.
Tegenwoordig gebruiken veel bedrijven NAC-tools (Network Access Control). een zero-trust-beveiligingsbeleid implementeren via hun netwerken. Een NAC-systeem monitort voortdurend het netwerk en de daarop aangesloten apparaten. De NAC-tool moet alle gebruikers en apparaten ontdekken en identificeren voordat toegang tot het netwerk wordt verleend.
Bij de eerste opzet van een NAC-systeem bepaalt het digitale beveiligingspersoneel van een organisatie het juiste autorisatieniveau voor gebruikers en apparaten. Een ingenieur die een sensor gebruikt om de temperatuur op een industrieel deel van het bedrijfsnetwerk te testen, heeft bijvoorbeeld heel andere toegangsrechten nodig dan een geautomatiseerde verlichtingsinstallatie die op hetzelfde netwerk draait.
Sommige IT-beheerders zien het microsegmentatie als de volgende fase in netwerkbeveiliging, vooral voor IoT-taken. Microsegmentatie creëert nog kleinere delen van een netwerk waartoe IoT-apparaten toegang hebben, waardoor de aanvalsoppervlakken – systeemelementen of eindpunten – die het meest vatbaar zijn voor hacking, worden verkleind.
IT-beheerders kunnen beleid toepassen om individuele workloads die in een cloudomgeving worden uitgevoerd, te segmenteren. De technologie is van toepassing op oost-west lateraal verkeer tussen apparaten, workloads en applicaties op het netwerk. Het toegenomen gebruik van softwaregedefinieerde netwerken binnen netwerkarchitecturen heeft bijgedragen aan de adoptie van microsegmentatie. Software die is losgekoppeld van netwerkhardware maakt segmentatie eenvoudiger.
Tegenwoordig wordt segmentatie handiger gemaakt omdat dit softwarematig op de apparaatlaag gebeurt. Het beleid dat op een IoT-apparaat wordt toegepast, blijft bij dat apparaat, zelfs als het naar een andere netwerksector wordt verplaatst.
Met segmentatie kunnen IoT-apparaten draaien op een gemeenschappelijke infrastructuur die een gedeeld netwerk en beveiligingsplatform omvat. Deze segmentatie is eenvoudig te beheren en uit te voeren zonder dat gecompromitteerde of verzwakte apparaten andere delen van het bedrijfsnetwerk in gevaar kunnen brengen.
