Een onschuldig ogende slimme thermometer in een aquarium in de lobby van een casino/hotel werd in 2017 veroverd door een crimineel. Die kreeg via het verbonden aquarium toegang tot het netwerk van het gokpaleis en kreeg een database te pakken met een lijst van 'high rollers, gokkers die veel geld uitgeven, te pakken en wist het te kopiëren.

In mei sloeg een DDoS-aanval een bedrijfssite dagenlang plat. Die aanval werd uitgevoerd via een botnet van onbeveiligde internetverbonden apparaten als routers, digitale videorecorders en ironisch genoeg beveiligingscamera's. Dit is de norm aan het worden nadat alweer meer dan anderhalf jaar geleden een soortgelijke aanval op DNS-provider Dyn duizenden sites en diensten, waaronder Spotify en Netflix, onderuit werden getrokken.

Beide incidenten zijn illustratief waarom edge-security een IT-uitdaging aan het worden is. Het werk van IT-beveiligers wordt lastiger nu meer gerekend wordt aan de edge in de vorm van IoT-apparaten, robotica, en andere lokale systemen en netwerken op plekken buiten de traditionele campus.

Er zijn in dit nieuwe tijdperk een aantal beveiligingsissues en IT-beleidszaken waar we naar moeten kijken. Begin bij deze zes:

1. Wat heb je in huis?

"Als je over het assetmanagement gaat moet je weten waar elk IT-item in het bedrijf zich bevindt en of dit gekoppeld is via IT of via eindgebruikers", zegt Mike Raggo, CSO van IoT-beveiligingsbedrijf 802Secure. "Als je dit niet doet, krijg je onvermijdelijk gaten in je IT-omgeving die aanvallers benutten om binnen te komen." De risico's groeien nu meer non-IT personeel netwerktechnologie in de edge uitrolt en beheert. Dit creëert een eilandjeseffect waarbij een centrale beheerplek als IT geen zicht meer heeft op alle apparaten binnen het netwerk.

"In één geval was een IT-afdeling van een horecabedrijf niet eens bewust van het feit dat het bedrijf 400 slimme ovens had ingezet. Maar als dit netwerk van ovens geraakt zou zijn door een denial of service-aanval, hoeveel geld ben je dan kwijt aan eten dat niet meer klaargemaakt wordt en aan teleurgestelde klanten?" vraagt Raggo zich hardop af.

"Een van de redenen dat edge-computing aan het groeien is, is de verschuiving van IT-beheer naar andere bedrijfsafdelingen", denkt Scott Smith, Chief Revenue Officer bij cloudbeveiligingsbedrijf Cloudapp. "Werknemers van de jongere generatie zijn simpelweg op zoek naar manieren om hun werk goed te verrichten en zijn meer geneigd om zowel de IT-organisatie als de noodzaak om te beveiligen te negeren wanneer ze apparaten inzetten."

Inmiddels wordt 90 procent van de IT-afdelingen af en toe omzeild door eindgebruikers als het gaat om IT-aanbestedingen en bij 31 procent is dat zelfs zeer regelmatig. Het weten wat je in huis hebt, begint hierdoor een hele uitdaging te worden. Een vaak aangedragen oplossing is een assetmanagement-systeem dat alle gekoppelde apparaten in het netwerk in beeld brengt, maar vaak vereist dit handmatige invoer en je kunt geen assets invoeren waarvan je niet weet dat ze bestaan.

Een andere oplossing is software die apparaatdetectie uitvoert, waardoor je zodra nieuwe hardware verbinding maakt met het netwerk je een melding krijgt om te zien wat het is, wat de risico's zijn en welke tools je daarvoor moet inzetten. "Je ziet dan ook waar het meeste verkeer vandaan komt", weet Dan Olds, onderzoeker bij analysebureau OrionX Network. "Dit hebben ze bijvoorbeeld met succes gebruikt bij Uber."

"Als eerste identificeerde IT de grootste beveiligingsrisico's (level 1) om maatregelen te kunnen nemen. Daarna werden minder urgente risico's ingeschat (level 2) en gebruikers konden zich inschrijven voor monitoring en bescherming. Met deze dreigingsniveaus konden de juiste tools worden ingezet. IT moet kunnen prioriteren welke assets serieuze dreigingen vormen en beleid vormen over hoe daarmee moet worden omgegaan. Het belangrijkste: IT moet hand in hand werken met eindgebruikers als dienst die dingen mogelijk maakt in plaats van afdwingt."

2. Hoe zit het met de menselijke factor?

Een manager op een werkvloer die een strak productieschema krijgt, richt zich op een soepele doorvoer van productie. Hij of zij gaat niet nadenken over de kans dat iemand een draaibank hackt. In deze praktijk worden wachtwoorden gedeeld, informatie die eigendom is van het bedrijf wordt uitgedeeld en de fysieke ruimtes die machines en IoT-middelen moeten beschermen staan vaak niet op slot.

Een aanpak om hiermee om te gaan is om ervoor te zorgen dat hardware zelf harde beveiliging heeft is en dat data erop versleuteld is. Een tweede aanpak is een zero trust-netwerk. Dat is een term van onderzoeksbureau Forrester uit 2010 en slaat op het idee dat netwerken IP-adressen verifiëren en gebruikers authenticeren of ze nu binnen of buiten het bedrijf verbinden. Niemand krijgt automatisch toegang tot het netwerk totdat aan bepaalde beveiligingscriteria is voldaan.

"Een zero trust-netwerk detecteert en ondervangt verkeer dat lateraal door het netwerk beweegt op een ongebruikelijke manier", licht afdelingsdirecteur Ben Goodman van identiteitsbeheerbedrijf ForegRock toe. "Detectie is versimpeld omdat een zero trust-netwerk maar een beperkte subset van gebruikers toelaat. Dit is een uitstekende edge-technologie die ervoor zorgt dat het minder uitdagend is dat apparaten op afstand worden beheerd en vaak niet door IT."

3. Hoe ga je dan wel om met Shadow IT?

Volgens Gartner wordt nu 30 tot 40 procent van technologiebestedingen buiten IT om gedaan. Onderzoekers van de Everest Group stellen zelfs dat Shadow IT inmiddels de helft van zakelijke IT-omgevingen beslaat. Dit is in grote mate technologie die in de edge wordt ingezet en als IT zich er bewust van wordt, willen de technici ingrijpen.

"We moeten veranderen hoe we hierop reageren", zegt Olds. "In plaats van deze apparaten zien als potentiële beveiligingsproblemen, kun je ze zien als kansen." Hij stelt voor dat IT'ers kijken naar beheerplatforms en tools die ze beschikbaar kunnen stellen voor eindgebruikers, zodat ze zelf medeverantwoordelijk worden voor het beveiligen van deze systemen. "Maak identiteitsbeheer en edge-beveiliging het DNA van IT-systemen, op de edge of niet", vindt ForgeRocks Goodman.

Hoe pak je dat aan? Al deze technologie moet aan elkaar gekoppeld in een zero trust-netwerk waar al beveiligingsmiddelen bestaan. Omdat het netwerk op die manier is vastgesteld, hoeft IT niet de confrontatie aan met eindgebruikers en met een self-service element van het beheerplatform kunnen gebruikers zelf hun apparaten inschakelen. IT kan ook beveiligingspolicy's en toolkits inzetten waardoor gebruikers zichzelf kunnen bedienen.

Een leverancier kan bijvoorbeeld zelf besluiten om geen standaardbeveiligde apparaten, applicaties, besturingssystemen uit te geven of ervoor te zorgen dat data niet is versleuteld, tenzij de eindgebruiker weet dat hij of zij om deze features moet vragen tijdens het wijzigingsbeheertraject. Hier ligt een taak voor IT om gebruikers te helpen om te weten waar ze naar moeten vragen tijdens dat proces.

4. Hoe patch je het OS van onbekende apparaten?

"Als verschillende soorten apparaten worden ingezet door eindgebruikers, loop je het risico dat de technologie obscure besturingssystemen bevat waar IT niet noodzakelijkerwijs mee bekend is", zegt Raggo. Hij verwijst naar horeca die slimme ovens installeren in keukens, zorgcentra die patiëntenmonitoringssystemen inzetten, insulinepompen en andere IoT-apparaten. Die zijn kwetsbaar omdat ze worden geconfigureerd door gebruikers en vaak ongebruikelijke besturingssystemen hebben.

In deze gevallen moet IT:

1. Assets identificeren in een netwerk dat ze opmerkt als ze online komen en bij voorkeur samenwerken met eindgebruikers (zie de vorige stappen).

2. Met leveranciers van deze apparaten werken om een procedure te ontwikkelen om regelmatige updates uit te kunnen rollen voor onbekende besturingssystemen.

In de meeste andere gevallen waar apparaten een gebruikelijker besturingssysteem draaien is het de taak van IT om updates te pushen die ervoor zorgen dat de beveiliging up-to-date blijft en dat kwetsbaarheden tijdig worden aangepakt. Een alternatief is een update beschikbaar stellen voor gebruikers, zodat ze patches of softwareversies kunnen toepassen als het ze uitkomt, maar dat is geen tactiek die wordt aangeraden, omdat het vereist dat gebruikers dit ook regelmatig doen en dat is niet altijd het geval.

5. Neem je die apparaten mee in Disaster Recovery?

Zakelijke IT merkt al snel dat security meer is dan zero trust-netwerken en het uitrollen van beheertools en policy's voor eindgebruikers. Een andere vereiste is een proces dat edge-computing meeneemt in zakelijk risicomanagement en Disaster Recovery-plannen. Vooral dat laatste is een uitdaging, aangezien onderzoek aangeeft dat slechts 27 procent van de bedrijven een formeel plan heeft om continuïteit te garanderen.

"Wat edge-computing betreft lopen organisaties achter met het bijwerken van DR-plannen", zegt Olds. "Bedrijfskritieke systemen, netwerken en apparaten die zich in de edge bevinden moeten worden geïnventariseerd en er moet gepland worden van wat er gebeurt bij een escalerend incident als een digitale inbraak. Als een inbraak zich voltrekt, kan het apparaat zijn gepenetreerd of is dat zelfs al een tijdje zo."

"Daarnaast moet je de situatie bekijken in het geheel van je risicomanagement en wat een inbraak betekent voor het bedrijf en je merk", merkt hij op. "je organisatie kan nalatig worden gevonden door klanten en partners. Je zou veel geld kunnen verliezen in hoe het bedrijf wordt gewaardeerd. Dat wil niemand en daarom is een effectieve edge-beveiligingsstrategie zo belangrijk."

6. Hoe zoek je leveranciers uit?

"We beheren toegang tot accesspoints die door edge-apparaten worden gebruikt door een apart netwerk met eigen firewall en met tweefactor-authenticatie en versleuteling van alle datatransacties", vertel Peter Mehring, CEO van agricultuurtechnologiebedrijf Zest Labs. Volgens hem kijkt het bedrijf naar gegroepeerde transacties van een enkele sensor om te zien of het patroon van de telemetrie logisch is.

Olds prijst die aanpak: "Dit wil je van je technologieleveranciers. En hierom is het van groot belang dat je met ze in gesprek gaat over beveiliging om te zien wat ze hebben in hun software en hardware. Maak daar gebruik van. Als je leverancier geen geschikte beveiligingsmiddelen heeft, zoek dan verder naar een aanbieder die dat wel heeft."

Ten slotte

Gebruikers zullen altijd haast hebben om spullen zo snel mogelijk in te zetten en maken zich niet zo druk over security. Door zelf controleposten in te bouwen in de zin van identiteitsbeheer, dataversleuteling, patchbeleid en meer in te zetten als standaardaanpak voor edge-computing, maakt IT de kans groter dat de beveiligingsstrategie succes heeft.