IoT/verbonden apparaatdetectie en beveiligingscontrole in bedrijfsnetwerken

IoT-beveiligingsaudit Nachrichten

De hedendaagse bedrijfsnetwerken zijn complexe omgevingen met verschillende soorten bedrade en draadloze apparaten die worden aangesloten en losgekoppeld. De huidige oplossingen voor apparaatdetectie zijn voornamelijk gericht op het identificeren en bewaken van servers, werkstation-pc’s, laptops en infrastructuurapparaten zoals netwerkfirewalls, switches en routers, omdat de meest waardevolle informatiemiddelen van organisaties worden opgeslagen, verwerkt en overgedragen via die apparaten, waardoor ze het belangrijkste doelwit zijn van beveiligingsinbreuken en inbreuken.

De afgelopen vier jaar is er echter een nieuwe trend ontstaan, waar aanvallers het hebben gemunt op speciaal gebouwde verbonden apparaten zoals netwerkprinters en videoconferentiesystemen als toegangspunt en data-exfiltratieroute.

Deze apparaten kunnen om de volgende hoofdredenen niet goed worden geïdentificeerd door de huidige oplossingen voor het ontdekken van IT-middelen:

  • Eigen protocollen worden vaak gebruikt voor het beheren en bewaken van dergelijke apparaten die niet bekend zijn bij de asset discovery-oplossing.
  • Op agenten gebaseerde detectie van activa is niet mogelijk omdat de meeste aangesloten apparaten systemen met beperkte bronnen zijn met eigen besturingssystemen waarop geen detectie-agentsoftware kan worden geïnstalleerd.

Firmalyzer’s IoT-oplossing voor kwetsbaarheidsbeoordeling (IoTVAS) overwint deze beperkingen en biedt:

  • Nauwkeurige identificatie van de fabrikant van het aangesloten apparaat, de modelnaam, het apparaattype, de status van het einde van de levensduur van het apparaat, de firmwareversie en de releasedatum van de firmware
  • Realtime Firmware Bill of Materials (BOM) rapport waarin softwarecomponenten en bibliotheken in de firmwarecode van elk apparaat worden vermeld zonder dat de gebruiker firmwarebestanden voor het apparaat hoeft te uploaden.
  • Identificatie van publiek onbekende kwetsbaarheden van het apparaat, waaronder kwetsbare componenten van derden, standaardreferenties, cryptosleutels, certificaten en standaardconfiguratieproblemen
  • Identificatie van de algemeen bekende kwetsbaarheden (CVE’s) van het apparaat

IoTVAS kan werken als een zelfstandige oplossing voor IoT-detectie en risicobeoordeling of kan worden geïntegreerd in bestaande detectie van IT-activa, netwerkpoortscanners en tools voor het scannen van IT-kwetsbaarheid via IoTVAS REST-API.

IoT-detectie met IoTVAS

IoTVAS identificeert apparaten op basis van vingerafdrukken die zijn afgeleid van apparaatnetwerkservicebanners. Het MAC-adres van het apparaat kan ook samen met deze vingerafdruk worden gebruikt om de detectienauwkeurigheid te verbeteren, maar het is geen vereiste voor IoTVAS, in tegenstelling tot de andere oplossingen voor apparaatdetectie. Nieuwe apparaatvingerafdrukken worden continu toegevoegd aan de IoTVAS-vingerafdrukkendatabase, op basis van het inkomende API-verzoek en intern onderzoek.

Op het moment van schrijven van dit artikel bevat deze database meer dan 50.000 vingerafdrukken van meer dan 2.300 apparaatfabrikanten. IoTVAS gebruikt de volgende netwerkservicereacties en banners voor het genereren van vingerafdrukken:

  • SysDescr OID-tekenreeks van de SNMP-service
  • SysObjectID OID-tekenreeks van de SNMP-service
  • FTP-servicebanner
  • Telnet-servicebanner
  • Hostnaam apparaat
  • Ruwe reactie van de webserver van het apparaat (http- en HTTPS-services)
  • Reactie op UPnP-detectie
  • Optioneel MAC-adres van de netwerkinterface van het apparaat

IoTVAS zou ten minste één van de bovenstaande functies nodig hebben om een ​​IoT-apparaat te identificeren. Banners voor netwerkservices kunnen worden verzameld door bestaande netwerkpoortscanners of scanners voor IT-kwetsbaarheid.

In de stand-alone modus gebruikt IoTVAS lichtgewicht netwerkservice-identificatiesoftware die apparaten op het doelnetwerk doorzoekt om de bovengenoemde functies te extraheren. IoTVAS-apparaatdetectie kan ook worden geïntegreerd in de bestaande beveiligingstools via een REST API-eindpunt.

IoT-beveiligingsaudit met IoTVAS

Zodra een apparaatmaker, model en firmwareversie zijn geïdentificeerd, gaat IoTVAS verder dan alleen het opzoeken van de CVE’s die bij het apparaat en de firmwareversie horen. Met behulp van Firmalyzer’s eigen kennisbank over firmwarerisico’s, haalt IoTVAS de materiaallijst van de firmware en gedetailleerde risicoanalyses op die kwetsbare componenten van derden in de firmware in de volgende categorieën omvat: „netwerkdiensten“ (UPnP-server, webserver, enz.), „cryptobibliotheken “ (OpenSSL, GnuTLS, enz.), „Linux OS-kernel“ en „clienttools“ (busybox, enz.).

IoTVAS biedt ook een lijst met standaardreferenties, cryptosleutels die zijn ingebed in de apparaatfirmware, actieve en verlopen digitale certificaten, zwakke cryptosleutels en certificaten, en standaardconfiguratieproblemen. Met deze diepgaande informatie kunnen beveiligingsmanagers proactief verbonden apparaten met een hoog risico in het netwerk detecteren en mitigatie-inspanningen initiëren voordat deze apparaten worden gecompromitteerd. Dit automatiseert ook het proces van BOM-inventarisatie van IoT en embedded apparaten in de organisatie door de noodzaak voor handmatige firmware-download en firmware-binaire analyse voor verschillende IoT-apparaten die in bedrijfsnetwerken worden ingezet, te elimineren.

Net als de mogelijkheid om apparaten te ontdekken, is de IoTVAS-firmwarerisicobeoordeling ook toegankelijk via een REST API-eindpunt.

IoTVAS in actie

De volgende afbeelding toont het risicobeoordelingsrapport van een Xerox-netwerkprinter in de IoTVAS SaaS-editie, inclusief de firmwarestuklijst en kwetsbaarheidsdetails van softwarecomponenten.

Afbeelding 1 – Pagina met apparaatrisicodetails in IoTVAS SaaS

IoTVAS API stelt leveranciers van IT-beveiligingsoplossingen en SecOps-teams in staat IoTVAS-detectie en IoT-risico-auditmogelijkheden te integreren in hun bestaande tools en aanbiedingen. Als voorbeeld ontwikkelde Firmalyzer: IoTVAS-plug-in voor de NMAP-scanner waarmee het IoT-apparaten nauwkeurig kan detecteren en controleren tijdens het scannen van een doelnetwerk.

Het volgende voorbeeld laat zien hoe IoTVAS NSE-scripts NMAP in staat stellen om de maker, de modelnaam, de firmwareversie van een bedrijfsprinter nauwkeurig te detecteren, samen met de bekende CVE’s en firmwarerisico’s. De firmware-risicoanalyse onthult „root“ en „postgres“ standaardaccounts en referenties voor het „intFTP“-account, een lijst met verlopen certificaten en certificaten met een zwak vingerafdrukalgoritme (MD5) en een standaardconfiguratie van SSH-daemon die root-aanmelding op afstand mogelijk maakt.

IoTVAS-plug-in voor NMAP
Afbeelding 2 – IoTVAS-plug-in voor NMAP

Om aan de slag te gaan met de IoTVAS API, dient u zich te registreren voor een proef-API-sleutel. De API-documentatiepagina bevat een swagger-gebruikersinterface waarmee u IoTVAS-eindpunten rechtstreeks vanuit uw browser kunt evalueren zonder enige code te schrijven

Als u geïnteresseerd bent in een demo van de IoTVAS SaaS of maatwerk, aarzel dan niet om contact op te nemen met Firmalyzer voor een live demonstratie of een testaccount.

David
Rate author
Hackarizona