IoT menambah masalah keamanan backbone 5G

Saat IoT beralih ke penggunaan infrastruktur 5G yang berkembang, IoT yang kurang aman perangkat menimbulkan ancaman yang meningkat terhadap keamanan jaringan 5G.

Keterkaitan dan kenyamanan adalah dua hal yang sekarang dianggap penting oleh banyak orang untuk kehidupan sehari-hari. Sementara sebagian besar dunia mengharapkan kenyamanan Internet of Things (IoT), mereka umumnya tidak terlalu memikirkan keamanan jaringan transmisi yang mendasari IoT. Namun dengan 13,8 miliar koneksi perangkat IoT aktif tahun ini dan secara eksponensial lebih diharapkan dalam waktu dekat, keamanan jaringan IoT menjadi sangat penting.

Dengan lebih dari 25 miliar perangkat IoT yang diharapkan pada tahun 2025, perusahaan akan bijaksana untuk menerapkan prinsip hak istimewa paling rendah kepada personel TI mereka. (Sumber:freepik)

Menurut GSM Association (GSMA), sebuah organisasi yang mewakili operator jaringan seluler di seluruh dunia, produsen perangkat IoT masih gagal merancang dan membangun secara memadai dengan mempertimbangkan keamanan.

Lebih buruk lagi, GSMA menunjukkan bahwa sebagian besar produsen perangkat tidak memiliki pemahaman yang memadai tentang cara mengamankan perangkat mereka. Perangkat tidak aman menawarkan peretas akses mudah ke jaringan telekomunikasi, menciptakan risiko signifikan terhadap serangan siber. Dan saat IoT beralih ke penggunaan 5G saat jaringan itu berkembang, perangkat yang tidak aman mengancam keamanan jaringan 5G.

Kurangnya keamanan di tepi IoT menempatkan beban keamanan yang signifikan pada penyedia layanan komunikasi (CSP) termasuk penyedia jaringan telekomunikasi, layanan kabel dan penyedia komunikasi cloud. Karena semakin banyak pemain di luar perusahaan telekomunikasi tradisional berpartisipasi dalam IoT dan terlibat dengan perangkat IoT melalui jaringan 5G, permukaan serangan berkembang secara signifikan. Jadi CSP harus mengambil tindakan tambahan untuk memastikan keamanan sistem mereka.

Kekhawatiran keamanan yang berkembang untuk CSP

Dalam tinjauan tahunan lanskap keamanan, GSMA mengidentifikasi delapan area ancaman dan kerentanan utama untuk industri komunikasi seluler:

• Perangkat &IoT
• Keamanan awan
• Mengamankan 5G
• Sinyal dan interkoneksi
• Rantai pasokan
• Perangkat lunak &virtualisasi
• Keamanan siber &operasional
• Kekurangan keterampilan keamanan

Keamanan perangkat dan IoT terus menjadi perhatian GSMA, terutama karena jumlah perangkat yang terhubung terus melampaui populasi dunia, dengan perkiraan 25 miliar perangkat IoT yang terhubung pada tahun 2025. Kompleksitas tumpukan teknologi untuk perangkat selanjutnya meningkat.

GSMA mengidentifikasi koneksi antara jaringan perusahaan dan jaringan telekomunikasi sebagai vektor serangan potensial yang signifikan, terutama karena perusahaan memanfaatkan peluncuran 5G. Profesional industri dan akademisi telah menyelidiki risiko keamanan 5G selama beberapa tahun sekarang, seperti halnya pemerintah AS. Tetapi kekhawatiran tetap ada tentang perluasan permukaan serangan karena 5G menjadi lebih umum. GSMA menyarankan serangkaian protokol keamanan yang harus diterapkan oleh CSP 5G.

Di antara langkah-langkah yang direkomendasikan untuk mengamankan CSP adalah manajemen akses istimewa. PAM yang diterapkan dengan benar mengurangi permukaan serangan dengan membatasi jumlah hak istimewa dan izin yang dapat dicoba dieksploitasi oleh peretas. Dan PAM akan berdampak minimal pada operasi CSP karena tujuannya adalah untuk menghapus izin dan hak yang tidak diperlukan bagi orang dan proses untuk melakukan pekerjaan mereka.

PAM vs. IAM

Banyak pembaca mungkin akrab dengan IAM (identitas dan manajemen akses), tetapi kurang akrab dengan PAM. Dan meskipun memiliki tujuan yang sama, cakupan dan penerapannya berbeda.

Pertimbangkan sebuah piramida di mana sejumlah terbatas pengguna administratif duduk di puncak dan pengguna umum menjadi basis. Dalam berbagai iterasinya, IAM mencakup seluruh piramida. Namun, banyak aplikasi IAM fokus pada izin untuk pengguna di pangkalan, mereka yang sering mengakses sistem tetapi memiliki sedikit atau tanpa izin administratif. Di sisi lain, PAM berfokus pada yang teratas, yaitu mereka yang membuat target yang paling diinginkan karena peran organisasinya.

Perhatikan bahwa ketika kami merujuk ke pengguna di sini, itu tidak sama dengan mengatakan manusia. Kontrol IAM dan PAM juga berlaku untuk identitas non-manusia dalam suatu sistem, misalnya, proses yang mungkin memiliki identifikasinya sendiri.

Menyediakan izin dan hak akses

Saat menetapkan hak dan izin kepada pengguna organisasi, ada beberapa pendekatan yang dapat dilakukan oleh personel TI. Pertama, dan yang terburuk, adalah akses luas yang digeneralisasi ke sistem perusahaan dan penyimpanan data – secara efektif tidak ada kontrol sama sekali. Tak perlu dikatakan lagi bahwa pendekatan ini berisiko tinggi dan menciptakan eksposur yang signifikan bagi organisasi. Namun, banyak organisasi mengizinkan pengguna mengakses lebih banyak daripada yang mereka butuhkan untuk menghindari gangguan aktivitas sehari-hari yang tidak disengaja, memperluas permukaan serangan perusahaan.

Perusahaan yang berhati-hati menerapkan prinsip hak istimewa paling rendah, akses yang perlu diketahui, atau kombinasi keduanya. Keistimewaan terkecil berkaitan dengan bagaimana pengguna bekerja dalam sistem; need-to-know membahas apa yang dapat mereka akses dalam sistem.

Di bawah prinsip hak istimewa terkecil, pengguna hanya menerima hak dan izin yang diperlukan untuk pekerjaan mereka—tidak lebih dan tidak kurang. Dengan mencegah pengguna memiliki izin untuk area yang tidak pernah mereka gunakan, organisasi menghapus kerentanan yang tidak perlu tanpa berdampak negatif pada kinerja pengguna.

Perlu diketahui berlaku untuk data organisasi, dengan batasan yang membatasi akses ke data yang terkait langsung dengan dan yang diperlukan pengguna untuk menjalankan fungsi pekerjaannya.

Kurangnya hak istimewa atau kontrol yang perlu diketahui hanyalah sebagian dari kerentanan terkait identitas yang umum di banyak organisasi. Banyak organisasi masih memiliki akun atau kata sandi bersama, yang mengurangi kemampuan untuk mengaudit aktivitas dan memastikan kepatuhan terhadap kebijakan keamanan perusahaan. Perusahaan juga sering memiliki akun lama yang tidak digunakan, seringkali dengan hak istimewa yang substansial, yang idealnya telah dihapus jauh sebelumnya. Dan banyak perusahaan masih mengandalkan penyediaan dan pemeliharaan kredensial pengguna secara manual atau terdesentralisasi.

Mengapa (dan bagaimana) CSP harus menggunakan PAM

Setiap hak istimewa dan akses yang dimiliki pengguna menciptakan peluang unik bagi penjahat dunia maya untuk dieksploitasi. Jadi, kepentingan terbaik setiap CSP untuk membatasi hak istimewa dan hak akses tersebut. Melakukannya akan membatasi vektor serangan potensial dan meminimalkan kemungkinan kerusakan saat peretas berhasil mengambil identitas pengguna tertentu. Semakin sedikit izin yang dimiliki pengguna, semakin sedikit penyerang yang berhasil bekerja.

Membatasi hak istimewa juga dapat membatasi jenis serangan yang dapat merusak sistem organisasi. Misalnya, beberapa jenis malware memerlukan hak istimewa yang lebih tinggi untuk diinstal dan dijalankan secara efektif. Jika peretas mencoba memasukkan malware melalui akun pengguna yang tidak memiliki hak istimewa, mereka akan menabrak tembok.

Berikut adalah beberapa praktik terbaik yang harus diikuti oleh CSP.

1. Menerapkan kebijakan pengelolaan hak istimewa:Mengingat bahwa tidak ada standar keamanan IoT tunggal yang berlaku secara universal, CSPS memerlukan kebijakan yang ditetapkan dan dipantau secara ketat yang memastikan kepatuhan dengan menghilangkan peluang penyimpangan. Kebijakan harus menentukan siapa yang mengontrol penyediaan dan pengelolaan izin dan hak, bagaimana penyediaan terjadi, dan menjadwalkan penyediaan ulang atau penghentian penyediaan jika diperlukan. Selain itu, kebijakan harus membahas keamanan sandi, termasuk kekuatan sandi, penggunaan autentikasi multi-faktor, dan masa berlaku sandi.

2. Pusatkan PAM dan IAM:CSP harus memiliki sistem terpusat untuk penyediaan, pemeliharaan, dan pencabutan izin dan hak akses. Membangun inventaris akun dengan izin tinggi mencegah organisasi agar akun yang tidak digunakan lolos dari celah.

3. Pastikan hak istimewa paling rendah berarti hak istimewa paling sedikit:Meskipun pengguna dapat menjadi frustrasi jika mereka harus menghubungi meja bantuan untuk melakukan tugas tertentu, itu bukan alasan untuk memberi mereka lebih banyak izin daripada yang mereka butuhkan. Sebagian besar pengguna edge atau endpoint perusahaan tidak perlu memiliki hak administratif atau akses ke direktori root. Bahkan pengguna dengan hak istimewa tidak memerlukan hak akses berbasis luas. Batasi akses ke yang benar-benar diperlukan untuk melakukan pekerjaan.

4. Tambahkan keamanan melalui segmentasi:Segmentasi sistem dan jaringan membantu mencegah peretas melakukan serangan lateral saat mereka berhasil memasuki jaringan perusahaan. Perkuat segmentasi dengan kebijakan nol kepercayaan antar segmen jika memungkinkan.

5. Terapkan praktik terbaik keamanan sandi:Kebersihan sandi yang buruk tetap menjadi kerentanan signifikan bagi banyak organisasi. Bangun budaya keamanan dengan melatih karyawan untuk memahami bahwa sedikit ketidaknyamanan dari sandi yang kuat, autentikasi multi-faktor, dan kedaluwarsa sandi melindungi perusahaan dari konsekuensi pelanggaran yang berpotensi merusak.

CSP yang aman adalah tulang punggung IoT yang aman

Tanpa jaringan CSP yang aman, IoT adalah taman bermain penjahat dunia maya. Sebelum mengkhawatirkan jutaan perangkat edge, pakar keamanan CSP harus melihat ke dalam dan mengamankan sistem internal mereka sebaik mungkin. Menerapkan prinsip-prinsip hak istimewa paling rendah dan sistem manajemen akses istimewa adalah langkah pertama yang berguna.