Membongkar IoT, serangkaian:Tantangan keamanan dan apa yang dapat Anda lakukan untuk mengatasinya

Insinyur jaringan menghadapi sejumlah tantangan saat menerapkan inisiatif Internet of Things (IoT). Kembalilah ke blog Cisco IoT selama beberapa minggu ke depan saat kita mempelajari tiga tantangan IoT teratas, dan praktik terbaik untuk menaklukkannya.

Pertama, tantangan terbesar di IoT secara jangka panjang:keamanan .

Ancaman keamanan IoT berbeda secara signifikan dari ancaman keamanan di lingkungan TI tradisional:di TI tradisional, masalah keamanan difokuskan pertama dan terutama pada perlindungan data. Penyerang dapat mencuri data, mengkompromikan data, dan menahannya dengan uang tebusan. Baru-baru ini, mereka juga tertarik untuk mencuri daya komputasi untuk aktivitas penambangan kripto yang berbahaya.

Sementara masalah keamanan ini ada di IoT, mereka juga melangkah lebih jauh, melampaui data dan ke dunia fisik. Setidaknya, insiden keamanan IoT dapat membuat orang tidak nyaman atau mengganggu operasi, menyebabkan kerusakan jutaan dolar dalam beberapa jam. Paling buruk, serangan ini dapat merusak sistem yang mengontrol proses fisik dan bahkan membahayakan nyawa. Perhatikan contoh berikut:

• Serangan Stuxnet yang terkenal pada tahun 2010 memanfaatkan beberapa kelemahan zero-day dalam perangkat lunak Microsoft Windows. Tujuannya adalah untuk mendeteksi dan merusak PLC yang menjalankan perangkat lunak Step7 Siemen untuk memprogram ulang ini dengan malware untuk menyebabkan sentrifugal nuklir yang berputar cepat di bawah kendali mereka benar-benar hancur. Hasil akhir dari serangan ini menyebabkan seperlima dari sentrifugal nuklir Iran hancur.
• Kami melihat serangan siber pertama yang berhasil di jaringan listrik pada tahun 2015 ketika penyerang siber menguasai beberapa pembangkit listrik Ukraina, yang mengakibatkan hilangnya listrik ke lebih dari 225.000 penduduk selama periode hingga enam jam. Serangan yang kompleks dan multi-fase ini tidak hanya menguasai sistem SCADA, memungkinkan aktor asing untuk mematikan gardu dari jarak jauh, tetapi juga termasuk serangan DoS pada pusat panggilan sehingga konsumen tidak dapat menelepon untuk melaporkan masalah atau menerima pembaruan dari status pemadaman.
• Pada tahun 2017, penyerang menyebarkan malware ICS, dijuluki Triton, yang dirancang untuk memanipulasi sistem keamanan industri sehingga menyebabkan gangguan operasional infrastruktur penting. Penargetan khusus penyerang terhadap Safety Instrumented Systems (SIS) menunjukkan minat untuk menyebabkan serangan berdampak tinggi dengan konsekuensi fisik (tujuan serangan yang biasanya tidak terlihat dari kelompok kejahatan dunia maya). Analisis insiden tersebut membuat para penyelidik percaya bahwa ini adalah pekerjaan negara-bangsa yang mempersiapkan serangan yang lebih luas.
• Pada tahun 2019, serangan ransomware terhadap Norsk Hydro, salah satu produsen aluminium terbesar di dunia, memaksa perusahaan untuk beralih ke operasi manual dalam upaya untuk mengatasi pelanggaran tersebut. Serangan tersebut merugikan perusahaan sebesar $52 juta dan mengakibatkan kenaikan harga aluminium di seluruh dunia.

Insiden ini menunjukkan betapa pentingnya—dan menantang—keamanan dalam skenario IoT.

Mencegah dan Menahan Ancaman Keamanan IoT

Dalam contoh di atas, pelanggaran keamanan dapat dicegah seluruhnya—atau, setidaknya, secara signifikan dikendalikan—menggunakan praktik terbaik keamanan jaringan:segmentasi. Segmentasi adalah salah satu prinsip desain jaringan yang paling efektif untuk diterapkan demi keamanan. Ini adalah aksioma jaringan yang diterima secara universal – tetapi jika demikian, mengapa organisasi tidak menyegmentasikan jaringan mereka sepenuhnya?

Jawabannya:rumit.

Untuk mengurangi biaya, organisasi telah menyatukan jaringan data, suara, dan video mereka ke dalam infrastruktur fisik bersama. Baru-baru ini, perangkat IoT juga telah ditambahkan ke jaringan IP yang sama. Namun, perlu untuk menjaga pemisahan logis antara layanan ini untuk tujuan keamanan dan manajemen. Untuk melakukannya, insinyur jaringan biasanya mengelompokkan jaringan menggunakan VLAN. Proses ini memerlukan beberapa langkah, titik kontak, kebijakan, dan antarmuka pengguna. Pada tingkat tinggi, teknisi jaringan harus membuat grup di Active Directory, menentukan kebijakan, menjalankan VLAN/subnet, dan menerapkan kebijakan.

Sifat segmentasi yang kompleks tidak hanya membuat tugas menjadi membosankan, tetapi juga meningkatkan risiko kesalahan manusia. Misalnya, daftar kontrol akses (ACL) pada perangkat jaringan seringkali memiliki panjang puluhan ribu baris. Mereka sulit untuk dikelola dan dipahami karena alasan yang tidak terdokumentasi dengan baik untuk setiap baris dalam entri. Jika ada satu perbedaan untuk ACL dari satu perangkat ke perangkat lain, ada potensi kerentanan dan vektor serangan yang dapat dieksploitasi.

Membawa Keamanan Cisco ke IoT

Mengingat peran kunci yang dimainkan oleh segmentasi jaringan dalam melindungi aset jaringan, sangat penting bagi administrator jaringan untuk dapat mengelompokkan jaringan secara efisien dan efektif. Di Cisco, kami menyederhanakan segmentasi dengan menerapkan jaringan berbasis niat ke jaringan perusahaan. Ekspresi spesifik dari jaringan berbasis maksud ini disebut Software Defined Access (SDA).

Akses yang Ditentukan Perangkat Lunak menghilangkan kebutuhan administrator jaringan untuk berbicara dalam bahasa daftar kontrol akses atau kebijakan grup untuk mengidentifikasi perangkat jaringan mana yang dapat berbicara satu sama lain. Dengan beberapa klik sederhana dan drag-and-drop mouse, administrator jaringan dapat membuat jaringan virtual terpisah untuk suara, data, akses tamu nirkabel, BYOD, IoT, dan banyak lagi. Tahun ini, kami memperluas kemampuan ini hingga ke tepi IoT — sehingga tempat parkir, pusat distribusi, fasilitas manufaktur, bandara, pelabuhan laut, dll. semuanya dapat dikelola dari satu panel kaca yang sama dengan perusahaan berkarpet, yaitu Cisco Pusat DNA.

Menggunakan Cisco DNA Center, dasbor manajemen terpusat, administrator jaringan dapat menyediakan jaringan di seluruh perusahaan dan memastikan bahwa perangkat yang ditetapkan ke satu jaringan virtual tidak dapat berbicara dengan perangkat di jaringan virtual lain. Faktanya, perangkat di satu jaringan virtual bahkan tidak dapat melihat jaringan virtual lainnya. Sejauh yang mereka ketahui, jaringan virtual tempat mereka terhubung adalah satu-satunya jaringan yang ada atau pernah ada. Itu berarti perangkat IoT yang ditetapkan ke jaringan virtual IoT hanya dapat berkomunikasi dengan perangkat lain yang ditetapkan ke jaringan virtual yang sama dan tidak ada (dan tidak ada orang lain). Pemisahan logis seperti itu disebut makro-segmentasi.

Namun, SDA menawarkan opsi kebijakan yang lebih terperinci kepada administrator jaringan.

Dalam segmentasi makro, perangkat apa pun dalam jaringan virtual dapat secara default berbicara dengan perangkat lain di jaringan virtual yang sama. Jadi, jika kamera video, sensor suhu, dan pembaca lencana semuanya ditetapkan ke satu “Jaringan Virtual IoT”, perangkat ini – secara default – akan dapat berkomunikasi satu sama lain. Komunikasi semacam itu dapat menimbulkan masalah keamanan – Jika satu perangkat disusupi, penyerang akan menggunakan perangkat itu untuk memindai jaringan untuk perangkat lain yang dapat memberikan pijakan lebih lanjut ke dalam organisasi (Lihat bagaimana ini dilakukan). Di situlah mikro-segmentasi masuk.

Di Cisco DNA Center, administrator jaringan dapat dengan mudah membuat kebijakan segmentasi mikro yang menentukan perangkat mana yang dapat berbicara dengan perangkat lain dalam jaringan virtual yang sama . (Tonton demonya, Cisco Extended Enterprise dengan DNA-C.) Administrator juga dapat mengonfigurasi kebijakan untuk mengirim peringatan jika perangkat tersebut mencoba berkomunikasi dengan perangkat yang tidak sah, yang dapat menjadi indikasi potensi serangan keamanan. Dalam contoh kami di atas, kamera video dapat dikonfigurasi untuk berbicara hanya dengan kamera video lain, dan jika mereka mencoba berbicara dengan sensor suhu atau pembaca lencana, peringatan akan dikeluarkan.

Kemampuan untuk mengelompokkan jaringan pada tingkat makro dan mikro dengan SDA adalah solusi yang bagus untuk mencegah dan mengatasi pelanggaran keamanan. Ini dengan mudah menskala untuk memenuhi kebutuhan jaringan perusahaan dan sekarang pelanggan Cisco dapat menerapkan konsep yang sama ini ke jaringan IoT mereka. Selain itu, mereka dapat melakukannya secara efisien dan efektif menggunakan antarmuka manajemen yang sama yang mereka gunakan untuk jaringan perusahaan. Ingin belajar lebih banyak? Lihat webinar sesuai permintaan kami, Cisco IoT:Mendorong Transformasi di Sektor Keselamatan Publik, Minyak dan Gas, dan Manufaktur. Dan jangan lupa untuk memeriksa kembali blog Cisco IoT untuk mengetahui tantangan utama lainnya yang dihadapi IoT perusahaan.