IoT, den nya attackvektorn

IoT-attackerna ökade med över 217 % under 2018. Men en rapport med den provocerande titeln oT CyberattacksAre The Norm, The Security Mindset Isn’t visar att endast 7 % av organisationerna anser sig vara rustade för att hantera säkerhetsutmaningar inom IoT. Om det låter oroväckande, tänk då på detta: 82 % av de organisationer som utvecklar IoT-enheter är oroliga för att enheterna inte är tillräckligt skyddade mot cyberattacker. En annan studie visade att endast 43 % av IoT-implementeringarna i företag prioriterar säkerhet under utvecklings-/driftsättningsprocessen och att endast 38 % involverar beslutsfattare inom säkerhet i processen. Åtkomstkontroll anses vara den första försvarslinjen när det gäller IoT-säkerhet.

Nu kan dessa breda trendindikatorer möjligen tillämpas på vilken framväxande teknik som helst. Men det finns två faktorer som gör IoT-scenariot särskilt osäkert. Den första är det faktum att IoT av allt att döma håller på att utvecklas till en potentiell attackvektor för botnet-attacker eller till och med infiltrering av företagsnätverk. Den andra är att IoT-industrin, från enhetsutvecklare till IT-företag, hittills verkar vara omedvetna om eller dåligt rustade för att ens säkra åtkomstkontroll och autentisering, en av de grundläggande komponenterna i alla strategier för teknisk säkerhet.

Viktiga utmaningar för IoT-säkerhet

En objektiv analys av scenariot kan dock inte undgå att nämna några av de unika egenskaperna hos IoT-nätverk som gör säkerhet till en mycket större utmaning än i andra teknikmiljöer.

Först och främst har vi attackytan. Uppskattningsvis 20 miljarder enheter kommer att vara anslutna till IoT år 2020, vilket innebär 20 miljarder potentiella slutpunkter för skadliga avsikter. Många av dessa enheter kommer att installeras i områden där det kan vara omöjligt eller opraktiskt att tillhandahålla fysisk säkerhet, vilket gör det lättare för dåliga aktörer att fysiskt kompromettera enheter i nätverket. Förutom den fysiska enheten består varje IoT-system av flera kanter och nivåer, inklusive mobilapplikationer, moln- och nätverksgränssnitt, backend-API:er osv. Var och en av dessa delar utgör en potentiell sårbarhet och bara en osäkrad komponent kan utnyttjas för att kompromettera hela nätverket.

För det andra är IoT-nätverken i sig heterogena, med en rad olika hård- och mjukvarustackar, som styrs av olika ramverk för åtkomstkontroll och med varierande nivåer av privilegierad åtkomst. Detta innebär att det inte finns någon säkerhetsstrategi som passar alla och att säkerhetsstrategin för IoT måste utformas utifrån egenskaperna hos de deltagande enheterna i varje nätverk.

Slutligen har de flesta IoT-enheter begränsad kraft, lagring, bandbredd och beräkningskapacitet. Så konventionella säkerhetsmetoder som är effektiva i andra datorsystem kommer att vara för komplexa för att köras på dessa begränsade IoT-enheter.

Enhetens synlighet föregår åtkomstkontroll

Det är den distribuerade karaktären hos IoT, där stora mängder enheter kommunicerar självständigt över flera standarder och protokoll, som gör säkerheten mer komplex än den är i andra mer monolitiska datormiljöer. Det är också därför IoT-industrin kommer att behöva ompröva konventionella modeller och protokoll för åtkomstkontroll och autentisering och anpassa dem till detta nya paradigm. Med rätt ramverk för åtkomstkontroll och autentisering kan företag identifiera IoT-enheter, isolera komprometterade noder, säkerställa dataintegriteten samt autentisera användare och auktorisera olika nivåer av datatillgång.

Eftersom åtkomstkontroll är den första kontaktpunkten mellan en enhet och IoT-nätverket måste dessa tekniker kunna känna igen dessa enheter för att kunna avgöra nästa åtgärd. IoT-enheter måste vara synliga innan åtkomstkontroll och autentisering kan komma igång och göra sitt jobb. Men de flesta företag klarar sig för närvarande inte särskilt bra när det gäller synlighet för IoT-enheter: endast 5 % har en förteckning över alla hanterade IoT-enheter och endast 8 % har möjlighet att söka efter IoT-enheter i realtid. Men 46 % prioriterar att förbättra upptäckten, isoleringen och åtkomstkontrollen av IoT under 2019, och det är utgångspunkten för en diskussion om fördelarna med de olika modeller för åtkomstkontroll som finns idag.

Det finns flera typer av åtkomstkontrollmodeller som kan övervägas för olika IoT-scenarier, från den grundläggande ACL-modellen (Access Control List) till den något mer avancerade MAC-modellen (Obligatorisk åtkomstkontroll) som främst används i militära tillämpningar till den fortfarande utvecklande och sofistikerade Tillitsbaserad modell för attributbaserad åtkomstkontroll som bygger på ABAC-modellen (Attribute-Based Access Control) för att uppfylla de krav som är specifika för IoT.

Typer av åtkomstkontroll och autentiseringsmodeller

I den här artikeln kommer vi dock att fokusera på mer vanliga modeller som RBAC (Role-Based Access Control), ABAC, CapBAC (Capability-Based Access Control) och UCON (Usage Control).

RBAC: Som namnet antyder hanterar denna modell resursåtkomst baserat på en hierarki av behörigheter och rättigheter som tilldelas specifika roller. Det gör att flera användare kan grupperas i roller som behöver tillgång till samma resurser. Detta tillvägagångssätt kan vara användbart när det gäller att begränsa antalet åtkomstpolicyer, men kanske inte är lämpligt för komplexa och dynamiska IoT-scenarier. Det är dock möjligt att utöka RBAC för att hantera finkorniga åtkomstkontrollkrav för IoT, även om detta kan leda till ”rollexplosion” och skapa en administrativ mardröm.

OrBAC-modellen (Organizational-Based Access Control) skapades för att lösa problem relaterade till RBAC och för att göra den mer flexibel. Denna modell introducerade nya abstraktionsnivåer och förmågan att inkludera olika kontextuella data såsom historiska, rumsliga och temporala data. Det har också skett en senare utveckling längs samma bana med Smart OrBACen modell som är utformad för IoT-miljöer och som erbjuder kontextmedveten åtkomstkontroll.

ABAC: I denna modell flyttas tyngdpunkten från roller till attribut, eftersom åtkomstkontroll inte alltid behöver bestämmas av enbart identitet och roller. Åtkomstförfrågningar i ABAC utvärderas mot en rad attribut som definierar användaren, resursen, åtgärden, sammanhanget och miljön. Detta tillvägagångssätt ger mer dynamiska åtkomstkontrollfunktioner eftersom användaråtkomst och de åtgärder de kan utföra kan ändras i realtid baserat på förändringar i de kontextuella attributen.

ABAC ger mer finkornig och kontextuell åtkomstkontroll som är mer lämpad för IoT-miljöer än den tidigare RBAC. Det gör det möjligt för administratörer att välja den bästa kombinationen av en rad variabler för att skapa en robust och omfattande uppsättning åtkomstregler och policyer. I själva verket kan de tillämpa åtkomstkontrollpolicy även utan någon förhandskunskap om specifika personer genom att använda datapunkter som är mer effektiva för att indikera identitet. Den största utmaningen med denna modell kan vara att definiera en uppsättning attribut som är acceptabla över hela linjen.

CapBAC: Både RBAC och ABAC är modeller som använder ett centraliserat tillvägagångssätt för åtkomstkontroll, eftersom alla autentiseringsförfrågningar behandlas av en central myndighet. Även om dessa modeller har tillämpats i IoT-specifika scenarier kan det vara ganska svårt att uppnå end-to-end-säkerhet med hjälp av en centraliserad arkitektur i ett distribuerat system som IoT.

CapBAC-modellen bygger på ett distribuerat tillvägagångssätt där ”saker” kan fatta auktoriseringsbeslut utan att behöva förlita sig på en centraliserad myndighet. Detta tillvägagångssätt tar hänsyn till de unika egenskaperna hos IoT, t.ex. den stora mängden enheter och de begränsade resurserna på enhetsnivå. Lokala miljöförhållanden är också en viktig faktor som styr auktoriseringsbeslut i denna modell, vilket möjliggör kontextmedveten åtkomstkontroll som är avgörande för IoT.

Med kapacitet avses i detta fall ett kommunicerbart, oförfalskbart auktoritetstecken som unikt refererar till ett objekt samt en tillhörande uppsättning åtkomsträttigheter eller privilegier. Varje process med rätt nyckel ges möjlighet att interagera med det refererade objektet i enlighet med de definierade åtkomsträttigheterna. Den största fördelen med den här modellen är att distribuerade enheter inte behöver hantera komplexa policyer eller utföra avancerade autentiseringsprotokoll, vilket gör den idealisk för IoT-enheter med begränsade resurser.

UCON: Detta är en utveckling av de traditionella RBAC- och ABAC-modellerna som ger mer flexibilitet i hanteringen av behörigheter. I de traditionella modellerna kan ämnes- och objektattribut ändras antingen innan auktoriseringsbegäran påbörjas eller efter att den har slutförts, men inte när ämnet har beviljats tillstånd att interagera med ett objekt.

UCON-modellen introducerar begreppet föränderliga attribut samt två nya beslutsfaktorer, nämligen skyldigheter och villkor, för att gå med behörigheter. Föränderliga attribut är egenskaper hos subjekt, objekt eller kontext som ändrar sitt värde som en konsekvens av användningen av ett objekt. Genom att möjliggöra kontinuerlig utvärdering av policyn även när åtkomst pågår, gör UCON det möjligt att ingripa så snart en förändring i attributvärdet gör att exekutionsrätten blir ogiltig.

Förutom dessa vanliga modeller finns det också flera modeller, som Extensible Access Control Markup Language (XACML), OAuth och User-Managed Access (UMA ) som studeras för att se om de kan användas i IoT-miljöer. Men det är rimligt att säga att utvecklingstakten för IoT-specifika modeller för åtkomstkontroll allvarligt släpar efter utvecklingsarbetet inom andra områden, såsom anslutningsmöjligheter, standarder och protokoll.

En annan oroande aspekt av situationen är att företagens ansträngningar för att hantera säkerhetsproblemen med IoT inte är lika brådskande som de som driver på IoT-distributionen. Detta trots att en storskalig attack med skadlig kod 2016 kapade över 600 000 IoT-enheter med hjälp av bara cirka 60 standardautentiseringsuppgifter. En robust lösning för åtkomstkontroll och autentisering bör hjälpa till att avvärja en attack av den här intensiteten. Men å andra sidan är åtkomstkontroll bara en komponent, en viktig sådan, i en integrerad IoT-säkerhetsstrategi. Tyngdpunkten måste ligga på inbyggd säkerhet, genom utveckling av hårdvara, programvara och applikationer, snarare än som en eftertanke. Och det måste ske omedelbart med tanke på att den största IoT-sårbarheten enligt den senaste topp 10-listan från Open Web Application Security Project är svaga, gissningsbara eller hårdkodade lösenord .