Lösenordsrotation kan göra eller bryta din sÀkerhetsstÀllning

Första Kubernetes sÀkerhetsplattform med öppen kÀllkod ARMO samlar in $30 miljoner


.

Lösenordsrotation Ă€r en grundlĂ€ggande första försvarslinje för IoT-enheter, inklusive de som upprĂ€tthĂ„ller fysiska, frĂ„n sĂ€kerhetskameror till Ă„tkomstkontrollsystem, larmsystem och mer. Men mĂ„nga IoT-enheter kommer med standardinloggningsuppgifter som aldrig roteras, vilket lĂ€mnar dörren öppen för illvilliga aktörer att Ă€ventyra dem. Faktum Ă€r att vĂ„r forskning visar att de flesta organisationer inte underhĂ„ller eller roterar enhetslösenord alls. Chockerande nog Ă€r “Admin/Admin”-anvĂ€ndar-ID och lösenord fortfarande troligen den mest anvĂ€nda referensen pĂ„ alla IoT-enheter.

Anledningen? Arbetet som krÀvs för att uppdatera eller rotera lösenord regelbundet pÄ mÄnga enheter har inte automatiserats i stor utstrÀckning. Vanligtvis mÄste roterande enhetslösenord utföras manuellt över varje enhet. Detta Àr en skrÀmmande uppgift för alla IoT-operationsteam som hanterar en flotta av IoT-enheter, som sannolikt inkluderar olika mÀrken och typer. Det Àr ingen överraskning att mÄnga fysiska sÀkerhetsteam misslyckas med att hantera lösenordsrotation alls.

Vad kan gÄ fel?

I en vĂ€rld av fysisk sĂ€kerhet ökar sĂ€llsynt lösenordsrotation risken för att cyberattacker pĂ„ sĂ„rbara IoT-enheter Ă€ventyrar mĂ€nniskor eller egendom. Övervakningskameror Ă€r ett lĂ€ttförstĂ„eligt exempel. PĂ„ en flygplats kan Ă€ventyrad videoövervakning pĂ„verka passagerarnas sĂ€kerhet och flygsĂ€kerheten. PĂ„ ett kasino blir det grejen med filmer med George Clooney. IoT-attacker Ă€r vanliga och oundvikliga – det Ă€r “hur snart”, inte “om.” En studie frĂ„n Forrester Consulting frĂ„n 2019 visade att 67 % av företagen redan hade upplevt en IoT-sĂ€kerhetsincident.

Men egentligen, vem skulle rikta in sig pÄ videokameror, och varför?

I början av 2017, dagar innan Trumps presidentinvigning, tog hackare i RumĂ€nien över hundra av Washington, DC:s utomhusövervakningskameror. Ett spam-e-postmeddelande som mottagits av polisen i Washington, DC tillĂ€t en malwareinfektion medan hackarna slumrade in i Bukarest, uppenbarligen omedvetna om att de hade riktat in sig pĂ„ polisen. De vaknade och upptĂ€ckte att de kontrollerade nĂ„gra viktiga USA-baserade videoflöden – och var mĂ„let för en global jakt. Det tog tre dagar att ta bort all programvara, starta om varje kamera och ladda om programvaran, vilket underströk vikten av lösenordsrotation för cybersĂ€kerhet. Detta var ingen samordnad komplott av hjĂ€rnor eller terrorister. Det var en blunderande, brutal attack; dess framgĂ„ng var en skĂ€rande kommentar om IoT-sĂ€kerhet.

Statliga aktörer och sabotörer av infrastruktur

Fyra dagar innan presidenterna Trump och Putin hade sin ökĂ€nda privata tĂȘte-Ă -tĂȘte vid toppmötet i Helsingfors 2018, lanserade hackare frĂ„n Kina vĂ„gor av brute-force-attacker mot internetanslutna enheter i Finland, och sökte kontroll över allt som kunde samla in ljud eller bild intelligens. Kina var inte ensamt; andra nationer försökte ocksĂ„ avlyssna. Trafiken inriktad pĂ„ fjĂ€rrstyrning och kontrollfunktioner för finska enheter ökade före toppmötet och nĂ„dde nivĂ„er utan motstycke för Finland. Varje misslyckande med att installera och uppdatera starka lösenord gav autentiseringsattackerna bĂ€ttre chanser att lyckas. Ryssland var under tiden den presumtiva boven i cyberattacken före jul 2015 som stĂ€ngde av en del av Ukrainas elnĂ€t. Attacken i Ukraina kan ha varit ett samarbete mellan cyberbrottsgrupper och rysk underrĂ€ttelsetjĂ€nst. Det förlitade sig pĂ„ kapade lösenord, vilket tyder pĂ„ att lösenordsrotation kunde ha stoppat attacken.

Dessa kÀnda attacker Àr utan tvekan bara toppen av isberget nÀr nationer undersöker varandras kritiska infrastruktur och förbereder sig pÄ att skapa förödelse och förvirring om dagen av ohÀmmad konflikt kommer. Fallet för att rotera lösenord pÄ IoT-enheter Àr, vi litar pÄ att du hÄller med, mycket starkt.

Fördelar med automatisering för efterlevnad och sÀkerhet för IoT-enhetsflottor

HÀr Àr anledningen till att automatisering Àr nyckeln till att effektivt rotera referenser pÄ IoT-enheter för att upprÀtthÄlla sÀkerhet och efterlevnad:

Det gör det möjligt för organisationer att effektivt uppdatera lösenord för valfritt antal enheter eller enhetsgrupper, oavsett deras fysiska plats. En plattform för automatiserad lösenordsrotation kan anvĂ€nda – och underhĂ„lla – ett enda lösenordsarkiv som överensstĂ€mmer med regulatoriska mandat och organisationspolicyer. En plattform utformad för heterogena (multivendor) enhetsflottor kommer att vara mycket mer tidseffektiva Ă€n IT-personal nĂ€r det gĂ€ller att rotera lösenord pĂ„ olika modeller av enheter frĂ„n olika tillverkare.

Det Ă€r hĂ€pnadsvĂ€ckande att IoT-enhetsflottor har byggts upp till sin nuvarande skala utan att automatisk lösenordsrotation har etablerats som en nödvĂ€ndig standard. En studie drog slutsatsen att om du bara provar dessa fem standarduppgifter – support/support, admin/admin, admin/0000, anvĂ€ndare/anvĂ€ndare och root/12345 – ger dig eller nĂ„gon hackare tillgĂ„ng till minst 10 % av alla IoT-enheter. Det leder till miljarder oförsvarade mĂ„l.

Lösenordsuppdateringar Àr brÄdskande

Omfattande lösenordsrotation kanske inte Àr den sofistikerade framkanten av sÀkerhet, men det Àr en av de högsta möjliga sÀkerhetsÄtgÀrderna för ROI och bör inte skjutas upp. En anledning Àr att det Àr tidskrÀvande; den genomsnittliga IoT-enheten blir attackerad bara inom fem minuter efter anslutning till internet.

I teorin frigör automatiseringen av lösenordsrotation IT-proffs att fokusera pÄ mer vÀrdefulla uppgifter. I praktiken gör de flesta organisationer helt enkelt inte trÄkiga, manuella lösenordsuppdateringar. De har precis hoppat över dem, och det Àr vÀrre Àn att göra dem ineffektivt. Medan automatisering av lösenordsrotation kan vara en uppgradering frÄn manuella processer; det Àr ofta, i verkligheten, debuten av lösenordssÀkerhet för en IoT-enhet och det mest praktiska sÀttet att uppnÄ sÀkerhetsefterlevnad.

Lösenordsrotation Àr ett mÄste

Lösenordsrotation kan inte vÀnta pÄ en strategisk debatt. Det Àr ett taktiskt krav. Alla organisationer med IoT-enheter kan vara praktiskt taget sÀkra pÄ att varje enhet som distribueras kommer att bli inriktad nÄgon gÄng. Det Àr dags att definiera krav och skaffa sig förmÄgan att automatisera bÄde underhÄll och hantering av din enhetsflotta. Automation kan hantera andra vÀrdefulla operationer som uppdatering av firmware och övervakning av enhetsintegritet för sÀkerhetsefterlevnad. Dessa fördelar kommer bara att ge styrka till affÀrsfallet för att hantera lösenordsrotation omedelbart.

.

DataDecisionMakers

VĂ€lkommen till VentureBeat-communityt!

DataDecisionMakers Àr dÀr experter, inklusive tekniska personer som arbetar med data, kan dela datarelaterade insikter och innovation.

Om du vill lĂ€sa om banbrytande idĂ©er och aktuell information, bĂ€sta praxis och framtiden för data- och datateknik, gĂ„ med oss ​​pĂ„ DataDecisionMakers.

Du kan till och med övervÀga att bidra med en egen artikel!

LÀs mer frÄn DataDecisionMakers