Smart-Home-Security
Mikrosegmentierung im intelligenten Haus
Fortsetzung des Artikels von Teil 1
Der Versuch
Forschungsthema war, ob sich dieser Ansatz auch in einer realen, feindlichen Smart-Home-Umgebung bewährt. Dazu emulierten die Forscher eine Netzwerktopologie mit 28 IoT- und nicht IoT-fähigen Geräten. Diese gehörten sechs unterschiedlichen Funktionsgruppen an: Controller/Hubs, Energie-Management, Geräte, Gesundheitsmonitore, Kameras und nicht IoT-fähige Geräte. Um herauszufinden, wie viele Geräte nach dem Versuch infiziert waren, scannte das Team das Netzwerk, ähnlich wie es das Mirai-Botnet macht. Die Forscher untersuchten drei Konfigurationen, und zwar ohne Mikrosegmentierung, mit Mikrosegmentierung auf Grundlage funktionaler Gruppen und mit kompletter Isolierung jedes einzelnen Geräts.
Für die zweite Konfiguration implementierten sie mittels einer neuartigen Edge-Cloud-Systemarchitektur eine Mikrosegmentierung. Diese identifizierte bösartige Geräte und isolierte sie von LAN und WAN. Nicht bösartige Geräte wurden automatisch nach Funktionalität klassifiziert und dementsprechend den eingeschränkten Mikrosegmenten des Netzwerks zugeordnet. Die Forscher nahmen an, dass der Angreifer bereits die Kontrolle entweder über eine Belkin-Kamera, einen HP-Envy-Drucker oder ein Amazon Echo hat. Sie gingen davon aus, dass ihm diese als Ausgangspunkte fürs Scannen des Netzwerks nach weiteren anfälligen vernetzten Geräten dienen. Es stellte sich heraus, dass die Belkin-Kamera einem Hacker die beste Einsicht ins Netzwerk und den größten Vorteil für laterale Bewegungen verschaffen würde.
Die Funktionsgruppe einer Kamera enthält die größte Anzahl an IoT-Geräten. Auf Grundlage der funktionalen Gruppen ließ sich die Angriffsfläche im Netzwerk im Vergleich zur Konfiguration ohne Mikrosegmentierung um 65,85 Prozent verringern, wenn der Angreifer die Belkin-Kamera für laterale Bewegungen verwendet hätte. Diese Mikrosegmentierungskonfiguration kann Ströme identifizieren und blockieren, die bösartig sein könnten oder die Privatsphäre verletzen, weil sie die Grenzen funktionaler Gruppen überqueren. Dabei ist zu beachten, dass der eingeschränkte Zugriff eines Geräts auf das Netzwerk seine Funktion behindern kann.
Auch dies haben die Forscher getestet, um zu verifizieren, ob das Smart Home trotz Mikrosegmentierung funktioniert. Sie kamen zu dem Ergebnis, dass die Mikrosegmentierung auf der Basis funktionaler Gruppen um nur 2,16 Prozent von der Grundlinie abweicht. Dies ergibt sich aus den Strömen, die die funktionellen Mikrosegmente durchqueren.
Vorbereitet sein
5G wird für bessere mobile Breitbanddienste sorgen und die Verbreitung von IoT-Technik beschleunigen. Mit dem neuen Mobilfunkstandard kommen aber auch Sorgen auf, dass sich Infektionen innerhalb von Netzwerken schneller ausbreiten werden, wenn diese nicht ausreichend gesichert sind. Zwar kann es noch dauern, bis 5G und Smart Homes alltäglich sind, Netzbetreiber sollten sich jedoch darauf einstellen. Sie sollten bereits jetzt damit beginnen, 5G-fähige Lösungen direkt auf Edge-Gateways zu implementieren, wenn sie 5G-Netze einrichten. Damit bieten sie ihren Kunden nahtlos und sicher verbundene Smart-Home-Ökosysteme. Transparente Mikrosegmentierung für Smart Homes könnte eine solche Lösung sein. Sie schützt jedes einzelne vernetzte Gerät davor, das Einfallstor zu sein, über das ein komplettes Netzwerk kompromittiert wird.
Armin Wasicek ist Senior Data Scientist bei Avast, www.avast.com.
- Mikrosegmentierung im intelligenten Haus
- Der Versuch
Lesen Sie mehr zum Thema
