Meilleures pratiques pour la conformité dans l'IdO : Le rôle du Live Patching

L'Internet industriel des objets (IIoT ou "IoT" en abrégé) se compose de milliards d'appareils déployés dans les installations industrielles et les infrastructures publiques. Bien qu'il soit une aubaine pour la productivité et les entreprises axées sur les données, l'IdO crée des risques en matière de cybersécurité. La technologie elle-même est vulnérable, mais les appareils IoT offrent également aux pirates un point d'entrée facile dans les réseaux d'entreprise. En effet, selon une étude du Ponemon Instituteles appareils connectés non sécurisés ont été à l'origine de 26 % des incidents de sécurité, contre 15 % l'année précédente. Depuis le début de l'année 2020, le Verzion a analysé 157 525 incidents de violations de données, dont 72 % concernaient de grandes entreprises victimes. Faire partie de ces statistiques est une perspective sombre pour les entreprises et les industries qui ne pratiquent pas les meilleurs cadres de conformité IoT.

Comprendre les vulnérabilités de l'IdO

Les dispositifs et infrastructures IdO sont vulnérables en partie parce qu'ils sont presque toujours situés en dehors du réseau principal. À l'air libre, ils sont une proie facile pour les pirates. De plus, les appareils ne sont généralement pas fabriqués dans un souci de sécurité. Plus des trois quarts des appareils IoT utilisent des passerelles et des nœuds périphériques Linux. Ils fonctionnent avec des microprocesseurs ARM qui utilisent Linux intégré, une cible de choix pour les pirates.

Dans cet environnement, les vulnérabilités suivantes de l'IdO entraînent une exposition au risque :

• Systèmes d'exploitation - Chaque port ouvert du système d'exploitation et chaque protocole disponible constituent une surface d'attaque. Le code des unités de microcontrôleurs (MCU) de l'IdO fonctionne sur une base "bare metal", sans système d'exploitation. Ils peuvent avoir de nombreux ports ouverts par défaut.
• Applications - Un système sur puce (SOC) IoT peut exécuter plusieurs programmes d'application, chacun pouvant présenter des vulnérabilités exploitables.
• Dépendances - Les applications et les systèmes d'exploitation des appareils IoT peuvent avoir des dépendances et des bibliothèques externes.
• Communication - L'IdO est vulnérable aux attaques basées sur les communications, telles que les attaques de type "man-in-the-middle" et "replay".
• Hébergement en nuage - L'infrastructure en nuage de l'IdO, avec ses serveurs connectés, constitue également une surface d'attaque.
• Accès des utilisateurs - L'accès aux appareils est un point de vulnérabilité majeur, surtout si les attaquants peuvent se faire passer pour des utilisateurs sans passer par le réseau de l'entreprise.

Meilleures pratiques pour la conformité de l'IdO

Il est possible d'atteindre un niveau élevé de sécurité et de conformité pour l'IdO. Les meilleures pratiques comprennent cinq étapes essentielles :

1. Programmer des mises à jour contextuelles -Les mises à niveau de l'IdO, essentielles pour la sécurité, ont toujours été synonymes de temps d'arrêt et de retard. L'attente d'une fenêtre de mise à jour permet aux appareils IoT non sécurisés de rester en service. Le live-patching de KernelCare offre une solution en automatisant la mise à jour et en l'appliquant à un noyau en cours d'exécution.

2. Mettre en place des canaux de communication cryptés - Les communicationsentre les administrateurs de l'IdO et les appareils sur le terrain doivent être cryptées. Bien que cela puisse sembler une contre-mesure évidente, il est en fait courant que le travail d'administration et de sécurité de l'IdO soit effectué en clair.

3. Développer un réseau IoT adaptable - Tous leséléments du réseau IoT doivent être évolutifs dans leur ensemble. L'automatisation est essentielle pour atteindre cet objectif. Les réseaux doivent pouvoir s'adapter automatiquement et efficacement. Dans le cas contraire, ils commenceront à s'effondrer, entraînant un ralentissement ou une défaillance totale des services IdO.

4. Utiliser des pare-feux - Bien queles réseaux IoT soient généralement situés en dehors du réseau principal de l'entreprise, les organisations doivent tout de même mettre en place des pare-feux pour protéger les segments sensibles du réseau IoT. Les abonnés à KernelCare qui ont besoin d'un serveur de correctifs dédié à l'intérieur d'un espace sécurisé, firewalled sécurisé peuvent recevoir de l'aide pour configurer notre ePortail afin de l'administrer.

5. Anticiper les rôles et les cas d'utilisation des consommateurs -Les clients d'une organisation peuvent utiliser les appareils IdO différemment de ce qui avait été prévu à l'origine. Par exemple, un utilisateur peut installer des composants Wi-Fi sur l'appareil, ce qui entraîne une incompatibilité avec le processus de mise à jour de l'appareil.

Conclusion

L'IdO doit être sécurisé, pour son propre bien et pour protéger les actifs numériques de l'organisation. Le défi consiste à installer les correctifs nécessaires sur les appareils IoT sans interruption ni temps d'arrêt liés au redémarrage. KernelCare permet aux administrateurs d'utiliser des systèmes de live-patching pour patcher les noyaux Linux des appareils IoT sans interrompre les processus en cours des appareils embarqués.