Unternehmensnetzwerke sind heute komplexe Umgebungen, in denen verschiedene Arten von kabelgebundenen und drahtlosen Geräten verbunden und getrennt werden. Bestehende Geräteerkennungslösungen konzentrieren sich hauptsächlich auf die Identifizierung und Überwachung von Servern, Workstations, Laptops und Infrastrukturgeräten wie Netzwerk-Firewalls, Switches und Routern, da die wertvollsten Informationen für Unternehmen auf diesen Geräten gespeichert, verarbeitet und übertragen werden wesentliche Ziele für Sicherheitsverletzungen und Eindringlinge.
In den letzten vier Jahren hat sich jedoch ein neuer Trend herauskristallisiert, da Angreifer speziell entwickelte angeschlossene Geräte wie Netzwerkdrucker und Videokonferenzsysteme als Einstiegspunkt und Weg für das Data Mining ins Visier genommen haben.
Diese Geräte können aus den folgenden Hauptgründen von bestehenden IT-Asset-Discovery-Lösungen nicht korrekt identifiziert werden:
- Proprietäre Protokolle werden häufig verwendet, um diese unbekannten Geräte für die Lösung der Asset-Erkennung und -Überwachung zu verwalten.
- Agentenbasierte Asset-Erkennung ist nicht möglich, da die meisten verbundenen Geräte ressourcenbeschränkte Systeme mit proprietären Betriebssystemen sind, auf denen keine Agentenerkennungssoftware installiert werden kann.
Die Internet of Things Vulnerability Assessment (IoTVAS)-Lösung von Firmalyzer überwindet diese Einschränkungen und bietet:
- Genaue Identifizierung des Herstellers, Modellnamens, Gerätetyps, End-of-Life-Status des Geräts, Firmware-Version und Firmware-Veröffentlichungsdatum des angeschlossenen Geräts
- Ein Echtzeit-Firmware-Stücklistenbericht, der die Softwarekomponenten und Bibliotheken im Firmware-Code jedes Geräts auflistet, ohne dass der Benutzer die Firmware-Dateien des Geräts herunterladen muss.
- Identifizieren Sie öffentlich unbekannte Geräteschwachstellen, die anfällige Komponenten von Drittanbietern, Standardanmeldeinformationen, Verschlüsselungsschlüssel, Zertifikate und Probleme mit der Standardkonfiguration umfassen
- Bestimmen Sie öffentlich bekannte Schwachstellen (CVE) des Geräts
IoTVAS kann als eigenständige Lösung für die Erkennung und Bewertung von IoT-Risiken fungieren oder über die IoTVAS-REST-API in vorhandene IT-Asset-Erkennung, Netzwerk-Port-Scanner und Tools zum Scannen von IT-Schwachstellen integriert werden.
Entdecken Sie das Internet der Dinge mit IoTVAS
IoTVAS identifiziert Geräte anhand von Fingerabdrücken, die von Bannern von Gerätenetzwerkdiensten abgeleitet werden. Die MAC-Adresse des Geräts kann auch mit diesem Fingerabdruck verwendet werden, um die Erkennungsgenauigkeit zu verbessern, aber dies ist im Gegensatz zu anderen Geräteerkennungslösungen keine Voraussetzung für IoTVAS. Der IoTVAS-Fingerabdruckdatenbank werden ständig neue Gerätefingerabdrücke hinzugefügt, basierend auf eingehenden API-Anforderungen und internen Suchen.
Zum jetzigen Zeitpunkt enthält diese Datenbank über 50.000 Fingerabdrücke von über 2.300 Hardwareherstellern. IoTVAS verwendet die folgende Netzwerkdienstantwort und Beschilderung für Fingerabdrücke:
- Zeichenfolge OID SysDescr für SNMP-Dienst
- OID SysObjectID-String für SNMP-Dienst
- FTP-Service-Logo
- Telnet-Service-Banner
- Hostname des Geräts
- Erste Antwort vom Geräte-Webserver (http- und HTTPS-Dienste)
- UPnP .Erkennungsantwort
- Optionale MAC-Adresse der Netzwerkschnittstelle des Geräts
IoTVAS benötigt mindestens eine der oben genannten Funktionen, um ein IoT-Gerät zu identifizieren. Netzwerkdienst-Banner können von vorhandenen Netzwerk-Port-Scannern oder Computer-Schwachstellen-Scannern erfasst werden.
Im eigenständigen Modus verwendet IoTVAS ein leichtgewichtiges Programm zur Definition von Netzwerkdiensten, das Geräte im Zielnetzwerk untersucht, um die oben genannten Funktionen zu extrahieren. Die IoTVAS-Geräteerkennungsfunktion kann auch über den REST-API-Endpunkt in vorhandene Sicherheitstools integriert werden.
IoT-Sicherheitsaudit mit IoTVAS
Sobald Sie den Gerätehersteller, das Modell und die Firmware-Version ermittelt haben, geht IoTVAS über das bloße Suchen der CVEs hinaus, die dem Gerät und der Firmware-Version zugeordnet sind. Unter Verwendung der proprietären Firmware-Risiko-Wissensdatenbank von Firmalyzer ruft IoTVAS die Firmware-Benennung und eine detaillierte Risikoanalyse ab, die anfällige Komponenten von Drittanbietern in der Firmware unter den folgenden Kategorien enthält: „Netzwerkdienste“ (UPnP-Server, Webserver usw.), „Kryptografische Bibliotheken“. ” ( OpenSSL, GnuTLS usw.), “Kernel des Linux-Betriebssystems”, “Client-Tools” (Busybox usw.).
IoTVAS bietet auch eine Liste mit Standardanmeldeinformationen, in die Gerätefirmware eingebetteten Verschlüsselungsschlüsseln, aktiven und abgelaufenen digitalen Zertifikaten, schwachen Verschlüsselungsschlüsseln und Zertifikaten sowie Standardkonfigurationsproblemen. Diese detaillierten Informationen ermöglichen es Sicherheitsmanagern, verbundene Geräte mit hohem Risiko in einem Netzwerk proaktiv zu erkennen und Gegenmaßnahmen einzuleiten, bevor diese Geräte kompromittiert werden. Es automatisiert auch den BOM-Inventarisierungsprozess für IoT- und Unternehmens-Embedded-Geräte, indem das manuelle Herunterladen von Firmware und die binäre Analyse von Firmware für verschiedene IoT-Geräte, die in Unternehmensnetzwerken bereitgestellt werden, entfällt.
Ähnlich wie bei der Geräteerkennung kann auch auf die IoTVAS-Firmware-Risikobewertung über den REST-API-Endpunkt zugegriffen werden.
IoTVAS in Aktion
Die folgende Abbildung zeigt den Risikobewertungsbericht für Xerox-Netzwerkdrucker in IoTVAS SaaS Edition, einschließlich Firmware-Benennung und Details zu Schwachstellen von Softwarekomponenten.
 |
| Abbildung 1 – IoTVAS SaaS-Geräterisikodetailseite |
Die IoTVAS-API ermöglicht es Anbietern von IT-Sicherheitslösungen und SecOps-Teams, IoTVAS-Erkennungs- und IoT-Risikoprüfungsfunktionen in ihre bestehenden Tools und Angebote zu integrieren. Beispielsweise hat Firmalyzer das IoTVAS-Plug-in für den NMAP-Scanner entwickelt, mit dem IoT-Geräte beim Scannen eines Zielnetzwerks genau erkannt und geprüft werden können.
Das folgende Beispiel zeigt, wie IoTVAS NSE-Skripte es NMAP ermöglichen, den Hersteller, den Modellnamen und die Firmware-Version eines Unternehmensdruckers sowie bekannte Firmware-Risiken genau zu erkennen. Die Firmware-Risikoanalyse zeigt standardmäßige „root“- und „postgres“-Konten und Anmeldeinformationen für das „intFTP“-Konto, eine Liste abgelaufener Zertifikate und Zertifikate mit schwachem Fingerabdruckalgorithmus (MD5) und eine standardmäßige SSH-Konfiguration, die eine Remote-Root-Anmeldung ermöglicht.
 |
| Abbildung 2 – IoTVAS-Plugin für NMAP |
Um mit der Verwendung der IoTVAS-API zu beginnen, registrieren Sie sich bitte für einen Demo-API-Schlüssel. Die API-Dokumentationsseite enthält eine optionale Benutzeroberfläche, mit der Sie IoTVAS-Endpunkte direkt in Ihrem Browser auswerten können, ohne Code schreiben zu müssen
Wenn Sie an einer SaaS-IoTVAS-Demo oder -Anpassung interessiert sind, wenden Sie sich für eine Live-Demo oder ein Testkonto an Firmalyzer.