Edge Security: Bieten Sie Hackern keine Angriffsfläche!

Edge Computing sicher zu machen heißt, fundierte Sicherheitsgrundsätze auf eine einzigartige Edge-Umgebung anzuwenden. [...]

Das Problem mit Edge Security ist längst nicht einzigartig – viele ihrer aktuellen Probleme beschäftigen den allgemeinen IT-Sektor schon seit Jahrzehnten.

Edge fügt diesen Problemen jedoch eine ganz eigene Marke hinzu, was es in vielen Fällen schwieriger macht, diese zu lösen. Durch den Einsatz grundlegender Sicherheitsvorkehrungen für Informationen können die meisten Edge-Implementierungen heute jedoch wesentlich sicherer sein als sie sind.

Die häufigste IoT-Sicherheitsanfälligkeit tritt auf, wenn zu viele Sensoren und Edge-Computing-Geräte gleichzeitig eine Art eingebauten Webserver auszuführen versuchen, um Remotezugriff und -verwaltung zu ermöglichen. Dies stellt ein Problem dar, weil viele Endbenutzer die standardmäßigen Anmeldeinfos und Kennwörter nicht ändern – oder in einigen Fällen nicht ändern können – und auch nicht in der Lage sind, sie vom Großteil des Internets abzuschotten. Es gibt spezielle Grauzone-Suchmaschinen, um schlechten Schauspielern dabei zu helfen, diese ungesicherten Webserver zu finden; sie können theoretisch sogar mit ein wenig kreativem Googeln gefunden werden, obwohl Joan Pepin, CISO vom Sicherheits- und Authentifizierungsanbieter Auth0, bereits ankündigte, dass der Suchmaschinen-Riese bereits vor kurzem Schritte unternommen habe, um diesen Prozess weiter zu erschweren.

„Es gibt auf jeden Fall eine Marktchance für Unternehmen, die auf Ebene der Geräteverwaltung bessere Ergebnisse zu erzielen, weil eben nicht Tausende von kleinen Webservern mit dem Standard-Benutzernamen und dem Standard-Kennwort vorhanden sind“, sagte sie.

Eine weitere Hürde bei der Lösung dieses Problems ist die heterodoxe Natur der IIoT- und Edge-Computing-Welten. Bei jeder Bereitstellung könnte das Silicon eines Unternehmens verwendet werden, das in den Boxen eines anderen Unternehmens ausgeführt wird, auf denen die Software eines wiederum anderen Unternehmens läuft und eine Verbindung zu Sensoren wiederum anderer Unternehmen herstellt. Full-Stack-Lösungen – zu denen Edge-Geräte, Sensoren und alle verschiedenen Arten von Software- und Konnektivitätslösungen gehören – sind dabei nicht üblich.

„Angesichts der bestehenden Plattformen gibt es viele realisierbare Angriffsvektoren und eine erhöhte Exposition sowohl des Endpunkts als auch der Edge-Geräte“, so Yaniv Karta, CTO des App-Sicherheits- und Penetrationstest-Anbieters SEWORKS.

Schlimmer noch: Einige der derzeit verwendeten Methoden, um eine Edge-Bereitstellung ganz oder zumindest teilweise abzusichern, können die Gefährdung des IoT-Netzwerks sogar noch erhöhen. VPNs, die zur Sicherung des Datenverkehrs während der Übertragung verwendet werden, können unter bestimmten Umständen für Man-in-the-Middle-Angriffe anfällig sein. Ältere Industrieprotokolle wie CANbus wurden einfach nicht zum Schutz vor modernen Infosec-Bedrohungen entwickelt, und selbst LP-WAN-Protokolle für den Anschluss von Sensoren an das Edge können anfällig sein, wenn die Encryption-Keys selbst gefährdet sind.

Die Branche hält diese Form der Fragmentierung derzeit für einen Vorteil, erklärte Karta, zumeist aus Gründen der Flexibilität. Die Möglichkeit, Geräte und Software von einer Vielzahl verschiedenster Anbieter zu verwenden, ohne allzu große Schwierigkeiten beim Zusammenfügen dieser Systeme zu haben, ist für einige Kunden sehr attraktiv. Die Tatsache, dass Unternehmen im Allgemeinen eine Middleware-Schicht eines bestimmten Typs verwenden müssen, um alle unterschiedlichen Elemente ihrer Implementierungen miteinander zu verknüpfen, öffnet jedoch eine weitere Angriffsfläche.

Was ist also tun?

Laut Pepin sei das alles keine Hexerei. Die meisten der grundlegenden Prinzipien, die für die Sicherung von Cloud-, Data Center- oder Userland-Umgebungen gelten, gelten auch für Edge.

„Sie sollten beispielsweise keine unnötigen Dienste auf Ihren Geräten ausführen, sei es nun ein Server, ein Laptop oder ein IoT-Gerät.“ Sie scherzte, dass das industrielle IoT in gewisser Weise eine Traumsituation für IT-Profis darstelle – Hunderte von Tausenden von Endpunkten, aber keine Benutzer an ihren Enden, um die Dinge durcheinander zu bringen.

Jason Oberg, CEO von Tortuga Logic, stimmte darin überein, dass bessere Grundlagen erforderlich sind, um die Edge sowie die Authentifizierung und Verschlüsselung des Codes, der auf Edge-Geräten ausgeführt wird, zu sichern. Eine Möglichkeit zur Verbesserung der Sicherheit wären zum Beispiel neue Industriestandards.

„Ich denke, es wird einige Arbeitsgruppen rund um Best Practices geben“, meint er. „Es wird eine große Initiative geben, um Sicherheit in die Hardware zu integrieren – und die ist bereits in vollem Gange; ich denke, die Leute fangen an zu begreifen, dass es sich um das größte Problem im Bereich Hardware / Software handelt.“

Die End-to-End-Verschlüsselung sei eine weitere Technik, die sich gegen Edge-Angreifer als nützlich erweisen könnte, argumentierte Pepin. Während die Verschlüsselung mit Kosten verbunden ist, gibt es mittlerweile Standards und Software, die dafür sorgen, dass diese Kosten auch auf kleineren und weniger leistungsfähigen Geräten minimal bleiben.

„Wenn all diese Geräte Daten über das Kabel verschlüsseln, läuft alles über sichere Protokolle wie TLS und Sie führen keine zufälligen Abhörports und so weiter aus. Es ist dasselbe Sicherheitsmodell“, erklärt sie und zitierte auch die Blowfish-Chiffre als für Edge- und IIoT-Bereitstellungen geeignet. „Wenn [ein Smartphone], das leicht in meine Hand passt, diese Art der Verschlüsselung ausführen kann und meine Benutzererfahrung dabei nicht beeinträchtigt, kann ein IoT-Gerät sicherlich die gleichen Verschlüsselungstypen ausführen, ohne die die Benutzererfahrung nicht beeinträchtigen.“

*Jon Gold ist Senior Writer bei Network World.