Comment fonctionnent les pare-feu de l'IdO
Les appareils IdO présentent des risques importants pour la sécurité du réseau d'une organisation. Les pare-feu IoT protègent ces appareils contre l'exploitation et peuvent être mis en œuvre de deux manières :
- Réseau IdO Firewalls: Les pare-feu du Réseau IdO sont déployés dans le cadre de la passerelle réseau et permettent une macro et micro segmentation du déploiement IoT d'une organisation. Les pare-feu du Réseau IdO peuvent utiliser des VPN pour crypter le trafic entre la passerelle et les serveurs distants qui traitent les données collectées par l'Appareil IdO.
- IoT Embedded pare-feu : Les pare-feu intégrés à l'Id O sont intégrés au système d'exploitation d'un appareil IdO. Ils sont installés par le fabricant de l'appareil IdO et peuvent filtrer le trafic vers l'appareil et potentiellement agir en tant que poste RVP.
L'importance des pare-feu pour l'IdO
Les appareils IdO sont réputés pour leur manque de sécurité. Parmi les risques courants liés à la sécurité de l'IdO, on peut citer
- Systèmes d'exploitation anciens : Il se peut que l'appareil IdO utilise des versions de système d'exploitation obsolètes. Cela les rend vulnérables à l'exploitation par le biais d'une vulnérabilité connue du public.
- Absence de sécurité intégrée : La plupart des appareils IdO ne disposent pas des pare-feu et des antivirus intégrés que l'on trouve couramment sur les systèmes de bureau. Il est donc plus facile pour les attaquants d'exploiter ces systèmes et de les infecter avec des logiciels malveillants.
- Gestion difficile des correctifs : Quand avez-vous mis à jour le logiciel de votre ampoule pour la dernière fois ? La correction des problèmes de fonctionnalité et de sécurité est essentielle à la sécurité de tous les logiciels. Cependant, les appareils IdO sont rarement mis à jour, ce qui les rend vulnérables aux attaques.
- Mots de passe faibles : Les appareils IdO sont souvent déployés sans modification du mot de passe par défaut et peuvent avoir des mots de passe codés en dur que les utilisateurs ne peuvent pas modifier. Lorsque ces mots de passe sont connus du public, les attaquants peuvent simplement se connecter à l'appareil vulnérable.
- Sécurité physique insuffisante : De nombreux appareils IdO - tels que les caméras connectées à Internet - sont conçus pour être déployés dans des lieux publics ou éloignés. En accédant physiquement aux appareils, les attaquants peuvent être en mesure de contourner et de vaincre les défenses de sécurité d'un appareil.
- Utilisation de protocoles non sécurisés : Si la plupart des échanges sur Internet évitent l'utilisation de protocoles non sécurisés tels que Telnet, il n'en va pas de même pour Appareil IdO. L'utilisation de ces protocoles permet aux pirates de voler plus facilement les identifiants de connexion et d'exploiter les protocoles vulnérables.
Ces problèmes de sécurité font des appareils IdO un risque important pour leurs propriétaires et pour le réseau où ils sont déployés. Les pare-feu IoT aident à gérer ce risque en rendant les appareils plus difficiles à attaquer et en limitant l'impact d'un appareil compromis.
Les architectures de l'IdO diffèrent
Les appareils IdO sont déployés dans diverses industries, mais ces appareils et architectures ne sont pas tous identiques. L'IdO industriel et l'IdO grand public sont souvent déployés dans le cadre de deux architectures très différentes.
Les fabricants utilisent généralement le modèle de Purdue pour segmenter leur réseau de système de contrôle industriel (ICS). Ce modèle sépare l'architecture de l'IdO en plusieurs couches aux objectifs définis. Les pare-feu du Réseau IdO inspectent et contrôlent le trafic à travers les frontières du réseau.
- Niveau 4/5 : La couche Entreprise est le réseau informatique de l'entreprise, où les systèmes de planification des ressources de l'entreprise (ERP) assurent une gestion de haut niveau des opérations de fabrication.
- Niveau 3.5 : La zone démilitarisée (DMZ) sépare les environnements IT et OT et comprend des systèmes de sécurité conçus pour protéger les environnements OT des attaques sur le réseau IT.
- Niveau 3 : les systèmes d'opérations de fabrication gèrent les flux de travail dans l'atelier de fabrication.
- Niveau 2 : dans le réseau de processus, les opérateurs surveillent et gèrent les processus physiques à l'aide d'interfaces homme-machine (IHM) qui permettent d'accéder au logiciel de contrôle de surveillance et d'acquisition de données (SCADA).
- Niveau 1 : Dans le réseau de contrôle, les appareils intelligents tels que les PLC (Programmable Logic Controller) et les RTU (Remote Terminal Unit) surveillent et manipulent les appareils physiques.
- Niveau 0 : Dans le réseau de terrain se trouvent les appareils physiques et les capteurs qui effectuent les opérations de fabrication.
En revanche, les appareils IdO grand public qui sont déployés dans une zone géographique plus vaste et plus diversifiée peuvent fonctionner selon un modèle architectural à quatre couches :
- Couche capteur : Les appareils IdO collectent des données pour les traiter.
- Réseau ou couche d'acquisition de données : Les données d'un ou plusieurs systèmes sont collectées par la passerelle IoT et transférées en toute sécurité vers les systèmes de traitement.
- Couche de prétraitement des données : L'appareil IdO en périphérie effectue un prétraitement pour réduire la quantité de données envoyées aux serveurs basés sur cloud.
- cloud Couche d'analyse ou d'application : cloud Les serveurs analysent les données et permettent aux utilisateurs d'accéder aux analyses et aux données.
Les architectures IoT industrielles intègrent des couches de sécurité que l'IoT déploiement grand public peut ne pas avoir. Les passerelles IoT et les pare-feu cloud peuvent contrôler l'accès afin d'améliorer la sécurité de l'appareil IdO du consommateur.
Quels sont les secteurs qui ont besoin d'un pare-feu pour l'IdO ?
L'adoption de l'IdO progresse partout, ce qui rend la sécurité de l'IdO importante pour toutes les organisations. Cependant, pour certaines industries et entreprises, la sécurité du pare-feu IoT est particulièrement vitale, notamment :
- L'industrie : En raison des exigences élevées en matière de disponibilité et de performance, les systèmes OT utilisent généralement des logiciels anciens et ne prennent que peu en charge les solutions de sécurité intégrées. Ces systèmes étant de plus en plus connectés aux environnements informatiques, la sécurité des pare-feu IoT est essentielle pour bloquer les attaques qui pénètrent dans les environnements OT et se déplacent ensuite latéralement au sein de l'organisation.
- Santé : L'IdO médical (MIoT) se développe rapidement et comprend les stimulateurs cardiaques, les scanners, les trackers de fitness et d'autres appareils similaires en réseau. La faible sécurité de ces appareils rend les pare-feu IoT nécessaires pour bloquer les tentatives d'exploitation de ces appareils vulnérables.
- Entreprises : outre les solutions spécifiques à l'industrie, les entreprises déploient des appareils IdO tels que des systèmes de gestion intelligente des bâtiments, des caméras en réseau et des imprimantes. Tous les appareils ne sont pas forcément connus ou gérés par l'équipe informatique, ce qui les rend vulnérables à l'exploitation.
- fabricants d'appareils : Les scénarios de déploiement uniques des appareils IdO les rendent difficiles à sécuriser à l'aide de méthodes traditionnelles. En déployant des pare-feu intégrés à l'IdO sur leurs appareils, les fabricants d'appareils peuvent en améliorer la sécurité et la résistance aux tentatives d'exploitation.
Sécurité du pare-feu IoT avec Check Point
Check Point offre une protection complète pour le déploiement de l'IdO d'une organisation, y compris les pare-feux réseau et les pare-feux IdO intégrés.
Le pare-feu réseau IoT Protect de Check Point offre une visibilité complète sur les appareils IdO connectés au réseau de l'entreprise en identifiant les appareils IdO connus et inconnus. Il recommande également des politiques de confiance zéro pour macrosegmenter l'appareil IdO et comprend un système de prévention des intrusions (IPS) intégré pour prévenir les attaques contre l'appareil IdO.
Le pare-feu intégré IoT Protect de Check Point permet aux fabricants d'appareils IdO de sécuriser leurs appareils dès la conception. Après avoir évalué un appareil, il applique un agent nano à empreinte légère pour offrir une protection en cours d'exécution contre les tentatives d'exploitation.
Pour en savoir plus sur les solutions Sécurité de l'IdO de Check Point, consultez la fiche solution IoT Protect. Ensuite, découvrez leurs capacités par vous-même en vous inscrivant pour une démo gratuite.