Ruckus tente de gérer le monde chaotique de iot

L'Internet des objets (IoT) est peut-être l'un des mots à la mode les plus en vogue dans le secteur de la technologie au cours des deux dernières années, mais c'est aussi un gâchis. C'est chaotique. Les appareils ne sont pas sécurisés; ils ne se parlent pas et n'utilisent pas de protocoles cohérents. Et la grande majorité est ingérable, avec une sécurité faible pour démarrer. En tant que professionnel de l'informatique, il est fort probable que vous n'en vouliez pas, ou d'ailleurs, à proximité de votre réseau.

Plusieurs fournisseurs envisagent de remédier à cette situation, notamment Ruckus Networks (anciennement Ruckus Wireless), récemment acquis par le fournisseur de réseaux grand public Arris. Ruckus Networks est connu pour son portefeuille d'infrastructure réseau de niveau entreprise ainsi que pour ses réseaux maillés. Ruckus Networks lance actuellement une gamme de produits de réseau IoT qui s'intégrera à ses contrôleurs de réseau existants. L'idée est de créer un moyen d'intégrer en toute sécurité le trafic IoT dans le réseau de la grande entreprise et de supprimer tous les silos de connectivité exclusifs qui caractérisaient jusqu'à présent les communications IoT.

La suite Ruckus IoT, qui devrait être disponible à la fin du mois de juin, utilise des modules enfichables insérés dans une nouvelle gamme de points d’accès compatibles IoT. Ces points d'accès communiqueront avec un contrôleur IoT, qui à son tour communiquera avec un contrôleur de réseau local (LAN) Ruckus Networks standard. Les modules IoT sont conçus pour communiquer avec des périphériques utilisant n'importe lequel des différents types de radios populaires dans les déploiements IoT, y compris Bluetooth Low Energy (BLE), LoRaWAN (protocole de réseau à longue portée et faible consommation) et Zigbee (norme pour les communications à courte portée et à faible débit). Et, bien sûr, une mise en réseau Wi-Fi standard, également utilisée par de nombreux appareils IoT.

Chacun de ces protocoles de communication a une utilisation spécifique, non seulement dans l'IdO, mais même dans divers scénarios d'entreprise, mais vous remarquerez qu'aucun d'entre eux n'est capable de communiquer directement avec les autres. C'est là que ces modules Ruckus enfichables entrent en jeu. Ils gèrent les communications de base avec le périphérique, puis l'envoient au contrôleur IoT, puis au contrôleur de réseau local sans fil (WLAN). Au cours de ce processus, le trafic est converti en un flux de protocole Internet (IP) afin qu'il puisse voyager sur le réseau existant, que vous pouvez continuer à contrôler via des outils de gestion d'infrastructure standard.

La sécurité est toujours un problème

Encore plus attrayant, Ruckus ajoute une couche de sécurité aux données une fois qu’elles atteignent le module IoT. En fonction du protocole de communication, il peut également exister une sécurité provenant du système d'extrémité, allant d'une caméra de surveillance à un capteur environnemental. Les périphériques Wi-Fi prennent normalement en charge le cryptage et les versions plus modernes prennent en charge Wi-Fi Protected Access 2 (WPA2). Malheureusement, certains appareils plus anciens peuvent vous coller avec un cryptage plus faible.

BLE est crypté à la source, il est donc raisonnablement sécurisé. Cependant, un certain nombre de périphériques IoT n’ont pas, et ne peuvent pas être faits pour avoir, aucune sorte de cryptage ou autre sécurité. Dans ces cas, l'administrateur réseau de Ruckus peut configurer un pare-feu entre le périphérique IoT et le reste du réseau, et autoriser le trafic à l'aide d'une liste blanche basée sur l'adresse MAC (Media Access Control) du périphérique.

Ce type d'accès contrôlé protège le réseau mais ne protège pas nécessairement le périphérique. Par exemple, si quelqu'un se trouve à proximité d'une caméra de sécurité compatible Wi-Fi, par exemple, il est possible de prendre en charge une caméra si elle n'est pas protégée, par cryptage ou par un autre moyen. Ce type d’attaque a eu lieu et permet au pirate de voir tout ce qui se trouve à portée de la caméra.

Pour aggraver les choses, certaines caméras bas de gamme ont des identifiants de connexion codés en dur qui ne peuvent pas être changés et le trafic réseau Wi-Fi qui ne peut pas être crypté. Ces caméras sont prêtes à être cueillies par quelqu'un qui mène la guerre dans la région. Le mieux que vous puissiez faire est d'espérer ne rien avoir à protéger face à la caméra.

Les caméras ne sont certainement pas le seul type d'appareil IoT non protégé, elles sont les plus connues après avoir été utilisées dans le cadre de nombreuses attaques par déni de service (DDoS) paralysantes. Le problème est que les caméras Wi-Fi se sont avérées populaires et que ceux qui les achètent ne se sont pas toujours efforcées de choisir des modèles offrant au moins un certain niveau de sécurité. Le résultat est que des millions de caméras Wi-Fi IP non sécurisées fonctionnent dans le monde sans aucun moyen de les protéger.

Vous devrez donc prendre certaines mesures pour sécuriser vos appareils IoT, qui vont au-delà de l’utilisation d’une plate-forme d’intégration réseau telle que celle proposée par Ruckus. Vous pouvez vous pencher sur l’un des nombreux et de plus en plus grand nombre de plates-formes de sécurité spécifiques à l’IoT, telles que Entity Analytics d’Exabeam. Mais il reste des étapes que chaque administrateur informatique chargé d’IoT devrait prendre en plus de l’achat de nouveaux outils.

À tout le moins, vous devriez dresser un inventaire de votre infrastructure IoT et déterminer le statut de sécurité de chaque appareil. Bien sûr, si vous ne l’avez pas encore fait, c’est pénible, mais c’est une étape nécessaire pour gérer ces appareils de toute façon, surtout si votre portefeuille doit se développer. Il y a des chances que vous en trouviez qui tombent dans la catégorie des impossibles à sécuriser. Ou vous pouvez trouver qu'ils peuvent être sécurisés mais le coût de le faire est prohibitif.

Extraire et remplacer peut être la meilleure option

Un périphérique IoT non sécurisé constitue un problème pour votre entreprise, même si le reste du réseau est sécurisé par une plate-forme de gestion de style Ruckus. Il est possible d'installer des logiciels malveillants sur un appareil, puis d'utiliser le canal de communication de l'appareil pour accéder à votre réseau. Dans certains cas, vous pouvez empêcher une telle attaque avec un pare-feu bien configuré, mais la protection de périmètre en tant que votre seule défense est problématique.

De manière réaliste, le seul moyen d'être vraiment sécurisé consiste à concevoir et à tester une stratégie de sécurité efficace pour votre infrastructure IoT, puis à vous débarrasser de tout appareil ne pouvant pas respecter cette stratégie. C'est fastidieux, mais à long terme, c'est moins cher que de subir une attaque.

Malheureusement, il est parfois impossible de vider un périphérique non sécurisé, car il est nécessaire à vos opérations. Certains types d’équipements médicaux qui communiquent sans fil et pour lesquels la sécurité n’est pas disponible en sont un bon exemple. Ensuite, votre seule alternative est de garder ces périphériques hors de votre réseau d'entreprise et de les surveiller de près pour détecter tout comportement aberrant.

Néanmoins, une solution telle que la suite Ruckus IoT constitue un bon moyen de résoudre le problème de gestion créé par les silos IoT tout en renforçant la sécurité de cette partie de votre réseau. Mais il est important de se rappeler qu’il n’existe pas de solution miracle en matière de sécurité; certaines choses le rendent plus facile à gérer, mais ils exigent toujours du travail et de la planification.