Les appareils connectés à Internet représentent pour l'entreprise une menace similaire à celle du shadow IT, Akamai notant que de nombreux appareils sont utilisés sur le réseau de l'entreprise sans sécurité en place.
Les appareils connectés à Internet sont déjà partout dans l'espace de consommation, mais à mesure qu'ils pénètrent dans l'organisation, ils constituent une menace pour la sécurité des réseaux d'entreprise.
une fonction spéciale
IoT: le défi de la sécurité
L’Internet des objets crée de nouveaux risques sérieux en matière de sécurité. Nous examinons les possibilités et les dangers.
Lisez maintenantSelon Patrick Sullivan, directeur mondial de la stratégie de sécurité d'Akamai, tout comme le shadow IT, les administrateurs réseau ne sont pas nécessairement conscients de la présence d'appareils IoT.
"Je pense que c'est un problème pour tout le monde", a-t-il déclaré à ZDNet. "Je veux dire, c'est une surface d'attaque très active et je pense que si vous regardez partout dans le monde, il existe différentes les gouvernements qui commencent à se demander s’ils doivent intervenir en réglementant plus strictement l’IoT dispositifs."
Avec un smartphone connu, par exemple un iPhone ou un appareil Samsung, les responsables informatiques d'un l'organisation connaît la sécurité dans laquelle les appareils sont enveloppés et les protocoles de mise à jour de nombreux correctifs également avoir; cependant, avec un appareil IoT, « sécurisé en standard » n'est pas toujours la solution.
"C'est une situation délicate car le consommateur n'est pas sur le marché uniquement en train d'acheter des appareils dotés d'une excellente sécurité Internet - il est vraiment pas une considération de la part de l'acheteur -- ce qui diminue l'incitation du fabricant à avoir un niveau de sécurité très élevé », Sullivan expliqué.
Le fait qu’il n’y ait pas beaucoup de réglementation autour du développement d’un appareil IoT n’aide pas à cela.
Voir également: Vos gadgets IoT oubliés laisseront un héritage désastreux et toxique
"Les appareils IoT sont livrés de manière non sécurisée par défaut -- sans vouloir décrire les fournisseurs avec un pinceau large et mettre tout le monde dans ce seau -- mais la plupart des appareils IoT sont livrés de manière non sécurisée par défaut. Les appareils ne disposent d'aucun mécanisme pour se mettre à jour automatiquement avec les nouveaux correctifs, ils accumulent donc simplement une dette technique tout au long de leur durée de vie", a-t-il ajouté.
« Très peu de personnes mettent régulièrement à jour le micrologiciel de leur réfrigérateur pour appliquer des correctifs; Je pense que certains des mouvements réglementaires que nous avons observés appellent à un ensemble minimal de normes, y compris la capacité de l'appareil se met à jour automatiquement, donc au moins vous savez que vous pouvez envoyer des correctifs qui ont une chance d'être mis à jour de temps en temps.
Bourrage d'informations d'identification
Bien que les fournisseurs de sécurité aient longuement insisté sur l'idée de « l'hygiène des mots de passe », un autre problème majeur auquel est confronté le l'entreprise est le résultat du fait que les utilisateurs ont toujours le même nom d'utilisateur et le même mot de passe sur plusieurs comptes, Sullivan a déclaré à ZDNet.
Avec une attaque par déni de service distribué (DDoS), les attaquants veulent généralement faire autant de bruit sur le réseau que possible, mais avec le credential stuffing, c'est le contraire, car ils veulent être furtif.
"Donc, ils distribuent tous essentiellement des attaques à une cible via un ensemble massif de serveurs proxy... ils essaient de contourner les contrôles en fonction d'un taux de requêtes élevé à partir d'une adresse IP donnée et ils ont réquisitionné tellement d'appareils IoT qu'ils peuvent distribuer ces demandes aussi loin que possible", a-t-il déclaré. expliqué.
"Nous voyons environ 10 fois plus d'adresses IP participer à des attaques de credential stuffing que de DDoS."
Comme les listes globales d'informations d'identification des utilisateurs sont facilement accessibles, Sullivan a déclaré qu'il était facile de supposer qu'en raison à une mauvaise hygiène de l'utilisateur final, l'utilisation répétée des mêmes identifiants d'un site à l'autre va se révéler réussi.
"C'est quelque chose que nous voyons fréquemment et même si dans certains endroits vous pouvez introduire des technologies comme l'authentification multifactorielle, vous pouvez regardez les captchas, mais ces deux technologies ont une pénalité assez importante en termes d'expérience utilisateur, par exemple si vous êtes dans le Dans le secteur du commerce où vous êtes en concurrence avec l'achat en un seul clic, il s'agit de limiter autant que possible les frictions des utilisateurs", Sullivan expliqué.
Bien que les techniques de credential stuffing ne soient pas nouvelles, Sullivan a déclaré qu'elles deviennent plus prédominantes dans d'autres secteurs verticaux que les espaces classiques de la finance ou du commerce électronique, tels que les sites Web gouvernementaux.
"Si vous pensez au niveau de données que vous pourriez accumuler sur un site gouvernemental -- c'est certainement lucratif -- vous pouvez les revendre; Il existe des formes de fraude assez directes que l'on peut commettre en fonction de l'agence gouvernementale concernée", a-t-il déclaré. "Vous savez que certains éléments du secteur public se sont livrés à d'énormes fraudes."
Couverture connexe
Qu’est-ce que l’IoT? Tout ce que vous devez savoir dès maintenant sur l’Internet des objets
L'Internet des objets expliqué: Qu'est-ce que l'IoT et où il va ensuite.
L'Internet des objets? C'est vraiment un robot géant et on ne sait pas comment le réparer
La sécurité informatique est désormais tout ce qui concerne la sécurité, mais le protocole ne suit pas les risques, prévient un expert en sécurité.
Problèmes de sécurité de l’Internet des objets: des consommateurs plus intelligents peuvent-ils sauver l’IoT du désastre ?
Si les consommateurs prennent conscience des risques liés aux appareils IoT non sécurisés, ils pourraient empêcher les cyberattaques.
17 façons dont l'Internet des objets change le monde (TechRépublique)
L'IoT a un impact profond sur les transports, la durabilité, la fabrication, les services urbains et bien plus encore. Voici 17 entretiens vidéo avec des leaders technologiques.
L'IoT dans le monde réel: cinq principaux cas d'utilisation (TechRépublique)
Le nombre et la variété des initiatives IoT en entreprise augmentent, mais Gartner affirme que la plupart des entreprises restent encore à l'écart. Voici quelques cas d’utilisation convaincants et ce que les entreprises peuvent en retenir.