Die Leistungsfähigkeit des passiven Betriebssystem-Fingerprintings für eine genaue Identifizierung von IoT-Geräten

Schätzungen zufolge wird die Zahl der IoT-Geräte in Unternehmensnetzwerken und im gesamten Internet bis zum Jahr 2030 29 Milliarden erreichen. Dieses exponentielle Wachstum hat die Angriffsfläche unbeabsichtigt vergrößert. Jedes miteinander verbundene Gerät kann potenziell neue Möglichkeiten für Cyberangriffe und Sicherheitsverletzungen schaffen. Das Mirai-Botnetz hat genau das bewiesen, indem es Tausende anfälliger IoT-Geräte nutzte, um massive DDoS-Angriffe auf kritische Internetinfrastrukturen und beliebte Websites zu starten.

Um sich effektiv vor den Risiken der IoT-Ausbreitung zu schützen, sind kontinuierliche Überwachung und absolute Kontrolle von entscheidender Bedeutung. Dies erfordert jedoch eine genaue Identifizierung aller IoT-Geräte und Betriebssysteme (OS) im Unternehmensnetzwerk. Ohne dieses Wissen mangelt es den IT- und Sicherheitsteams an der notwendigen Transparenz und dem nötigen Verständnis, um gezielte Sicherheitskontrollen effektiv umzusetzen, Netzwerkaktivitäten zu überwachen, Anomalien zu erkennen und potenzielle Bedrohungen abzuschwächen.

Normalerweise können Administratoren Geräte und Betriebssysteme anhand eindeutiger Geräte-IDs identifizieren, die von Software-Agenten zugewiesen werden, die auf Netzwerkendpunkten ausgeführt werden und Informationen zur Geräteidentifizierung sammeln. Allerdings ist es möglicherweise nicht möglich oder machbar, solche Agenten auf allen Betriebssystemen zu installieren, insbesondere nicht auf denen, die in eingebetteten Systemen und IoT-Geräten verwendet werden. Das liegt daran, dass IoT-Geräte für die Ausführung bestimmter Funktionen konzipiert sind und häufig über begrenzte Ressourcen verfügen – Rechenleistung, Arbeitsspeicher und Datenspeicher. Ihnen fehlt oft die Fähigkeit, zusätzliche Software-Agenten zu unterstützen.

Aus diesen Gründen brauchen wir einen passiven Ansatz zur Identifizierung, der keine Softwareinstallationen erfordert und genauso gut mit Systemen funktioniert, die individuell angepasst und reduziert werden, um spezifische IoT-Geräteanforderungen zu erfüllen. Eine dieser Methoden ist das netzwerkbasierte Fingerprinting und das passive OS-Fingerprinting.

In der Praxis ähnelt das passive OS-Fingerprinting dem Versuch, ein Profil von Personen ohne direkte Interaktion zu erstellen, einfach anhand ihres Aussehens und Verhaltens. Ebenso verrät die Art und Weise, wie ein Gerät mit dem Netzwerk interagiert, viel über seine Identität, seine Fähigkeiten und potenziellen Risiken. Anstatt einen Software-Agenten zu installieren, umfasst das passive OS-Fingerprinting die Analyse von Netzwerkverkehrsmustern und Verhaltensweisen, die von den Geräten erzeugt werden, um ihr Betriebssystem zu bestimmen.

Diese Methode basiert auf etablierten Techniken und Fingerabdruckdatenbanken, die Verkehrsmuster und Verhaltensweisen speichern, die für verschiedene Betriebssysteme spezifisch sind. Beispielsweise können die spezifischen Optionen, die in TCP-Headern oder DHCP-Anfragen (Dynamic Host Configuration Protocol) festgelegt sind, zwischen den Betriebssystemen variieren. Beim OS-Fingerprinting werden im Wesentlichen die Netzwerkverkehrsmuster und -attribute eines Geräts mit bekannten Betriebssystemprofilen abgeglichen und der Datenverkehr entsprechend klassifiziert.

Für das OS-Fingerprinting können mehrere Netzwerkprotokolle verwendet werden:

Trotz ihrer Einschränkungen kann die Analyse von Verhaltensweisen und Attributen für mehrere Protokolle über die Netzwerkebenen hinweg bei der genauen Geräteidentifizierung hilfreich sein. Administratoren können den Fingerabdruck des Betriebssystems nutzen, um fundierte Entscheidungen hinsichtlich der Zugriffskontrolle und Sicherheitsrichtlinien zu treffen.

Angesichts der raschen Ausbreitung von IoT-Netzwerken und der damit einhergehenden Schwachstellen kann OS-Fingerprinting für die passive Geräteidentifizierung hilfreich sein. Das manuelle Betriebssystem-Fingerprinting ist jedoch eine entmutigende Aufgabe, die umfassende Domänenkenntnisse und Fachkenntnisse erfordert.

Die größte Herausforderung ist die Skalierbarkeit. Es ist unmöglich, eindeutige Kennungen für Tausende von Verkehrsflüssen in Unternehmensnetzwerken manuell zuzuordnen. Um diese Herausforderung zu meistern, können Unternehmen die Ressourcen und den Umfang eines cloudbasierten, konvergenten Netzwerk- und Sicherheitsstapels nutzen. Ein Cloud-nativer Sicherheits-Stack wie SASE (Secure Access Service Edge) oder SSE (Secure Service Edge) kann auf die erforderlichen Ressourcen zugreifen und Algorithmen für maschinelles Lernen und statistische Analysen ermöglichen, um Muster und Verhaltensweisen aus großen Mengen an Netzwerkverkehrsdaten zu extrahieren.

Konvergierende Netzwerk- und Sicherheitsfunktionen können die automatisierte Erfassung und Korrelation von Netzwerk- und Sicherheitsdaten aus mehreren Quellen ermöglichen, z. B. Intrusion-Detection-Systemen, Firewall-Protokollen und Endpunktsicherheitslösungen, um einen Überblick über die Netzwerkaktivität und ihre Beziehung zu Betriebssystemen und IoT-Geräten zu erhalten .

Konvergenz erleichtert die automatisierte Identifizierung und Klassifizierung von Kunden anhand ihrer einzigartigen Merkmale. Schließlich kann eine zentrale Verwaltungskonsole dazu beitragen, den Identifizierungs- und Analyseprozess zu rationalisieren und sofortige Maßnahmen in Bezug auf Zugriffskontrolle und Sicherheitsrichtlinien zu ermöglichen.