Auch dieses Jahr habe ich die CPX in Wien besucht. Spannend waren wie jedes Jahr die Round-Tables, an denen Entwickler zeigen, woran sie gerade arbeiten. Check Point hatte bereits an der letzten CPX die Vision formuliert, IoT Devices umfassend schützen zu wollen. Zum einen sind wir umgeben von IoT und zum anderen gab es bereits grosse Betriebsstörungen, welche auch ausserhalb der Fachmedien für Schlagzeilen sorgten. Bekanntester Vertreter war in jüngster Vergangenheit wohl WannaCry, der unter anderem auch Röntgengeräte ausser Betrieb setzte. Zudem prognostiziert Gartner 2020 Ausgaben weltweit von ca. 2.5 Milliarden $ für IoT Security. Sich dem Thema anzunehmen, ist also sicher nicht verkehrt. Check Point hat nun einen konkreten Blick auf die Umsetzung gewährt. Sie stützen sich auf vier Komponenten, wobei die ersten drei davon meiner Meinung nach nicht unbedingt als bahnbrechend zu bezeichnen sind:
-
- SmartCenter Management: Soll die Möglichkeit bieten, dynamische IoT-Objektkategorien in Rules zu verwenden und damit nur das zu erlauben, was zum Beispiel eine Kamera an Kommunikation wirklich benötigt.
- Virtual Patching aka IPS, welche IoT Devices, die sich hinter einem Gateway befinden, vor bekannten nicht gepatchten Vulnerabilities schützt.
- IoT Discovery Engine, welche IoT Devices und deren Firmware, schwache/bekannte Credentials, Fehlkonfiguration, verdächtige Domains erkennt, kategorisiert und unter anderem ein Riskrating der bekannten Schwachstellen gemäss Mitre CVE’s vornimmt. Das machen andere Hersteller auch. Schön, dass man das künftig mit Check Point auch kann.
Mag sein, dass gewisse Firmen ihre IoT Devices nicht kennen und alle möglichen und unmöglichen Devices im selben Netz betreiben. Solchen Firmen hilft dieses IoT Discovery und dynamische Rules aufgrund der erkannten Kategorien. Natürlich würde ich solchen Firmen als Erstes raten, ihr Chaos Gewurstel «Design» zu überdenken. Netzwerk-Segmentierung, Zero Trust, Monitoring und Patch Management sind die Stichworte, das Thema anzugehen. IPS und Antibot sehe ich nicht nur, aber insbesondere für solche Netze als Selbstverständlichkeit. Mein Rat bezieht sich auf Best Practice und ist in dem Sinne auch nicht bahnbrechend.
4. IoT Nano Agent
Die vierte Komponente hat mich aber einigermassen beeindruckt. Check Point setzt als vierte Komponente auf «Nano Agents». Davon hatten sie bereits letztes Jahr gesprochen, es war aber noch nicht klar, wie sie das genau umsetzen wollten. Sie hatten davon gesprochen, Layer 2 Devices einzusetzen, welche transparent vor ein IoT-Gerät gehängt würden, den Traffic per VPN mit einem Check Point Gateway inspizieren und wieder zurück auf diesen Nano Agent ins ursprüngliche Netz geschickt werden sollte. Diese Idee hat man offensichtlich wieder verworfen. Der Nano Agent, den der Entwickler dieses Jahr vorgestellt hatte, ist ein Stück Code in der Firmware eines IoT Devices. Dieses Stück Code soll Open Source sein und auf GitHub zur Verfügung gestellt werden. Der Nano Agent soll dann beliebigen Code von Check Point nachladen können. Dieses Stück Code, oder eben der Nano Agent, überwacht die Aktivitäten, welche auf dem Gerät ausgeführt werden und unternimmt je nachdem Aktionen dagegen. Der Entwickler hat in einer Life Demo einen SoHo Router gezeigt. Zuerst hat er sich ohne aktiven Nano Agent per Exploit eine Root Shell auf dem Router verschafft. Mit eingeschaltetem Nano Agent konnte er den Exploit zwar immer noch ausführen und sich eine Root Shell verschaffen, aber er wurde vom Nano Agent unverzüglich wieder rausgekickt. Das heisst, die Vulnerability bleibt angreifbar, der Nano Agent sorgt aber dafür, dass sie nicht ausgenützt werden kann.
Revolution? – Cancelled!
Die Idee ist aus technischer Sicht bestechend. Vor allem für Systeme, welche nicht hinter einer Firewall mit IPS geschützt und nicht ständig mit neuer Firmware aktualisiert werden können. Doch das grösste Problem wird sein, dass sich wohl nicht jeder Hersteller von Check Point davon überzeugen lassen wird, diesen Nano Agent in die eigene Firmware einzupflegen. Gewisse Hersteller sind ja gleichzeitig auch Konkurrenten, andere haben gar kein Interesse mehr Code auf die üblicherweise knapp bemessenen Ressourcen zu laden. Es gibt für die Hersteller wohl zig Gründe den Nano Agent nicht in die Firmware einzupflegen. Klar könnten Hersteller den Nano Agent als Verkaufsargument verwenden. Vielleicht wird es DIE Revolution in der IoT Security? Es wird wohl grosse Überzeugungsarbeit von Check Point brauchen, um diese Nano Agents auf Kameras, Router, Smartmeter oder irgendwelchen Smarten Sensoren platzieren zu können. Die Idee wird wohl an der schieren Menge von Herstellern und deren eigener Agenda scheitern.
Ungebrochene Innovationskraft
Auch wenn sich die Idee nicht durchsetzen wird, Check Point Software Technologies ist und bleibt aus meiner Warte innovativ. Zum Beispiel habe ich an einem anderen Round-Table gesehen, dass sie einen Nano Agent für Nginx und Apache rausbringen mit der Funktion eines WAAP (Web Application and API Protection). Es bleibt also spannend. Mal sehen, welche Ideen sie bis nächstes Jahr wieder aushecken.
Links
Der Beitrag Check Points Vision für IoT Security erschien zuerst auf Tec-Bite.