Une empreinte numérique pour contrôler l'accès au réseau
Grâce à des fonctions d'empreinte digitale IoT, les entreprises pourront identifier totalement les appareils IoT dépourvus des capacités de stockage ou de traitement nécessaires pour communiquer des informations d'identification complètes telles que le numéro de modèle ou même le type d'appareil.
Hier, le fournisseur de sécurité réseau Portnox a annoncé que son service Cloud NAC-as-a-Service comportait des fonctions d'empreinte digitale IoT pour permettre aux entreprises d'identifier et d'autoriser plus facilement les appareils sur leurs réseaux. Les fonctions d'empreinte digitale IoT ajoutent des techniques d'identification des appareils au produit de contrôle d'accès au réseau, notamment le regroupement des adresses MAC et le Gleaning DHCP (Dynamic Host Configuration Protocol). Le fournisseur de contrôle d'accès zero trust axé sur la sécurité des réseaux utilisent des techniques d'empreinte digitale IoT pour effectuer le profilage des appareils présents sur le réseau, mais qui sont incapables de communiquer des informations d'identification complètes comme le numéro de version, le modèle ou même le type d'appareil en raison d'un manque de stockage ou d'une puissance de calcul insuffisante.
L'IoT « fingerprinting » rassemble des informations sur les terminaux présents sur le réseau, sur leur utilisation et sur les personnes qui les utilisent. Il est spécifiquement utilisé pour les caméras, les téléviseurs, les imprimantes, les équipements médicaux et les terminaux d'usine. De nombreux appareils IoT de ce genre ne disposent pas d'une sécurité de niveau entreprise, un gros problème pour les ingénieurs réseau et les équipes de sécurité. « Nos clients et prospects sont très inquiets au sujet de ces appareils », a déclaré Denny LeCompte, CEO de Portnox. « Ils veulent s'assurer que seuls les bons appareils entreront dans le réseau. On constate également une prolifération croissante de l'informatique fantôme, c'est-à-dire le branchement d'un appareil sur le réseau à l'insu de l'équipe IT. Il peut s'agir d'un acte innocent, mais il peut aussi être utilisé ou réalisé par des attaquants ».
Sécurité accrue
Le produit principal de Portnox suit une liste blanche d'adresses MAC pour les appareils autorisés à se connecter à un réseau. Cependant, l'usurpation d'adresse MAC est toujours possible et les attaquants ont d'autres moyens de se cacher derrière les appareils IoT. « Un autre problème, c'est que même si les adresses IP et MAC sont disponibles, on ne sait pas de quel appareil il s'agit. L'empreinte digitale IoT rassemble des informations pour faire connaître à l'entreprise la nature de chaque appareil », a déclaré M. LeCompte.
« Grâce aux nouvelles techniques d'empreinte digitale IoT, les clients du service NAC-as-a-Service peuvent bénéficier de niveaux de sécurité supplémentaires pour leur réseau », a déclaré Portnox. Dans le regroupement d'adresses MAC, le processus de contrôle d'accès au réseau identifie les adresses MAC des appareils IoT. En utilisant des techniques d'apprentissage machine et en se référant aux bases de données de produits IoT, les types de dispositifs - y compris les modèles spécifiques - peuvent alors être identifiés. Certains appareils ont leur propre empreinte digitale - en d'autres termes, la capacité de stocker des informations sur eux-mêmes, ce qui permet à Portnox de recueillir passivement de nombreuses informations sur l'appareil. Si, par exemple, les capteurs de proximité ne sont pas en mesure de stocker des informations sur eux-mêmes, les routeurs Cisco ont des numéros de version intégrés dans Cisco IOS.
Comme couche supplémentaire de sécurité, les entreprises peuvent utiliser le Gleaning DHCP. Même si chaque demande DHCP contient les mêmes informations, chaque terminal le fait de manière légèrement différente, créant ainsi une empreinte digitale distincte. Ainsi, si l'on capture une requête DHCP d'un appareil, on peut identifier le type d'appareil. « En exploitant la combinaison des données recueillies par les capacités d'empreinte digitale de Portnox et les informations envoyées par les appareils eux-mêmes, les entreprises peuvent déterminer avec précision dans plus de 90% des cas si les appareils peuvent se connecter en toute sécurité à un réseau », a encore déclaré le CEO de Portnox.
Avantages du NAC-as-a-Service
Si une personne tente d'accéder à un réseau, que ce soit via un terminal filaire ou sans fil, le service NAC vérifie son identité et les niveaux d'accès autorisés sur le réseau. Il vérifie également la position de sécurité de l'appareil utilisé, en s'assurant qu'il exécute un antivirus, que les vulnérabilités sont corrigées et que les bons ports sont ouverts ou fermés. Si la posture de sécurité requise n'est pas respectée, le NAC-as-a-Service empêche l'accès du dispositif au réseau. « Nous contrôlons l'accès au réseau, au sans fil, à divers types d'applications, et l'accès aux applications. C'est une politique de confiance zéro par défaut, ce qui signifie qu'aucune personne inconnue ne peut accéder au réseau », a déclaré M. LeCompte.
Pas de surcoût
La fonction d'empreinte digitale IoT de Portnox ne sera disponible qu'avec l'offre entreprise de son NAC-as-a-Service et la nouvelle fonctionnalité ne fera pas l'objet d'un surcoût. Si une entreprise utilise déjà NAC-as-a-Service, les données d'empreinte digitale apparaîtront automatiquement. Le prix du NAC-as-Service est fixé à partir de 4 dollars par appareil et par mois. Portnox est en concurrence avec des fournisseurs de contrôle d'accès au réseau comme Cisco, HPE, Fortinet et Forescout. L'entreprise affirme que le fait d'être un fournisseur de solutions natives du cloud est son principal facteur de différenciation. « Les frais généraux de notre produit sont un facteur de différenciation, car il n'y en a pas beaucoup », a encore affirmé M. LeCompte.