Dat zelfs de landelijke televisiejournaals er aandacht aan besteden is een duidelijk signaal dat er veel mis is met de beveiliging van het Internet of Things. “Het probleem is dat veel IT-afdelingen nog niet goed weten hoe zij ‘machines identities’ afdoende kunnen beschermen tegen misbruik door cybercriminelen”, vertelt Jeff Hudson, CEO van Venafi, in een interview. Daarmee komt niet alleen IoT in gevaar, maar in feite onze gehele digitale economie, stelt hij. Voor Venafi was dat aanleiding om het zogeheten Machine Identity Protection Development Fund in het leven te roepen.
Hudson kan het niet goed begrijpen. Waarom investeren we als overheden en bedrijfsleven wereldwijd meer dan 8 miljard dollar per jaar aan het beschermen van de menselijke gebruikers in netwerken? Maar trekken we tegelijkertijd nauwelijks budget uit voor het beveiligen van machines.
Twee actoren
“In een netwerk hebben we te maken met twee – laat ik ze maar noemen – actoren: mensen en machines”, vertelt Hudson. “Mensen maken gebruik van inlognamen en wachtwoorden om zichzelf te identificeren bij machines. Doen zij dat op correcte wijze, dan krijgen zij toegang tot netwerken en data. Machines dienen zich uiteraard ook te identificeren bij elkaar. Maar dat doen zij niet aan de hand van inlognamen en wachtwoorden, maar met certificaten en sleutels.”
“We weten allemaal dat het aantal machines in netwerken zeer sterk groeit. Wat ik echter niet begrijp is dat we jaarlijks miljarden uitgeven aan het beschermen van de menselijke actoren in netwerken, maar bijna niets investeren in security voor machines. Criminelen realiseren zich dit maar al te goed. Zij steken steeds meer tijd, energie en geld in het stelen van wat we maar ‘machine identities’ zullen noemen. Dat gebeurt terwijl ze daarnaast ook doorgaan met het bemachtigen van menselijke identiteiten. Want laten we duidelijk zijn: alle identiteiten zijn waardevol en dus aantrekkelijke doelwitten.”
Development-fonds
Veel bedrijven en overheidsorganisaties lijken zich nog onvoldoende te realiseren hoe waardevol machine identities zijn en welke risico’s zij lopen als zij deze niet voldoende beschermen. “Dat is heel gevaarlijk, want daarmee loopt onze gehele digitale economie gevaar”, meent Venafi’s CEO. “Daarom hebben we het Machine Identity Protection Development Fund opgezet. Dit fonds is gericht op het sneller integreren van intelligentie voor machine-identiteiten in allerlei apparatuur en machines binnen bedrijven.”
Het fonds beschikt momenteel over 12,5 miljoen dollar. Developers, consultants, system integrators, start-ups en cybersecurity-leveranciers kunnen een beroep doen op deze middelen voor het bouwen van integraties die machine identities beter beschermen. Het doel dat Venafi met dit fonds nastreeft, zo licht Hudson toe, is dat zoveel mogelijk organisaties ‘machine identity intelligence’ in hun oplossing inbouwen, ongeacht de vraag hoe de rest van de technologie-infrastructuur van hun systeem of omgeving er uit ziet.
Gebrek aan beveiliging
“Ik zie drie belangrijke ontwikkelingen waar we dit jaar mee te maken zullen hebben en die hebben allemaal te maken met machine identities. Allereerst zien we nu al een explosieve groei van het aantal IoT-apparaten en een sterk toenemend gebruik van cloud. Daardoor groeit dus ook het aantal machine identities in het netwerk enorm. Voor het komende jaar verwacht ik dat die groei alleen nog maar zal versnellen. Kijk maar de voorspelling van Gartner dat in 2020 – dat is dus volgend jaar – al meer dan 20 miljard IoT-apparaten in gebruik zullen zijn. Voor de beeldvorming: dat is twee maal zoveel als nu.”
Een tweede trend die Hudson hier genoemd wil hebben is de variatie in machine identities die beschermd zullen moeten worden. “Die variatie wordt groter en groter. Het aantal soorten en typen zal drastisch toenemen. Neem alleen al de adoptie van AI en bijvoorbeeld blockchain. Hierdoor krijgen we te maken met almaar complexer wordende risico’s rond het beveiligen van machine identities. Dat zal allemaal op een of andere manier beheerd moeten worden.”
Dramatische toename
Een derde trend die hij wil noemen is snelheid. “Het beveiligen van machine identities moet sneller. Zeker nu we zien dat de adoptie van DevOps sterk doorzet. Daardoor wordt het voor developers vrijwel onmogelijk om SLA’s te onderhouden en policies rond het beveiligen van machine identities te creëren. Dit hele proces zal geautomatiseerd moeten worden.”
“Daarnaast verwachten wij – maar dat is eigenlijk een optelsom van de drie trends die ik genoemd heb – een verdere toename van het aantal cyberaanvallen waarbij gebruik wordt gemaakt van versleuteld verkeer. Dit type aanvallen nam de afgelopen jaren al sterk toe en voor de komende jaren verwacht ik een verdere groeiversnelling. Er is nu eenmaal sprake van een toegenomen complexiteit, snelheid, omvang en – zeg maar ‘capabilities’ van machines en hun identiteiten. Dat zal leiden tot een dramatische toename van het aantal aanvallen.”
Europese partners
Hudson wil graag benadrukken dat het eerder genoemde ontwikkelfonds ook voor Europese partijen open staat. “We hebben nu afspraken gemaakt met drie bedrijven: twee in Europa en één in de VS. Jetstack en OpenCredo zijn afkomstig uit de UK, terwijl Cygnacom Amerikaans is. Ik verwacht dat we binnenkort nog een aantal namen bekend kunnen maken.”
De Venafi-voorman heeft een duidelijk beeld voor ogen wat hij met het fonds wil: “We richten ons nadrukkelijk op zowel nieuwe omgevingen als op legacy-systemen. Ik verwacht dat developers zich zullen concentreren op integraties met DevOps-tools en -frameworks. Maar ik ga er ook vanuit dat er de nodige integraties tot stand zullen worden gebracht met cloud providers en met providers van visualisatie-tools.”
Maar denk ook aan de kansen die er liggen als we integraties tot stand brengen met Mobile Device Management, Next Generation Firewalls, IT Security Management, mainframe providers en bijvoorbeeld Secure Shell (SSH), geeft hij aan. Bovendien is het van cruciaal belang dat we via het fonds ‘machine identity protection’ kunnen inbouwen in nieuwe technologieën als blockchain, IoT, artificial intelligence en machine learning. Laten we bovendien code signing niet vergeten, zegt Hudson.