Zonder nood aan endpoint-software kan Microsoft Defender for IoT voortaan onzuiverheden in IoT- en OT-apparaten scannen via firmware-analyse.
Tal van IoT- en OT-hardware hebben vaak het nadeel dat ze niet bepaald lang worden ondersteund door de fabrikant. Resultaat: ze draaien op oude, ongepatchte SSH-servers, wat hen een doelwit maakt voor hackers. Netwerksegmentering kan veel ellende voorkomen, maar Microsoft voegt binnen Defender for IoT een extra element toe voor meer controle: firmware-analyse.
IoT- en OT-toestellen hebben een gebrek aan visibiliteit en werken vaak als een soort van black box waar je nooit weet hoeveel cruciale informatie erin zit. Denk bijvoorbeeld aan welke softwareniveau’s, patches, kwetsbaarheden, en nog meer.
Door een niet-versleutelde Linux-gebaseerde firmware-image van de vendor te vergelijken met de versie die live draait binnen het toestel, kan je een aantal analyses doorvoeren volgens Microsoft waaronder:
- Softwarepakketten en kwetsbaarheden: de analyse maakt een lijst van opensource-pakketten waarmee fabrikanten componenten kunnen traceren en kwetsbaarheden detecteren via gepubliceerde CVE’s.
- Binary-analyse: verder kijken dan de analyse van bestaande kwetsbaarheden. De tool kijkt naar de constructie van code en volgt security-normen zoals Stack Canaries die de security-hygiëne meten en binary-uitbuitingrisico’s.
- Zwakke accounts en crypto: de firmware-analyse gaat op zoek naar zwakke accounts zoals bijvoorbeeld hardcoded gebruikersnamen en wachtwoorden.