Как защитить устройства Интернета вещей: руководство по проблемам и передовым методам

В недавнем учебнике по безопасности Gartner говорится, что 80% организаций используют Интернет вещей (IoT) для бизнеса. В документе также сообщается, что 20% этих предприятий уже сталкивались с атаками на основе IoT за последние три года. Несмотря на эти отчеты, менее трети специалистов по безопасности достаточно уверены в безопасности устройств IoT.

Некоторые ИТ-специалисты не знакомы с рисками в своей среде IoT или способами их снижения. В этой статье я поделюсь некоторыми рекомендациями по защите устройств IoT в вашей организации. Мы начнем с обсуждения некоторых основных уязвимостей IoT. Затем мы перейдем к некоторым проблемам, с которыми вам придется столкнуться при внедрении безопасности IoT, и продолжим использовать передовой опыт.

Звучит отлично? Я начну с трех главных уязвимостей, подвергающих риску ваш бизнес.

Топ-3 уязвимости IoT, подвергающие риску ваш бизнес

К 2030 году общее количество устройств, подключенных к IoT, может достичь 29,4 млрд. В свою очередь, предприятия продолжают накапливать IoT-устройства ускоренными темпами. Если вы были одной из этих фирм, вы должны знать о рисках, связанных с владением такими устройствами. Вот 3 основные уязвимости, которые сегодня затрагивают многие устройства IoT.

1. Слабая аутентификация

Многие устройства, подключенные к Интернету вещей, имеют слабую аутентификацию. Некоторые используют жестко запрограммированные пароли, встроенные в исходный код продукта. К сожалению, вы не можете изменить их на значение, известное только вам. Некоторые устройства IoT имеют изменяемые пароли, но они выпускаются с заводскими значениями по умолчанию. К сожалению, большинство людей не утруждают себя сменой паролей по умолчанию.

Более того, киберпреступники могут найти в даркнете запрограммированные и заводские пароли по умолчанию. По сути, злоумышленник может скомпрометировать и превратить устройство в оружие, если он получит эти пароли. Когда недостаточно защищенные устройства IoT попадают в ботнет, они могут запускать DDoS-атаки. Следовательно, эти атаки вызывают серьезные простои для целевых предприятий, что приводит к потере доходов и возможностей.

Это метод атаки, используемый создателями Mirai. Этот печально известный ботнет IoT запустил одну из крупнейших DDoS-атак в истории. Mirai взламывала устройства IoT, такие как маршрутизаторы и камеры видеонаблюдения, используя пароли по умолчанию. Другие боты IoT используют методы и код атаки Mirai даже сегодня.

2. Устаревшие программные компоненты

Многие производители устройств, подключенных к Интернету вещей, отказываются от мер безопасности, чтобы выпускать продукты быстрее, чем их конкуренты. Кроме того, некоторые из этих производителей используют устаревшие программные компоненты/библиотеки.

Проблема в том, что они больше не получают патчи безопасности. Почти невозможно защитить неисправимые устройства IoT. Следовательно, устройства, использующие устаревшее программное обеспечение с уязвимостями, становятся легкой мишенью для кибератак.

В 2019 году FDA предупредило отрасль здравоохранения о потенциальных рисках, связанных с конкретными медицинскими устройствами, использующими IPnet. IPnet, сторонний программный компонент, больше не поддерживается его первоначальным поставщиком. Тем не менее, он по-прежнему используется некоторыми производителями медицинского оборудования. Уязвимости в коде IPnet делают устройства IoT, использующие его, уязвимыми для атак типа «отказ в обслуживании» (DoS) и удаленного выполнения кода.

Пользователи не сообщали об атаках, связанных с этой конкретной уязвимостью. Но это не значит, что эти атаки никогда не могли произойти. Что еще хуже, так это то, что атака на неисправимое медицинское устройство или оборудование может поставить под угрозу жизни людей, а не только ИТ-системы и бизнес-операции.

3. Небезопасные сети

Устройства IoT часто развертываются в корпоративных сетях вместе с другими ИТ-активами. Следовательно, если ваша сеть недостаточно защищена, инцидент безопасности, затрагивающий один компонент в этой сети, может также повлиять на другие. Именно так распространяются компьютерные черви и другие подобные вредоносные программы. Устройства IoT подвержены тем же типам уязвимостей, что и сетевые устройства, поскольку они осведомлены о сети.

Помните Мирай? В одном конкретном варианте Mirai использовались эксплойты, нацеленные на сетевые маршрутизаторы и устройства IoT. Как и в случае с другими вариантами Mirai, эта конкретная вредоносная программа имела возможности DDoS. Это означает, что если ему удастся перехватить ваши маршрутизаторы и устройства IoT, он может использовать их для запуска DDoS-атак.

Если ваши устройства совершат DDoS-атаку, они будут потреблять драгоценную пропускную способность сети и вычислительные ресурсы. Это может повлиять на производительность вашей сети и систем, которые ее используют. Более того, ваша репутация пострадает, если атаку отследят до вашей сети и неадекватно защищенного IoT-устройства.

Многие организации уже имеют политики безопасности, снижающие риски в соответствующих ИТ-средах. К сожалению, устройства IoT и производственная отрасль IoT сопряжены с проблемами, которые могут помешать инициативам в области безопасности.

Далее я рассмотрю 3 основные проблемы реализации безопасности IoT.

3 основные проблемы реализации безопасности IoT

Когда вы начнете защищать свою среду IoT, вы поймете, что задача не совсем простая. Вот некоторые проблемы, с которыми вы обязательно столкнетесь.

1. Отсутствие видимости устройств IoT в организации

Устройства IoT, такие как интеллектуальные системы ОВКВ, интеллектуальные замки, интеллектуальные камеры видеонаблюдения и т. д., не классифицируются как ИТ-активы. Следовательно, люди покупают эти устройства без знаний в области ИТ. Когда это произойдет, ваша ИТ-команда не сможет отслеживать и контролировать эти устройства. Обычно это происходит из-за их очень ограниченного понимания того, как работают эти устройства. Это не совсем их вина; большинство функций этих устройств (например, охлаждение и обогрев) не имеют ничего общего с ИТ.

Большинство ИТ-специалистов не знают, какие типы данных собирают или генерируют эти устройства, не говоря уже о том, где они их хранят. Хранятся ли данные локально или хранятся в общедоступном или частном облаке? Это отсутствие видимости обычно непреднамеренно исключает эти устройства из действий по снижению риска. Скорее всего, вы исключаете устройства IoT из сканирования уязвимостей, управления исправлениями, аудита безопасности, тестов на проникновение и т. д. Действительно, вы не можете защитить то, чего не знаете.

2. Отсутствие стандартов безопасности IoT

В настоящее время никакие стандарты безопасности не регулируют разработку, тестирование, производство и все другие процессы в производстве устройств IoT. Так было всегда во всех зарождающихся технологиях. Продавцы спешат выпустить продукты как можно быстрее, чтобы захватить долю рынка. Таким образом, функции, функции и производительность имеют приоритет над безопасностью.

Камнем преткновения может стать применение существующих политик и аудитов, основанных на стандартах, к устройствам IoT. Позвольте привести пример. Управление исправлениями является общим требованием стандартов безопасности, таких как ISO 27001, приложение A, PCI DSS и NIST Cyber Security Framework. Однако, даже если у вас есть политика управления исправлениями, вы не можете применить эту политику к устройствам IoT. Это потому, что многие из этих устройств вообще не подлежат исправлению.

3. Плохая или несуществующая практика безопасности поставщиков

Поставщики продолжают придерживаться своей интерпретации безопасности, не придерживаясь стандартов безопасности. Это при условии, что они вообще заботятся о безопасности. Это может быть проблемой для поставщиков с поверхностным пониманием безопасности. Например, предположим, что ваш поставщик IoT признает важность установки исправлений. Они позволяют своему продукту IoT поддерживать обновления прошивки. Хотя исправление помогает, его может быть недостаточно, если продукт, который вы устанавливаете, не поддерживает подписывание встроенного ПО.

Подписание встроенного ПО позволяет разработчикам ставить цифровую подпись обновлений встроенного ПО по мере их поступления на устройство. Затем устройство может проверить подпись, чтобы убедиться, что обновление получено из надежного источника. По сути, злоумышленники могут захватить ваши процессы обновления и настроить их против вас без этой возможности. Они могут отправлять несанкционированные и вредоносные обновления, ставя под угрозу ваши устройства IoT. Это всего лишь одна из многих игнорируемых практик безопасности.

Хорошо, теперь, когда вы знаете об уязвимостях и проблемах безопасности в этих средах, я уверен, что вы хотите знать, как защитить устройства IoT. Далее я расскажу о некоторых передовых методах, которые вы можете применить.

5 лучших практик безопасности IoT и зачем они вам нужны

Вот несколько рекомендаций, которые помогут вам использовать только безопасные устройства IoT.

1. Выбирайте поставщиков, которые придают большое значение безопасности

Осведомленность поставщиков о кибербезопасности, даже в сфере IoT, повышается. Таким образом, вы можете добавить безопасность в качестве основного критерия при выборе IoT-устройства. Затем ваш сотрудник по закупкам может, например, отдать приоритет продуктам, поддерживающим подпись встроенного ПО, избегая при этом продуктов с жестко закодированными паролями.

Очевидно, что вы можете свести к минимуму риски в своей среде Интернета вещей, купив безопасные устройства Интернета вещей. Кроме того, это упрощает процесс включения их в ваши инициативы по обеспечению безопасности. Все лучшие практики в этом списке легко использовать, если ваши устройства IoT уже имеют встроенные атрибуты безопасности.

2. Обнаруживайте, отслеживайте и контролируйте свои устройства IoT

Это одна из первых вещей, которые вы должны сделать для защиты устройств IoT. Обнаруживайте, отслеживайте и контролируйте каждое устройство IoT в вашей сети. Если вы найдете решение, которое автоматизирует эти процессы, это идеально. Но если нет, вам придется выполнять эти задачи вручную.

Ваша ИТ-команда обычно отвечает за управление ИТ-активами. Это включает в себя обнаружение, отслеживание и мониторинг ИТ-активов. Следовательно, команда может взять на себя эту ответственность. Чтобы предупредить их с самого начала, вы можете привлекать их к каждой закупке устройств IoT. Затем, когда вы получите полную информацию о своих устройствах IoT, вам будет проще применять передовые методы.

3. Внедрите строгую политику аутентификации

Жесткая политика аутентификации требует, чтобы все устройства, системы, приложения и т. д. были защищены надежными учетными данными. Что это значит? Предположим, что ваши устройства, подключенные к Интернету вещей, используют пароли для аутентификации, при условии, что они могут быть изменены. В этом случае вы должны назначить им длинные и сложные пароли. По сути, вы должны избегать коротких и легко угадываемых паролей, таких как «123456» или «пароль». Это также означает замену заводских паролей по умолчанию новыми значениями.

Что еще более важно, вы должны убедиться, что только авторизованные пользователи знают пароли к устройствам IoT, за которые они несут ответственность. Строгая политика аутентификации затрудняет взлом злоумышленникам.

4. Примите управление исправлениями

Управление исправлениями — это систематический подход к применению обновлений программного обеспечения, также называемых исправлениями. Многие исправления включают в себя обновления безопасности, которые устраняют известные уязвимости в программном обеспечении, которое вы исправляете. Поскольку у вашей ИТ-команды, скорее всего, уже есть программа управления исправлениями, они могут включить ваши устройства, подключенные к Интернету вещей, в свои расписания установки исправлений. Эту передовую практику легче внедрить, если вы уже установили передовую практику № 1.

Поскольку вы не можете обнаружить все уязвимости одновременно, управление исправлениями должно стать постоянной практикой. Каждое обновление безопасности должно устранять новый набор уязвимостей. По сути, вы будете иметь относительно более безопасные устройства IoT после каждого этапа установки исправлений.

5. Применяйте лучшие практики сетевой безопасности

Сетевая безопасность включает в себя широкий набор передовых методов, включая создание сегментации сети, шифрование данных в движении, брандмауэры и т. д. Ваша ИТ-служба или специальная группа по кибербезопасности обычно реализует сетевую безопасность.

Технически не все методы сетевой безопасности обеспечивают защиту устройств IoT на индивидуальном уровне, как это делает управление исправлениями. Вместо этого, поскольку устройства IoT обмениваются данными и выполняют многие из своих задач через сеть, вы можете защитить эти устройства, защитив используемую ими сеть.

Теперь давайте подытожим то, что мы рассмотрели.

Заключительные слова

По мере того, как Интернет вещей укрепляет свои позиции в бизнес-среде, важно понимать связанные с ним риски. Что еще более важно, предприятия должны знать, как защитить устройства, сети и процессы, которые их используют, Интернета вещей.

В этой статье я обсудил некоторые передовые методы защиты устройств IoT. Я подчеркнул важность обеспечения видимости, строгой аутентификации, управления исправлениями, сетевой безопасности и безопасности поставщиков. Если вы используете такие устройства в своем бизнесе, я рекомендую вам принять эти передовые методы и узнать больше об обеспечении безопасности.

Если вы столкнулись с какими-либо вопросами по пути, вы найдете дополнительную информацию в разделах часто задаваемых вопросов и ресурсов ниже.

Часто задаваемые вопросы

Могут ли брандмауэры защитить устройства IoT?

Да, некоторые типы брандмауэров решают проблемы безопасности, связанные с устройствами IoT. Фактически, некоторые брандмауэры нового поколения (NGFW) имеют встроенные функции, позволяющие ИТ-администраторам создавать правила брандмауэра на основе трафика IoT.

Каков наиболее практичный способ реализации шифрования данных в движении для устройств IoT в бизнес-сетях?

Когда дело доходит до обеспечения шифрования данных в движении: SSL/TLS или VPN. Последнее обычно требует возможности шифрования SSL/TLS на каждом конечном устройстве. К сожалению, многие устройства IoT не имеют такой возможности. Следовательно, более практично использовать VPN, например IPsec. Они поддерживают архитектуру site-to-site, которая применяет шифрование на шлюзах, а не на каждой конечной точке.

Как я могу обнаружить уязвимости в своих IoT-устройствах?

Один из способов обнаружить уязвимости в ваших IoT-устройствах — запустить тесты на проникновение. Эти тесты включают поиск уязвимостей при попытке использовать эти уязвимости так, как это делают хакеры. Вы можете нанять стороннюю команду, которая предлагает тестирование на проникновение в качестве услуги.

Почему безопасность облачных сетей важна в мире устройств IoT?

Многие устройства IoT используют облачные сервисы для хранения и анализа собранных данных, выполнения обработки, которую устройство не может выполнять, и т. д. Эти облачные сервисы расширяют поверхность, которую злоумышленники могут взломать. Вы можете снизить эти риски, внедрив облачную сетевую безопасность.

Повлияет ли приток IoT-устройств на производительность WAN?

Да, устройства IoT будут конкурировать с другими устройствами и ИТ-компонентами за пропускную способность глобальной сети. Чем больше у вас устройств, подключенных к Интернету вещей, тем сильнее их влияние на вашу сеть. Вы можете использовать оптимизацию WAN для решения проблем с производительностью сети.