Защита вашей сети в Интернете вещей (часть 2)

В части 1 этой статьи мы рассмотрели некоторые характеристики нового явления, известного как Интернет вещей, и обсудили необходимость нового подхода к проблемам безопасности, которые он приносит.

Текущее состояние безопасности IoT

Возвращаясь к отчету Tripwire, который упоминался в части 1, компания спонсировала исследование, которое было проведено Atomick Research среди ИТ-специалистов и директоров по информационной безопасности, ИТ-директоров и руководителей в нескольких критически важных инфраструктурных отраслях в США и Великобритании, а также удаленные работники, занятые в тех же отраслях. Некоторые результаты опроса были неожиданными и более чем тревожными.

Удаленная работа становится все более популярной в условиях неопределенной экономики, поскольку компании осознали, что это может сэкономить деньги за счет уменьшения потребности в физическом пространстве (и во многих случаях также затрат на оборудование, поскольку многие домашние работники используют свои личные компьютеры и устройства).. Сотрудникам это нравится, потому что это дает им больше гибкости и экономит деньги, которые были бы потрачены на бензин или другие расходы на дорогу до работы, снижает расходы на одежду, парковку, расходы на обеды и так далее.

Это беспроигрышная ситуация, за исключением, возможно, случаев, когда речь идет о безопасности. Когда сотрудники работают в помещении, компании имеют больший контроль над тем, что они подключают к корпоративной сети (хотя с тенденцией BYOD этот контроль уже не такой жесткий, как раньше). Когда сотрудники работают дома, они подключены как к своим домашним сетям, так и к корпоративной сети, поэтому нам нужно посмотреть, какие другие устройства используют эту домашнюю сеть и насколько эти устройства безопасны.

В большинстве домашних сетей к сети подключены принтеры и маршрутизаторы. У многих также есть игровые приставки и видеооборудование, такое как смарт-телевизоры. Все больше и больше теперь подключают домашние устройства безопасности и камеры наблюдения. Некоторые уже сделали все возможное и подключили (или подключили по беспроводной сети) новые бытовые приборы с поддержкой IP, такие как стиральные машины, сушилки и холодильники.

Отчет Tripwire показывает, что удаленные работники имеют в среднем более одиннадцати IoT-устройств в своих домашних сетях, и почти четверть из них признались, что подключали по крайней мере одно из этих IoT-устройств к своим корпоративным сетям. Но риск представляют не только сотрудники, которые работают удаленно или приносят с собой устройства BYOD. Мы также можем ожидать увидеть множество принадлежащих компании IoT-устройств, напрямую подключенных к корпоративной сети.

Проблема со всеми этими IoT-устройствами заключается в том, что их не так просто защитить, как более традиционные вычислительные устройства. Некоторые из них могут иметь очень ограниченные возможности конфигурации. Во многих случаях поставщики не выпускают регулярные обновления безопасности при обнаружении уязвимостей, как это делают традиционные поставщики программного обеспечения.

По-настоящему пугает то, что в ходе исследования 67% опрошенных руководителей заявили, что ожидают, что их заставят внедрить устройства IoT, несмотря на риски безопасности, для повышения эффективности бизнеса. Тем не менее, ИТ-специалисты, принявшие участие в опросе, в подавляющем большинстве продемонстрировали неуверенность в том, что даже те устройства IoT, которые уже находятся в их сетях, безопасны, при этом менее двадцати процентов заявили, что они уверены в безопасной конфигурации более новых и менее распространенных устройств IoT..

Большинство удаленных сотрудников получают доступ к корпоративной электронной почте или корпоративным документам из своих домашних сетей. Согласно опросу, семьдесят пять процентов сказали, что да, и это число возрастает до более чем восьмидесяти процентов для более крупных компаний (с годовым оборотом в полмиллиарда долларов и более), поэтому, хотя общее предположение может заключаться в том, что малые предприятия более подвержены риску от IoT в домашних сетях, похоже, что предприятия также очень подвержены риску.

Некоторые сотрудники могут даже не осознавать, что они подключают IoT-устройства к своим сетям. Многие устройства подключаются к USB-порту компьютера для зарядки аккумулятора (в качестве примера можно привести смарт-часы и фитнес-браслеты). Использование USB-эксплойтов является обычным явлением, поэтому не исключено, что вредоносное ПО может проникнуть в компьютеры через этот вектор атаки и оттуда заразить сеть компании, когда компьютер к ней подключается.

Вы можете подумать, что предприятия справятся с этой проблемой и разработают механизмы безопасности для работы с IoT. Согласно опросу, это не так для значительного числа компаний. Двадцать один процент ИТ-специалистов и двадцать три процента руководителей признали, что они действительно не знают; они заявили, что не имеют представления об уровнях защиты от угроз, связанных с IoT, которые в настоящее время существуют в их сетях. Только тридцать процентов ИТ-специалистов считают, что их организации технологически способны оценивать безопасность устройств IoT.

Это рисует довольно пессимистическую картину текущего состояния безопасности IoT, но также вызывает вопрос: что могут сделать организации, чтобы допустить неизбежное включение устройств IoT в свои сетевые среды, не подвергая эти сети риску?

Лучшие практики обеспечения безопасности в Интернете вещей

По мере роста Интернета вещей растут и проблемы безопасности и конфиденциальности. Федеральная торговая комиссия США (FTC) выпустила рекомендации для поставщиков, которые разрабатывают и продают устройства IoT, первое из которых заключается в том, чтобы с самого начала проектировать безопасность в устройствах, а не пытаться добавить ее позже.

Это, вероятно, один из самых важных вопросов; персональные компьютеры изначально задумывались и разрабатывались без особого внимания к безопасности, поскольку первые системы были автономными и часто не были подключены даже к локальной сети, не говоря уже о глобальной. С тех пор, как «появился» Интернет, поставщики программного и аппаратного обеспечения пытаются догнать конкурентов, и часто с далеко не оптимальными результатами. Крайне важно, чтобы мы не повторяли ту же модель с IoT.

Устройства IoT отличаются от традиционных компьютеров тем, что эти встроенные системы обычно имеют очень специфические и узко ограниченные цели. Это означает, что им нужны более ограниченные системные ресурсы и гораздо более простые интерфейсы. Это делает их более удобными для пользователя, но также делает их менее открытыми для сложных изменений конфигурации пользователями, которые могут сделать их более безопасными.

Поскольку эти устройства IoT не имеют большого объема дополнительного пространства для хранения, памяти и мощности процессора, добавление к ним надежной защиты может быть проблематичным. Шифрование, черные списки и другие механизмы безопасности часто требуют места для хранения и/или памяти/возможностей обработки, которые выходят за рамки встроенных в устройство. В отличие от обычного компьютера, вы не можете просто «открыть коробку» и добавить больше этих Ресурсы. Вот почему безопасность необходимо учитывать с самого начала стадии проектирования.

Стратегии, которые мы используем для защиты наших сетей от текущих угроз, также будут в значительной степени полезны для защиты от угроз, связанных с IoT, однако мы должны признать, что физический контроль над этими устройствами часто намного меньше, чем у нас есть над ними. традиционные системы и соответствующим образом планировать наши меры безопасности. Стратегия многоуровневой защиты будет еще более важной, чем когда-либо.

Поставщики IoT также должны осознавать, что они программное обеспечение, на котором работает устройство, а также само устройство, и что они несут ответственность перед своими клиентами за реагирование на отчеты об уязвимостях и поддержание устройств в актуальном состоянии так же, как традиционная операционная система. и поставщики приложений.

Есть много компаний, которые видят здесь потребность бизнеса и спешат ее удовлетворить. Кризис безопасности IoT представляет собой проблему как для давно существующих компаний, так и для новых стартапов. Например, Verizon запустила управляемую службу сертификатов, предназначенную для устройств IoT, в попытке расширить свой корпоративный бизнес. Служба выдает цифровые сертификаты для крупных развертываний IoT для проверки подлинности устройств. Bastille Networks, стартап, предлагает решения, которые используют прослушивание радиочастотных излучений для мониторинга устройств IoT в офисе.

Подходит ли ваш сетевой брандмауэр для защиты устройств IoT за ним? К сожалению, наверное, нет. Это связано с тем, что многие устройства IoT используют свои собственные протоколы, отличные от тех, которые вы видите в своей сети с традиционными компьютерами. Таким образом, сами устройства должны иметь межсетевые экраны на основе хоста, которые могут обрабатывать эти протоколы и обнаруживать вредоносную полезную нагрузку в пакетах, которые их используют. Чтобы защитить свою сеть в Интернете вещей, вам потребуется безопасность как на уровне устройства, так и на уровне сети.

Многие продукты IoT продаются небольшими компаниями, у которых может не быть бюджета и возможностей для обеспечения безопасности при сохранении низких цен для привлечения большего числа клиентов. Уязвимости безопасности были обнаружены во многих IoT-устройствах, от фитнес-трекеров до умных лампочек.

Осведомленность — это первый шаг к защите ресурсов вашей организации от хакеров, проникающих через черный ход устройств IoT. Один из наиболее важных шагов, который вы можете предпринять, — обеспечить адекватный мониторинг вашей сети, чтобы вы знали, какие устройства к ней подключаются, и избежать «неожиданного IoT», упомянутого в статье Forbes выше. Превосходное управление изменениями и контроль как никогда важны в мире, где буквально все находится в Интернете.

Резюме

Интернет вещей, как и большинство технологических разработок, будет иметь свои хорошие и плохие последствия. Трудно дать конкретные сведения о защите устройств IoT, потому что существует так много разных устройств, выполняющих очень много разных функций и использующих очень много разных протоколов. Главное — быть в курсе того, какие устройства подключены к вашей сети, и обеспечивать адекватную безопасность как на уровне сети, так и на уровне устройств. Не делайте ошибку, думая, что поскольку они не являются «настоящими компьютерами», они не представляют угрозы.