Картинка

БЛОГ про

все цікаве у світі телекомунікацій

П'ять головних аспектів поганої безпеки інтернету речей

2017-10-14
Автор: Телесфера

Ринок безпеки інтернету речей до 2021 року досягне $ 37 млрд, відповідно до аналітичного звіту Marketsandmarkets.com. Де розростається хаос в сфері кібербезпеки, там і витрачаються великі гроші на забезпечення цієї безпеки.

На початку 2017 року експерти пророкували, що зяючі в IoT проломи призведуть до руйнування критично важливої інфраструктури, зростання конкурентної розвідки та крадіжок інтелектуальної власності. Також прогнозувалося, що багаторазове збільшення DDoS-атак паралізує Dyn DNS-систему, а з нею і багато важливих веб-доменів.

Давайте розглянемо п'ять основних аспектів плачевного стану IoT-безпеки, що випливає з вибухового зростання, масштабів, уразливості, ємності і доступності пристроїв.

Перший аспект

Сьогодні щодня в мережу виходять не менше 6 мільйонів нових IoT-пристроїв, що означає постійну появу все нових вразливостей. Наприклад, в минулому році на DefCon в 23 IoT-пристроях 21 виробника виявили 47 нових вразливостей. З огляду на те, що в одному пристрої зазвичай по кілька дірок, то ситуація складається плачевна.

Уразливість IoT-пристроїв обумовлена декількома факторами: відсутністю у виробників достатнього досвіду щодо забезпечення надійного захисту своєї продукції; скромні обчислювальні і дискові потужності, що обмежують спектр доступних механізмів безпеки; непрості процедури оновлення ПЗ; відсутність користувацької уваги до погроз, що провокуються IoT-пристроями.

Другий аспект

IoT-пристрої - дуже приваблива, потужна, і повсюдно поширене середовище для зловмисників. Зростаюча кількість споживчих пристроїв, легко зламувати, підвищує ймовірність, частоту і тяжкість сценаріїв атак, включаючи атаки на корпоративні дані, підприємства, обладнання, співробітників і споживачів.

Для атакуючого нескладно отримати контроль над цілими мережами, почавши з компрометації одного з численних вразливих споживчих IoT-пристроїв. Яскравий приклад - популярний термостат NEST. У 2015-му інженери компанії TrapX Security підключилися до miniUSB-порту термостата і провели атаку man-in-the-middle (MITM), в ході якої за допомогою спеціального додатку заспуфили ARP-адреси шлюзу. Хакери використовують MITM-атаки для отримання контролю над системами на одному або обох кінцях комунікацій, включаючи корпоративні мережі.

Описана діра - лише один з багатьох прикладів того, як начебто безневинні IoT-пристрої можуть стати причиною компрометації цілих мереж і організацій, крадіжок, а можливо і порушення поточних процесів. Здобувши контроль над IoT-мережею будинку або в організації, хакери можуть не тільки вкрасти дані, але поставити під загрозу життя, здоров'я і власність.

Третій аспект

IoT - ключ до величезних масивів персональної інформації користувачів, яка допомагає хакерам у виборі цілей і векторів атак. Їм стає простіше підібрати паролі, використовувані в ключових компаніях, урядових, військових, політичних і громадських організаціях.

Призначені для користувача дані збираються в інтернеті речей, щоб допомогти компаніям проводити цільовий маркетинг шляхом створення цифрового подання всіх призначених для користувача переваг і особливостей. Зловмисники викрадають і комбінують дані з різних джерел, щоб виявити інтереси і звички людей, завдяки чому можна підібрати паролі і відповіді на секретні питання. При цьому люди часто використовують свої звичні паролі і в корпоративних мережах.

Четвертий аспект

Збільшення доступності SCADA і управління промисловими системами за допомогою IoT робить можливими широкі спустошливі атаки. Коли промислові керуючі системи на базі IoT підключені до інтернету, то стає вкрай важко захистити від атак національну інфраструктуру - об'єкти комунального господарства, енергосистеми і так далі.

Як приклад такого сценарію можна згадати недавню атаку на українські енергооб'єкти, в результаті якої без електрики залишилися десятки тисяч людей. В даному випадку об'єктом атаки стала система управління критично важливою інфраструктурою, що призвело до її виходу з ладу. І це була досить невелика за своїми масштабами і наслідками атака.

П'ятий аспект

Поширений і здебільшого відкритий IoT дозволяє сьогодні як ніколи легко проводити одночасні атаки "Fire Sale" на будь-яке агентство, сервіс або підприємство, як показано у фільмі «Міцний горішок 4». Завдяки інтернету речей хакери можуть створювати і використовувати настільки великі ботнети, що одночасне глушіння численних інфраструктур за допомогою DDoS-атак перетворюється мало не в рутину.

Уявіть, що буде, якщо 10-15% пристроїв якоїсь країни використовувати для DDoS-атаки проти ресурсів одного зі світових фінансових центрів, наприклад, Уолл Стріт.

Згідно з прогнозом Gartner, з 5,5 млн IoT-пристроїв в 2016 році, до 2020-го ми прийдемо до спільного парку в 20,8 млрд пристроїв, що працюють щодня. Щоб убезпечити це обладнання, компанії повинні в першу чергу зіставляти зручність і ефективність з ризиками, впроваджувати політики і процедури безпеки, розроблені для кожного типу пристроїв, і навчати персонал правильній роботі з інтернетом речей. Технології DS / IPS-безпеки, що враховують поведінковий фактор, теж повинні стояти на сторожі потенційно шкідливої поведінки IoT-пристроїв.

Коли компанія встановлює і використовує споживчі пристрої на кшталт того ж термостата NEST, то вона повинна впроваджувати і нові файрволи другої генерації, що дозволяють підключатися тільки за певними IP-адресами, застосовувати політики безпеки до кінцевих точок другої генерації, а також технології маскування. Поява в будинках вразливих пристроїв і можливі наслідки цієї тенденції є важливою причиною для освіти співробітників про ризики.
Не має значення, як зловмисники підбирають паролі і відповіді на секретні питання: можна захиститися за допомогою додаткової аутентифікації. Наприклад, використовувати PINи і відправляти коди на пошту. Самі компанії повинні адаптуватися до змін в підходах до підбору паролів. Для цього потрібні професіонали, які усвідомлюють ризики нової технології, і постійне оновлення програмно-апаратної інфраструктури (без привнесення нових ризиків).
Важко убезпечити SCADA і промислові легаси-системи управління, тому що подібні системи тяжіють до закритості при відсутності навіть базових механізмів забезпечення кібербезпеки. Як мінімум, компанії повинні ізолювати їх у своїх мережах, щільно моніторити і регулювати доступ до них. Промислові системи управління мають високі вимоги по доступності. Це означає, що простий при оновленнях неприпустимий. В ідеальному світі подібні системи повинні доповнюватися досконалим захистом і бути ізольованими від інтернету.

Як і при відображенні "Fire Sale"-атаки, захист IoT від DDoS-атак включає в себе забезпечення безпеки пристроїв з розрахунку ворожості мережі, і забезпечення безпеки мережі з розрахунку ворожості окремих пристроїв. Такий підхід узгоджується з моделлю безпеки, що має на увазі нульову довіру до мінімальних привілеїв.

Організації можуть захищатися від хакерів, що використовують IoT-ботнети, посилюючи безпеку в мережах, що містять IoT-пристрої. Але для цього необхідно ретельно тестувати наявні інструменти, наскільки ефективно вони захищають. За допомогою нових технологій маскування можна буде виявляти зловмисників.

Що почати робити?

Майбутнє забезпечення безпеки інтернету речей не безхмарно, але і не безнадійно. Вже зараз добре б почати робити наступні кроки:

  •  Регулятори повинні штрафувати компанії, які продають обладнання з проблемами в безпеці, поки вони не відкличуть і не внесуть виправлення в свої продукти.
  •  Законодавці повинні ввести закони, що вимагають періодично повертати ПО IoT-пристроїв в початковий стан. Це дозволить періодично позбавлятися від зловредів, використовуваних для проникнення в мережі.
  •  Нарешті, нове обладнання може використовувати обмежений діапазон IPv6-адрес, щоб тим, хто опинився під атакою ботнетів, було легше змусити свого провайдера відхиляти всі пакети, які виходять від IoT-пристроїв.

Джерело: https://habrahabr.ru/company/parallels/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN

Чотири причини замінити брандмауер вашої філії удосконаленою захищеною SD-WAN
Aruba Networks,Блог Телесфера,Налаштування Aruba Instant,Налаштування Aruba

Був час, коли рішення SD-WAN були орієнтовані лише на віртуалізацію WAN без особливих міркувань безпеки. Щоб заповнити цю прогалину в безпеці, з'явилися передові безпечні рішення SD-WAN, які включають найвищі можливості захисту від загроз. Фактично розширені функції безпеки, які тепер підтримуються на передових платформах SD-WAN, дозволяють клієнтам повністю відмовитися від виділених міжмережевих екранів філій і ще більше спростити інфраструктуру філій WAN.

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE

Безкомпромісна SASE: Aruba Secure SD-WAN і Netskope SSE
Aruba Networks,Блог Телесфера,Налаштування Aruba

Програми SaaS, робочі навантаження IaaS, розповсюдження пристроїв IoT і гібридна робоча сила продовжують спонукати підприємства переглядати свої глобальні мережі та архітектури безпеки. Традиційні технології WAN, які базувалися на жорсткій архітектурі WAN, орієнтованій на маршрутизатор, повільно реагували на потреби бізнесу, пропонували непостійну якість роботи та були складними в управлінні. SD-WAN забезпечує кращу та стабільнішу продуктивність хмарних додатків, консолідує функціональні можливості глобальної мережі та підтримує нульову довіру та структуру SASE. Минулого року IDC дослідила Північну Америку та виявила, що 72% підприємств планують перейти на SD-WAN у 2021–2023 роках (1).

SASE, SD-WAN і SSE розбираємось

SASE, SD-WAN і SSE розбираємось
Aruba Networks,Налаштування Aruba Instant,Блог Телесфера,Налаштування Aruba

Коли справа доходить до WAN (глобальної мережі), літера «S» відіграє ключову роль По-перше, загадка: що спільного між хмарними глобальними мережами (WAN) і зміями? Вони обидві шиплять: sssSASE, ssssSD-WAN і sssssSSE. Гаразд, я визнаю, що це було досить погано, але може виникнути велика плутанина, оскільки дуже багато абревіатур WAN починаються з літери «S».