1

Internet of things security

Sorry, this entry is only available in Russian and Ukrainian. For the sake of viewer convenience, the content is shown below in one of the available alternative languages. You may click one of the links to switch the site language to another available language.

«Интернет вещей» или IoT (Internet of the Things) стал полноценной частью информационных технологий, и, в силу своего стремительного развития, зоной повышенного внимания в части кибербезопасности. Особенностью таких технологий является то, что их эксплуатируют не только крупные корпорации или высокотехнологичные компании. В первую очередь, их эксплуатирует каждый современный человек. Это лифты и эскалаторы торговых центров, электронные замки в отелях, системы единого билета в коммунальном транспорте и еще сотни других устройств, которые используются в кафе, ресторанах, банках, сервисных центрах и уже практически в каждом доме.

Безопасность таких устройств, в отличие от «классических технологий» оставляет желать лучшего. Причем касается это как уже установленных и эксплуатируемых устройств, так и процессов разработки и проектирования новых устройств из мира интернета вещей. Давайте разберем причины и потенциальные угрозы для обоих случаев.

Всего несколько лет назад мало кто воспринимал свой «смарт» телевизор или кормушку в аквариуме с подключением по Bluetooth как часть интернета вещей. Основной причиной этому было то, что самого интернета вещей как массового явления еще не было. Физически, устройства, подключенные к сети, были, а вот понятие само еще не сформировалось. Предпосылками к формированию его стали атаки массовых ботнетов, в частности атака ботнета Mirai в 2016 году. Именно тогда стало понятно, есть многотысячная сеть устройств, которые не являются серверами или компьютерами, но которые входят в мир вычислительных технологий, уязвимы и могут быть использованы злоумышленниками.

Что же входит в сферу интереса подобных угроз со стороны хакеров в современном доме? Смартфоны, охранные системы, умные телевизоры и другая бытовая техника, радио няни, системы видеонаблюдения, детские приставки (да-да!) и еще сотня-другая вещей, которые находятся у нас дома и подключены к домашней сети могут потенциально быть скомпрометированы и взломаны с разными целями. Причем причиной этому может служить банальное отсутствие последних обновлений, которые выпускает производитель. Среднестатистический пользователь «умных» вещей крайне редко (а зачастую никогда) обновляет прошивки и конфигурации своих устройств. Причин тому несколько, как отсутствие должных знаний, так и распространенное мнение «я никаким хакерам не нужен».

Корпоративные «интернет-вещи» тоже недалеко ушли по уровню своей защищенности от домашних. Большинство компаний не могут или не отслеживают уязвимости в используемых IoT устройствах. Также, большое количество из них не вносит эту инфраструктуру в процессы патч менеджмента, что не позволяет пока системно подходить к вопросу обновлений и закрытию уязвимостей в них.

Само по себе IoT устройство, которое используется в домашних или коммерческих целях, как правило, не интересует злоумышленника. Однако, с его помощью можно создать довольно эффективную направленную или массовую атаку на человека, компанию или целое государство. Пример ботнетов – это массовое использование всех скомпрометированных устройств для проведения атак, в том числе и на элементы критической инфраструктуры стран: электроэнергетический комплекс, водоснабжение, банковскую систему. Для того, чтобы ваш домашний телевизор стал элементом такой сети достаточно просто его не обновлять вовремя, а еще лучше – не обновлять еще и домашний маршрутизатор, который вы используете для подключения к Интернету.

Направленные атаки на конкретного человека или компанию могут использовать конкретные технологии. К примеру, получение доступа к интерфейсу администратора системы видеонаблюдения в доме. Или получение доступа к электронным воротам гаража или шлагбаумам. Такая уязвимость из кибермира может привести к потерям в реальной жизни и реальных материальных благ.

Для предотвращения подобных инцидентов есть два пути. Первый из них – самостоятельно заниматься вопросами безопасности инфраструктуры, которую вы используете дома или в своей компании. Уже сейчас есть необходимые инструменты и программное обеспечение, а процесс установки обновлений на устройства интуитивно понятен и не требует участия высококвалифицированных специалистов. Если же вы ощущаете, что созданный вами «умный» дом или ваша компаний нуждается в помощи специалистов, то лучше заказать услугу оценки защищенности IoT у компании, специализирующейся в данном вопросе. Вам предоставят полный спектр услуг по оценке уязвимости интернета вещей, используемого вами, обновят и настроят уязвимые устройства, помогут в построении процессов управления безопасностью таких устройств.

Но что же делать если устройство не позволяет обеспечить безопасность? Что, если изначально, еще на этапе проектирования и разработки производитель и создатели устройства не озаботились вопросами безопасности его эксплуатации? К сожалению, такие случаи не редкие. В мире сегодня эксплуатируются миллионы IoT устройств, которые были разработаны без принципов безопасности при проектировании (security by design). Если вы используете такие устройства дома или в компании – лучше от них отказаться. А если вы являетесь производителем устройств IoT, то вам нужно обязательно обратиться за внешней оценкой и помощью к специалистам.

Наиболее известными услугами, которые предлагаются на рынке, являются bug bash и bug bounty программы. Вторую проводят уже давно сами компании, приглашая участников попробовать взломать определенные системы или устройства, показать уязвимости и слабые места в системах безопасности и получить за это вознаграждение. Bug Bash – более «кулуарная» программа. Ее организацию, как правило, берет на себя высококвалифицированная команда, которая создает среду для санкционированного взлома, такую себе «песочницу». В нее выкладывают продукт и приглашают к попытке вознаграждаемого взлома ряд компаний. Обязательным условием является регистрация участников, а также полный мониторинг их действий в процессе взлома. Последнее условие крайне важно, поскольку участник может обнаружить критическую уязвимость и не показать ее, рассчитывая в дальнейшем использовать ее или просто продать подороже. Полный мониторинг позволит увидеть все шаги участников, в отличие от программ bug bounty. Bug bash программа также может быть публичной (в части освещения в СМИ или Сети). А некоторые компании даже строят отдельные коммуникации со своими клиентами с помощью таких программ, показывая серьезность своих намерений в части безопасности своих продуктов.

Проведение bug bash программ для оценки защищенности IoT продуктов и устройств является одним из наиболее эффективных способов для производителей. Это позволяет привлечь к выполнению работ высококвалифицированных специалистов, которых не нужно держать в штате самому производителю или компании-организатору программы. В то же время, организатор несет ответственность за весь процесс оценки, надежность участников, а также обеспечение безопасности проведения оценки. Такое разделение обязанностей распределяет риски самого производителя, повышая при этом качество оказываемых услуг.

Стоит отметить, что не все так плохо. Бизнес все больше и больше уделяет внимание безопасности IoT. Производители таких решений и устройств понимают важность безопасности в процессе разработки и эксплуатации своих продуктов пользователями. Пользователи начинают серьезно относиться к технологиям, которые используют в работе и дома. Все это, безусловно, приводит к улучшению ситуации. Однако, не стоит забывать и про необходимость независимой оценки защищенности внешними ресурсами. Так же, как и с сетевыми или серверными технологиями, IoT требует проведения аудита, оценки защищенности, тестирования на проникновение, управления конфигурациями и обновлениями – всего того, к чему мы давно привыкли в мире «классических» вычислительных технологий.

Related Posts

card__image

Черные лебеди, Канарейки и кибербезопасность

Sorry, this entry is only available in Russian. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. Кому-то юмор помог стать президентом, а мне он однажды помог на мероприятии Startup Crash Test выиграть бумажную книгу Нассима Талеба «Черный лебедь». В […]

card__image

IT asset management

Sorry, this entry is only available in Russian and Ukrainian. For the sake of viewer convenience, the content is shown below in one of the available alternative languages. You may click one of the links to switch the site language to another available language. Информационные технологии (ИТ) и департаменты, ответственные за их эксплуатацию в компании, […]

Leave a Reply

Your email address will not be published. Required fields are marked *