Контакты
Подписка 2024

IoT – не безопасно, но управляемо?

Владимир Потапов, 07/06/21

В начале декабря 2020 г. стало известно об атаке на постаматы компании PickPoint [1]. Были открыты дверцы 2732 постаматов, в которых на момент инцидента находилось 49 тыс. заказов общей стоимостью примерно 150 млн руб. Но в итоге из них украдено было не более тысячи. Этот инцидент привел к прямым финансовым и репутационным потерям. В данной статье рассмотрим проблемы информационной безопасности, связанные с IoT-устройствами, а также некоторые подходы к их решению.

Автор: Владимир Потапов, ведущий консультант по информационной безопасности IBM в России и странах СНГ

Что такое IoT?

К неуправляемым устройствам (Unmanaged Devices) и IoT-устройствам относятся системы, управляемые операционной системой, какой бы простой она ни была. Они могут поддерживать связь с другими устройствами и системами в организации, а также обрабатывать и передавать информацию, но не управляются с помощью традиционных инструментов безопасности.


Рис. 1. IoT-устройства в офисном сегменте

В этой статье мы рассмотрим устройства, относящиеся к офисному сегменту. На рис. 1 представлено многообразие IoT-устройств на примере данного сегмента.

Многие из этих устройств ранее были простыми и не имели сетевых функций. Но сейчас они постоянно развиваются, становятся сложнее, при этом подвергаясь уязвимостям, представляющим реальную опасность в случае использования их злоумышленниками. Проблему также усугубляет широкое распространение умных устройств.

IoT-устройства можно классифицировать по следующим категориям:

  • системы автоматизации работы офисных зданий;
  • потребительские устройства;
  • промышленные системы управления;
  • ИТ-инфраструктура.


Таблица 1. Процесс эволюции умных функций на примере камер видеонаблюдения

Тренды развития IoT

По статистике Gartner [2], количество IoT-устройств постоянно растет и к 2021 г. в мире окажется 25 млрд подключенных IoT-устройств. Примерно 90% из них будут неуправляемыми [3] и незащищенными.

В нынешних условиях пандемии при большом количестве пользователей, работающих из своих домашних офисов, также встает вопрос управления рис- ками ИБ, связанными с домашними IoT-устройствами – принтерами, телевизорами со Smart TV, файловыми хранилищами, камерами видеонаблюдения, часто подключенными к той же самой домашней сети, что и устройства, с которых происходит доступ к корпоративным данным. При этом пользователи, которые их устанавливают и используют, подчас обладают минимальными знаниями в области ИБ.

Известные риски

В соответствии с исследованием OWASP [4] определены наиболее важные риски, связанные с IoT-устройствами:

  • слабые и неизменяемые пароли;
  • небезопасные сетевые сервисы;
  • сотрудники, отвечающие за информационную безопасность, не имеют представления обо всей IoT-инфраструктуре компании.
  • небезопасные интерфейсы экосистемы;
  • отсутствие механизма безопасного обновления;
  • использование небезопасных или устаревших компонентов;
  • небезопасные передача и хранение данных;
  • отсутствие управления устройствами;
  • небезопасные настройки "по умолчанию";
  • слабая физическая защищенность.

Известные атаки с использованием IoT-устройств

Широко известными стали несколько атак с использованием IoT-устройств:

  • DDoS-атака на Krebsonsecurity [5];
  • DDoS-атака на Dyn [6];
  • взлом постаматов PickPoint.


Рис. 2. Топ угроз в 2019 г. Источник: IBM X-Force

Наличие IoT-устройств негативно влияет на потери от инцидентов

Как видно на рис. 3, при возникновении инцидента, связанного с IoT-инфраструктурой, увеличиваются репутационные и финансовые потери организации. Ниже рассмотрим, почему так происходит [7].


Рис. 3. Влияние 25 ключевых факторов на среднюю стоимость утечки данных. Указано отклонение от среднего значения в $3,86 млн

Исходя из рисков OWASP, становится понятно, почему ИБ- службам компаний стоит приоритизировать реализацию контроля безопасности за IoT- устройствами в случаях, когда:

  • присутствуют давно известные критические уязвимости, которые нельзя исправить без производителя устройств;
  • существует небезопасная базовая конфигурация;
  • отсутствует протоколирование или оно плохо организовано;
  • шифрование и контроль целостности присутствуют, но только на базовом уровне;
  • ИТ-персонал, отвечающий за обслуживание систем, не осознает проблемы безопасности IoT-устройств;
  • архитектура устройств не подразумевает централизованное управление и мониторинг;
  • процессы организации не учитывают специфику IoT- устройств;
  • сотрудники, отвечающие за информационную безопасность, не имеют представления обо всей IoT-инфраструктуре компании.

На сегодняшний день наличие функций безопасности в IoT- устройствах является скорее исключением, нежели правилом.


Рис. 4. Дашборд сервиса IBM X-Force Threat Management for IoT

На рис. 4 приведен анонимизированный дашборд с одного из пилотных проектов сервиса IBM X-Force Threat Management for IoT, который дает представление о защищенности IoT- устройств.

Но не все IoT-устройства представляют серьезную угрозу для организации. Их можно классифицировать по критичности на основе результатов инвентаризации.

Как повысить уровень защищенности IoT- инфраструктуры

Решение проблемы должно быть комплексным, оно требует изменений в стратегии ИТ и ИБ за счет изменения имеющихся процессов в структуре организации, технологических платформах, взаимодействиях с поставщиками, а также надзоре.

  1. В компании должны присутствовать специалисты, которые знают технические особенности IoT-устройств, имеют опыт работы с ними, представляют их роль в организации, знают и применяют основные методы их защиты.
  2. Карта процессов ИТ и ИБ, сами процессы, стандарты конфигурации и безопасности должны учитывать наличие и особенности IoT- устройств, их архитектуру, жизненный цикл и тонкости эксплуатации.
  3. Модель рисков и угроз должна быть дополнена ландшафтом IoT.
  4. Нужно использовать специализированные платформы, а классические технологические платформы ИБ должны поддерживать IoT- устройства.
  5. 5. При закупках необходимо иметь набор требований ИБ для IoT-устройств, которые позволят избежать поставки небезопасных устройств для организации.

Рассмотрим один из элементов решения на примере инвентаризации с использованием специализированной технологической платформы.

Инвентаризация IoT-устройств

Что важно с точки зрения ИБ при инвентаризации устройств:

  • базовые свойства объекта – что за устройство и для чего используется, с какими системами взаимосвязано;
  • известные уязвимости;
  • местоположение.

Классически инвентаризация устройств, подключенных к сети, может производиться системой класса IT Asset Management и сканером уязвимостей. Но в рассматриваемом вопросе сканеры не подходят для инвентаризации и оценки уязвимостей, так как перечень и набор уязвимостей IoT-устройств в их базе обычно ограничен. К тому же некоторые устройства могут быть слишком простыми и сканер не сможет с ними взаимодействовать, а агенты не смогут быть установлены из-за аппаратных и программных ограничений.

Выходом в данной ситуации является пассивная инвентаризация, построенная на анализе активностей IoT-устройств сенсором. Классические анализаторы трафика и сетевых потоков для этого не подходят, требуется специализированное средство, обладающее возможностями по детектированию IoT-устройств и их классификации.

Пассивная инвентаризация значительно упрощает процесс, уменьшая количество шагов и их трудоемкость, а также увеличивая точность.

С помощью трафика можно определить:

  • тип устройства;
  • модель устройства;
  • является ли оно управляемым;
  • является ли оно уязвимым – на основе отпечатков определяется тип, модель и прошивка устройства;
  • где оно расположено – по местоположению сенсора, сигналу;
  • неиспользуемые устройства;
  • миграцию устройств между офисами;
  • устройства, которые неправильно расположены.

Данные сведения закрывают основные потребности в информации об IoT-устройствах c точки зрения ИБ.

На рис. 5 представлена логическая схема возможного решения.


Рис. 5. Логическая схема возможного решения

Сенсор нормализует данные и передает их для анализа на сервер управления, который содержит базу устройств, собранных по следующим признакам:

  • физические;
  • сетевые;
  • поведенческие.

На основе собранных данных происходит классификация устройств. В случае обнаружения уязвимости или подо- зрительной активности (например, подключение к ботнету) информация о потенциальном инциденте передается в SOC. Сценарии мониторинга, разработанные на основе модели рисков и угроз, отслеживают сетевые и поведенческие параметры.

Благодаря интеграции системы инвентаризации с CMDB и получению точной информации в CMDB о зараженном устройстве SOC может быстро среагировать и минимизировать потери от инцидента.

Оценка рисков на основе инвентаризационных данных

Качественная инвентаризация позволяет быстрее перейти к количественной оценке рисков и угроз. За счет оценки ландшафта IoT-устройств может быть обнаружено, что имеются новые угрозы ИБ, или определено, что существующие угрозы релевантны и для IoT- устройств.


  1. https://www.kommersant.ru/doc/4603834 
  2. https://www.ibm.com/downloads/cas/GBPQEPY1 
  3. Нет платформы централизованного управления, отсутствует централизованный мониторинг доступности и событий, настройки вводятся вручную и т.д.
  4. https://owasp.org/www-pdf-archive/OWASP-IoT-Top-10-2018-final.pdf 
  5. https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ 
  6. https://securityintelligence.com/lessons-from-the-dyn-ddos-attack/ 
  7. https://www.ibm.com/security/digital-assets/cost-data-breach-report?cm_sp=CTO-_-en-US-_-QMXVZX6R 
Темы:АСУ ТПЖурнал "Информационная безопасность" №2, 2021IOT

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Новинки компании "ИнфоТеКС" на Большом Московском ИнфоТеКС ТехноФест 2023
    Были представлены все решения ИнфоТеКС, в том числе ViPNet Coordinator HW, ViPNet Coordinator IG, ViPNet CSS Connect, ViPNet xFirewall, системы квантового распределения ключей и новый крипточип для промышленных систем.
  • Обзор изменений в законодательстве в мае и июне 2023 года
    Анастасия Заведенская, старший аналитик Аналитического центра Уральского центра систем безопасности
    Изменения в трансграничную передачу ПДн, в положение о ФСТЭК, ограничения на мессенджеры, методические рекомендации к процессу управления уязвимостями и др.
  • Актуальные вопросы построения защиты АСУ ТП
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    АСУ являются одними из наиболее критичных систем, требующих внимания. Реализация СБ АСУ, как правило, связана с определенными ограничениями и сложностями.
  • Кибербезопасность объектов ТЭК в 2023 году
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Предприятия ТЭК являются одними из наиболее критических объектов, которые требуют самых серьезных мер защиты от современных кибератак. Однако бок о бок с критичностью и актуальностью защиты предприятий ТЭК идут сложности организации комплексной системы информационной безопасности.
  • Повышение защищенности автоматизированных систем управления технологическими процессами
    Валерий Конявский, д.т.н., зав. кафедрой "Защита информации" МФТИ
    В большинстве технологических процессов используется программно-управляемое оборудование, выполняющее программы, поступающие из центра управления по каналам связи. При этом центр управления может быть значительно удален от конечного оборудования, а в качестве каналов связи могут использоваться любые физические линии с любыми протоколами. Все это создает предпосылки для возможного вмешательства в технологический процесс извне.
  • Решение для киберзащиты без потери автономности сегмента АСУ ТП
    Вячеслав Половинко, Руководитель направления собственных продуктов АМТ-ГРУП
    Повышение автономности АСУ ТП вовсе не означает ее изоляцию в информационном плане, а лишь определяет границы ее функционирования, повышая надежность за счет исключения непрогнозирумых вторжений злоумышленников

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать