Контакты
Подписка 2025

IoT – не безопасно, но управляемо?

Владимир Потапов, 07/06/21

В начале декабря 2020 г. стало известно об атаке на постаматы компании PickPoint [1]. Были открыты дверцы 2732 постаматов, в которых на момент инцидента находилось 49 тыс. заказов общей стоимостью примерно 150 млн руб. Но в итоге из них украдено было не более тысячи. Этот инцидент привел к прямым финансовым и репутационным потерям. В данной статье рассмотрим проблемы информационной безопасности, связанные с IoT-устройствами, а также некоторые подходы к их решению.

Автор: Владимир Потапов, ведущий консультант по информационной безопасности IBM в России и странах СНГ

Что такое IoT?

К неуправляемым устройствам (Unmanaged Devices) и IoT-устройствам относятся системы, управляемые операционной системой, какой бы простой она ни была. Они могут поддерживать связь с другими устройствами и системами в организации, а также обрабатывать и передавать информацию, но не управляются с помощью традиционных инструментов безопасности.


Рис. 1. IoT-устройства в офисном сегменте

В этой статье мы рассмотрим устройства, относящиеся к офисному сегменту. На рис. 1 представлено многообразие IoT-устройств на примере данного сегмента.

Многие из этих устройств ранее были простыми и не имели сетевых функций. Но сейчас они постоянно развиваются, становятся сложнее, при этом подвергаясь уязвимостям, представляющим реальную опасность в случае использования их злоумышленниками. Проблему также усугубляет широкое распространение умных устройств.

IoT-устройства можно классифицировать по следующим категориям:

  • системы автоматизации работы офисных зданий;
  • потребительские устройства;
  • промышленные системы управления;
  • ИТ-инфраструктура.


Таблица 1. Процесс эволюции умных функций на примере камер видеонаблюдения

Тренды развития IoT

По статистике Gartner [2], количество IoT-устройств постоянно растет и к 2021 г. в мире окажется 25 млрд подключенных IoT-устройств. Примерно 90% из них будут неуправляемыми [3] и незащищенными.

В нынешних условиях пандемии при большом количестве пользователей, работающих из своих домашних офисов, также встает вопрос управления рис- ками ИБ, связанными с домашними IoT-устройствами – принтерами, телевизорами со Smart TV, файловыми хранилищами, камерами видеонаблюдения, часто подключенными к той же самой домашней сети, что и устройства, с которых происходит доступ к корпоративным данным. При этом пользователи, которые их устанавливают и используют, подчас обладают минимальными знаниями в области ИБ.

Известные риски

В соответствии с исследованием OWASP [4] определены наиболее важные риски, связанные с IoT-устройствами:

  • слабые и неизменяемые пароли;
  • небезопасные сетевые сервисы;
  • сотрудники, отвечающие за информационную безопасность, не имеют представления обо всей IoT-инфраструктуре компании.
  • небезопасные интерфейсы экосистемы;
  • отсутствие механизма безопасного обновления;
  • использование небезопасных или устаревших компонентов;
  • небезопасные передача и хранение данных;
  • отсутствие управления устройствами;
  • небезопасные настройки "по умолчанию";
  • слабая физическая защищенность.

Известные атаки с использованием IoT-устройств

Широко известными стали несколько атак с использованием IoT-устройств:

  • DDoS-атака на Krebsonsecurity [5];
  • DDoS-атака на Dyn [6];
  • взлом постаматов PickPoint.


Рис. 2. Топ угроз в 2019 г. Источник: IBM X-Force

Наличие IoT-устройств негативно влияет на потери от инцидентов

Как видно на рис. 3, при возникновении инцидента, связанного с IoT-инфраструктурой, увеличиваются репутационные и финансовые потери организации. Ниже рассмотрим, почему так происходит [7].


Рис. 3. Влияние 25 ключевых факторов на среднюю стоимость утечки данных. Указано отклонение от среднего значения в $3,86 млн

Исходя из рисков OWASP, становится понятно, почему ИБ- службам компаний стоит приоритизировать реализацию контроля безопасности за IoT- устройствами в случаях, когда:

  • присутствуют давно известные критические уязвимости, которые нельзя исправить без производителя устройств;
  • существует небезопасная базовая конфигурация;
  • отсутствует протоколирование или оно плохо организовано;
  • шифрование и контроль целостности присутствуют, но только на базовом уровне;
  • ИТ-персонал, отвечающий за обслуживание систем, не осознает проблемы безопасности IoT-устройств;
  • архитектура устройств не подразумевает централизованное управление и мониторинг;
  • процессы организации не учитывают специфику IoT- устройств;
  • сотрудники, отвечающие за информационную безопасность, не имеют представления обо всей IoT-инфраструктуре компании.

На сегодняшний день наличие функций безопасности в IoT- устройствах является скорее исключением, нежели правилом.


Рис. 4. Дашборд сервиса IBM X-Force Threat Management for IoT

На рис. 4 приведен анонимизированный дашборд с одного из пилотных проектов сервиса IBM X-Force Threat Management for IoT, который дает представление о защищенности IoT- устройств.

Но не все IoT-устройства представляют серьезную угрозу для организации. Их можно классифицировать по критичности на основе результатов инвентаризации.

Как повысить уровень защищенности IoT- инфраструктуры

Решение проблемы должно быть комплексным, оно требует изменений в стратегии ИТ и ИБ за счет изменения имеющихся процессов в структуре организации, технологических платформах, взаимодействиях с поставщиками, а также надзоре.

  1. В компании должны присутствовать специалисты, которые знают технические особенности IoT-устройств, имеют опыт работы с ними, представляют их роль в организации, знают и применяют основные методы их защиты.
  2. Карта процессов ИТ и ИБ, сами процессы, стандарты конфигурации и безопасности должны учитывать наличие и особенности IoT- устройств, их архитектуру, жизненный цикл и тонкости эксплуатации.
  3. Модель рисков и угроз должна быть дополнена ландшафтом IoT.
  4. Нужно использовать специализированные платформы, а классические технологические платформы ИБ должны поддерживать IoT- устройства.
  5. 5. При закупках необходимо иметь набор требований ИБ для IoT-устройств, которые позволят избежать поставки небезопасных устройств для организации.

Рассмотрим один из элементов решения на примере инвентаризации с использованием специализированной технологической платформы.

Инвентаризация IoT-устройств

Что важно с точки зрения ИБ при инвентаризации устройств:

  • базовые свойства объекта – что за устройство и для чего используется, с какими системами взаимосвязано;
  • известные уязвимости;
  • местоположение.

Классически инвентаризация устройств, подключенных к сети, может производиться системой класса IT Asset Management и сканером уязвимостей. Но в рассматриваемом вопросе сканеры не подходят для инвентаризации и оценки уязвимостей, так как перечень и набор уязвимостей IoT-устройств в их базе обычно ограничен. К тому же некоторые устройства могут быть слишком простыми и сканер не сможет с ними взаимодействовать, а агенты не смогут быть установлены из-за аппаратных и программных ограничений.

Выходом в данной ситуации является пассивная инвентаризация, построенная на анализе активностей IoT-устройств сенсором. Классические анализаторы трафика и сетевых потоков для этого не подходят, требуется специализированное средство, обладающее возможностями по детектированию IoT-устройств и их классификации.

Пассивная инвентаризация значительно упрощает процесс, уменьшая количество шагов и их трудоемкость, а также увеличивая точность.

С помощью трафика можно определить:

  • тип устройства;
  • модель устройства;
  • является ли оно управляемым;
  • является ли оно уязвимым – на основе отпечатков определяется тип, модель и прошивка устройства;
  • где оно расположено – по местоположению сенсора, сигналу;
  • неиспользуемые устройства;
  • миграцию устройств между офисами;
  • устройства, которые неправильно расположены.

Данные сведения закрывают основные потребности в информации об IoT-устройствах c точки зрения ИБ.

На рис. 5 представлена логическая схема возможного решения.


Рис. 5. Логическая схема возможного решения

Сенсор нормализует данные и передает их для анализа на сервер управления, который содержит базу устройств, собранных по следующим признакам:

  • физические;
  • сетевые;
  • поведенческие.

На основе собранных данных происходит классификация устройств. В случае обнаружения уязвимости или подо- зрительной активности (например, подключение к ботнету) информация о потенциальном инциденте передается в SOC. Сценарии мониторинга, разработанные на основе модели рисков и угроз, отслеживают сетевые и поведенческие параметры.

Благодаря интеграции системы инвентаризации с CMDB и получению точной информации в CMDB о зараженном устройстве SOC может быстро среагировать и минимизировать потери от инцидента.

Оценка рисков на основе инвентаризационных данных

Качественная инвентаризация позволяет быстрее перейти к количественной оценке рисков и угроз. За счет оценки ландшафта IoT-устройств может быть обнаружено, что имеются новые угрозы ИБ, или определено, что существующие угрозы релевантны и для IoT- устройств.


  1. https://www.kommersant.ru/doc/4603834 
  2. https://www.ibm.com/downloads/cas/GBPQEPY1 
  3. Нет платформы централизованного управления, отсутствует централизованный мониторинг доступности и событий, настройки вводятся вручную и т.д.
  4. https://owasp.org/www-pdf-archive/OWASP-IoT-Top-10-2018-final.pdf 
  5. https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ 
  6. https://securityintelligence.com/lessons-from-the-dyn-ddos-attack/ 
  7. https://www.ibm.com/security/digital-assets/cost-data-breach-report?cm_sp=CTO-_-en-US-_-QMXVZX6R 
Темы:Интернет вещей (IoT)АСУ ТПЖурнал "Информационная безопасность" №2, 2021

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Про m-TrusT для АСУ ТП в новой удобной форме
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    C самого начала мы позиционировали m-TrusT предназначенным в основном именно для АСУ ТП, и, казалось бы, об этом написано уже просто все. Более того, АСУ ТП и является одной из основных сфер фактического применения этого решения. Стоит ли писать еще один текст на ту же тему?
  • Информационная безопасность АСУ ТП. Основные тренды и тенденции 2024 года
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    В текущем году исполнилось 10 лет с момента официального развития темы информационной безопасности автоматизированных систем (ИБ АСУ ТП) в России.
  • Актуальная проблема защиты информации в АСУ ТП
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Совершенно естественно, что регуляторы предъявляют требования к системам и выполнять их должны владельцы систем. На этом, пожалуй, все. Дальше начинается что-то неестественное. Давайте попробуем понять почему и исправить.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Криптографический протокол защищенного обмена для индустриальных систем стал национальным стандартом
    Марина Сорокина, руководитель продуктового направления компании “ИнфоТеКС”
    1 апреля 2024 г. вступил в силу ГОСТ Р 71252–2024 “Информационная технология. Криптографическая защита информации. Протокол защищенного обмена для индустриальных систем”, утвержденный приказом Росстандарта № 235-ст от 15 февраля 2024 г.
  • Сообщество RUSCADASEC: для кого оно и какие проблемы решает
    Илья Карпов, основатель RUSCADASEC, ведущий специалист по информационной безопасности в отделе исследовательской лаборатории BI.ZONE
    В одной из соцсетей в начале 2000-х зародилась группа RUSCADASEC, посвященная темам безопасности АСУ ТП, со временем переросшая в полноценное сообщество по кибербезопасности. Как это было?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...