IoT – не безопасно, но управляемо?

Владимир Потапов, 07/06/21

В начале декабря 2020 г. стало известно об атаке на постаматы компании PickPoint [1]. Были открыты дверцы 2732 постаматов, в которых на момент инцидента находилось 49 тыс. заказов общей стоимостью примерно 150 млн руб. Но в итоге из них украдено было не более тысячи. Этот инцидент привел к прямым финансовым и репутационным потерям. В данной статье рассмотрим проблемы информационной безопасности, связанные с IoT-устройствами, а также некоторые подходы к их решению.

Автор: Владимир Потапов, ведущий консультант по информационной безопасности IBM в России и странах СНГ

Что такое IoT?

К неуправляемым устройствам (Unmanaged Devices) и IoT-устройствам относятся системы, управляемые операционной системой, какой бы простой она ни была. Они могут поддерживать связь с другими устройствами и системами в организации, а также обрабатывать и передавать информацию, но не управляются с помощью традиционных инструментов безопасности.

Рис. 1. IoT-устройства в офисном сегменте

В этой статье мы рассмотрим устройства, относящиеся к офисному сегменту. На рис. 1 представлено многообразие IoT-устройств на примере данного сегмента.

Многие из этих устройств ранее были простыми и не имели сетевых функций. Но сейчас они постоянно развиваются, становятся сложнее, при этом подвергаясь уязвимостям, представляющим реальную опасность в случае использования их злоумышленниками. Проблему также усугубляет широкое распространение умных устройств.

IoT-устройства можно классифицировать по следующим категориям:

системы автоматизации работы офисных зданий;
потребительские устройства;
промышленные системы управления;
ИТ-инфраструктура.

Таблица 1. Процесс эволюции умных функций на примере камер видеонаблюдения

Тренды развития IoT

По статистике Gartner [2], количество IoT-устройств постоянно растет и к 2021 г. в мире окажется 25 млрд подключенных IoT-устройств. Примерно 90% из них будут неуправляемыми [3] и незащищенными.

В нынешних условиях пандемии при большом количестве пользователей, работающих из своих домашних офисов, также встает вопрос управления рис- ками ИБ, связанными с домашними IoT-устройствами – принтерами, телевизорами со Smart TV, файловыми хранилищами, камерами видеонаблюдения, часто подключенными к той же самой домашней сети, что и устройства, с которых происходит доступ к корпоративным данным. При этом пользователи, которые их устанавливают и используют, подчас обладают минимальными знаниями в области ИБ.

Известные риски

В соответствии с исследованием OWASP [4] определены наиболее важные риски, связанные с IoT-устройствами:

слабые и неизменяемые пароли;
небезопасные сетевые сервисы;
сотрудники, отвечающие за информационную безопасность, не имеют представления обо всей IoT-инфраструктуре компании.
небезопасные интерфейсы экосистемы;
отсутствие механизма безопасного обновления;
использование небезопасных или устаревших компонентов;
небезопасные передача и хранение данных;
отсутствие управления устройствами;
небезопасные настройки "по умолчанию";
слабая физическая защищенность.

Известные атаки с использованием IoT-устройств

Широко известными стали несколько атак с использованием IoT-устройств:

DDoS-атака на Krebsonsecurity [5];
DDoS-атака на Dyn [6];
взлом постаматов PickPoint.

Рис. 2. Топ угроз в 2019 г. Источник: IBM X-Force

Наличие IoT-устройств негативно влияет на потери от инцидентов

Как видно на рис. 3, при возникновении инцидента, связанного с IoT-инфраструктурой, увеличиваются репутационные и финансовые потери организации. Ниже рассмотрим, почему так происходит [7].

Рис. 3. Влияние 25 ключевых факторов на среднюю стоимость утечки данных. Указано отклонение от среднего значения в $3,86 млн

Исходя из рисков OWASP, становится понятно, почему ИБ- службам компаний стоит приоритизировать реализацию контроля безопасности за IoT- устройствами в случаях, когда:

присутствуют давно известные критические уязвимости, которые нельзя исправить без производителя устройств;
существует небезопасная базовая конфигурация;
отсутствует протоколирование или оно плохо организовано;
шифрование и контроль целостности присутствуют, но только на базовом уровне;
ИТ-персонал, отвечающий за обслуживание систем, не осознает проблемы безопасности IoT-устройств;
архитектура устройств не подразумевает централизованное управление и мониторинг;
процессы организации не учитывают специфику IoT- устройств;
сотрудники, отвечающие за информационную безопасность, не имеют представления обо всей IoT-инфраструктуре компании.

На сегодняшний день наличие функций безопасности в IoT- устройствах является скорее исключением, нежели правилом.

Рис. 4. Дашборд сервиса IBM X-Force Threat Management for IoT

На рис. 4 приведен анонимизированный дашборд с одного из пилотных проектов сервиса IBM X-Force Threat Management for IoT, который дает представление о защищенности IoT- устройств.

Но не все IoT-устройства представляют серьезную угрозу для организации. Их можно классифицировать по критичности на основе результатов инвентаризации.

Как повысить уровень защищенности IoT- инфраструктуры

Решение проблемы должно быть комплексным, оно требует изменений в стратегии ИТ и ИБ за счет изменения имеющихся процессов в структуре организации, технологических платформах, взаимодействиях с поставщиками, а также надзоре.

В компании должны присутствовать специалисты, которые знают технические особенности IoT-устройств, имеют опыт работы с ними, представляют их роль в организации, знают и применяют основные методы их защиты.
Карта процессов ИТ и ИБ, сами процессы, стандарты конфигурации и безопасности должны учитывать наличие и особенности IoT- устройств, их архитектуру, жизненный цикл и тонкости эксплуатации.
Модель рисков и угроз должна быть дополнена ландшафтом IoT.
Нужно использовать специализированные платформы, а классические технологические платформы ИБ должны поддерживать IoT- устройства.
5. При закупках необходимо иметь набор требований ИБ для IoT-устройств, которые позволят избежать поставки небезопасных устройств для организации.

Рассмотрим один из элементов решения на примере инвентаризации с использованием специализированной технологической платформы.

Инвентаризация IoT-устройств

Что важно с точки зрения ИБ при инвентаризации устройств:

базовые свойства объекта – что за устройство и для чего используется, с какими системами взаимосвязано;
известные уязвимости;
местоположение.

Классически инвентаризация устройств, подключенных к сети, может производиться системой класса IT Asset Management и сканером уязвимостей. Но в рассматриваемом вопросе сканеры не подходят для инвентаризации и оценки уязвимостей, так как перечень и набор уязвимостей IoT-устройств в их базе обычно ограничен. К тому же некоторые устройства могут быть слишком простыми и сканер не сможет с ними взаимодействовать, а агенты не смогут быть установлены из-за аппаратных и программных ограничений.

Выходом в данной ситуации является пассивная инвентаризация, построенная на анализе активностей IoT-устройств сенсором. Классические анализаторы трафика и сетевых потоков для этого не подходят, требуется специализированное средство, обладающее возможностями по детектированию IoT-устройств и их классификации.

Пассивная инвентаризация значительно упрощает процесс, уменьшая количество шагов и их трудоемкость, а также увеличивая точность.

С помощью трафика можно определить:

тип устройства;
модель устройства;
является ли оно управляемым;
является ли оно уязвимым – на основе отпечатков определяется тип, модель и прошивка устройства;
где оно расположено – по местоположению сенсора, сигналу;
неиспользуемые устройства;
миграцию устройств между офисами;
устройства, которые неправильно расположены.

Данные сведения закрывают основные потребности в информации об IoT-устройствах c точки зрения ИБ.

На рис. 5 представлена логическая схема возможного решения.

Рис. 5. Логическая схема возможного решения

Сенсор нормализует данные и передает их для анализа на сервер управления, который содержит базу устройств, собранных по следующим признакам:

физические;
сетевые;
поведенческие.

На основе собранных данных происходит классификация устройств. В случае обнаружения уязвимости или подо- зрительной активности (например, подключение к ботнету) информация о потенциальном инциденте передается в SOC. Сценарии мониторинга, разработанные на основе модели рисков и угроз, отслеживают сетевые и поведенческие параметры.

Благодаря интеграции системы инвентаризации с CMDB и получению точной информации в CMDB о зараженном устройстве SOC может быстро среагировать и минимизировать потери от инцидента.

Оценка рисков на основе инвентаризационных данных

Качественная инвентаризация позволяет быстрее перейти к количественной оценке рисков и угроз. За счет оценки ландшафта IoT-устройств может быть обнаружено, что имеются новые угрозы ИБ, или определено, что существующие угрозы релевантны и для IoT- устройств.