В начале декабря 2020 г. стало известно об атаке на постаматы компании PickPoint [1]. Были открыты дверцы 2732 постаматов, в которых на момент инцидента находилось 49 тыс. заказов общей стоимостью примерно 150 млн руб. Но в итоге из них украдено было не более тысячи. Этот инцидент привел к прямым финансовым и репутационным потерям. В данной статье рассмотрим проблемы информационной безопасности, связанные с IoT-устройствами, а также некоторые подходы к их решению.
Автор: Владимир Потапов, ведущий консультант по информационной безопасности IBM в России и странах СНГ
К неуправляемым устройствам (Unmanaged Devices) и IoT-устройствам относятся системы, управляемые операционной системой, какой бы простой она ни была. Они могут поддерживать связь с другими устройствами и системами в организации, а также обрабатывать и передавать информацию, но не управляются с помощью традиционных инструментов безопасности.
Рис. 1. IoT-устройства в офисном сегменте
В этой статье мы рассмотрим устройства, относящиеся к офисному сегменту. На рис. 1 представлено многообразие IoT-устройств на примере данного сегмента.
Многие из этих устройств ранее были простыми и не имели сетевых функций. Но сейчас они постоянно развиваются, становятся сложнее, при этом подвергаясь уязвимостям, представляющим реальную опасность в случае использования их злоумышленниками. Проблему также усугубляет широкое распространение умных устройств.
IoT-устройства можно классифицировать по следующим категориям:
Таблица 1. Процесс эволюции умных функций на примере камер видеонаблюдения
По статистике Gartner [2], количество IoT-устройств постоянно растет и к 2021 г. в мире окажется 25 млрд подключенных IoT-устройств. Примерно 90% из них будут неуправляемыми [3] и незащищенными.
В нынешних условиях пандемии при большом количестве пользователей, работающих из своих домашних офисов, также встает вопрос управления рис- ками ИБ, связанными с домашними IoT-устройствами – принтерами, телевизорами со Smart TV, файловыми хранилищами, камерами видеонаблюдения, часто подключенными к той же самой домашней сети, что и устройства, с которых происходит доступ к корпоративным данным. При этом пользователи, которые их устанавливают и используют, подчас обладают минимальными знаниями в области ИБ.
В соответствии с исследованием OWASP [4] определены наиболее важные риски, связанные с IoT-устройствами:
Широко известными стали несколько атак с использованием IoT-устройств:
Рис. 2. Топ угроз в 2019 г. Источник: IBM X-Force
Как видно на рис. 3, при возникновении инцидента, связанного с IoT-инфраструктурой, увеличиваются репутационные и финансовые потери организации. Ниже рассмотрим, почему так происходит [7].
Рис. 3. Влияние 25 ключевых факторов на среднюю стоимость утечки данных. Указано отклонение от среднего значения в $3,86 млн
Исходя из рисков OWASP, становится понятно, почему ИБ- службам компаний стоит приоритизировать реализацию контроля безопасности за IoT- устройствами в случаях, когда:
На сегодняшний день наличие функций безопасности в IoT- устройствах является скорее исключением, нежели правилом.
Рис. 4. Дашборд сервиса IBM X-Force Threat Management for IoT
На рис. 4 приведен анонимизированный дашборд с одного из пилотных проектов сервиса IBM X-Force Threat Management for IoT, который дает представление о защищенности IoT- устройств.
Но не все IoT-устройства представляют серьезную угрозу для организации. Их можно классифицировать по критичности на основе результатов инвентаризации.
Решение проблемы должно быть комплексным, оно требует изменений в стратегии ИТ и ИБ за счет изменения имеющихся процессов в структуре организации, технологических платформах, взаимодействиях с поставщиками, а также надзоре.
Рассмотрим один из элементов решения на примере инвентаризации с использованием специализированной технологической платформы.
Что важно с точки зрения ИБ при инвентаризации устройств:
Классически инвентаризация устройств, подключенных к сети, может производиться системой класса IT Asset Management и сканером уязвимостей. Но в рассматриваемом вопросе сканеры не подходят для инвентаризации и оценки уязвимостей, так как перечень и набор уязвимостей IoT-устройств в их базе обычно ограничен. К тому же некоторые устройства могут быть слишком простыми и сканер не сможет с ними взаимодействовать, а агенты не смогут быть установлены из-за аппаратных и программных ограничений.
Выходом в данной ситуации является пассивная инвентаризация, построенная на анализе активностей IoT-устройств сенсором. Классические анализаторы трафика и сетевых потоков для этого не подходят, требуется специализированное средство, обладающее возможностями по детектированию IoT-устройств и их классификации.
Пассивная инвентаризация значительно упрощает процесс, уменьшая количество шагов и их трудоемкость, а также увеличивая точность.
С помощью трафика можно определить:
Данные сведения закрывают основные потребности в информации об IoT-устройствах c точки зрения ИБ.
На рис. 5 представлена логическая схема возможного решения.
Рис. 5. Логическая схема возможного решения
Сенсор нормализует данные и передает их для анализа на сервер управления, который содержит базу устройств, собранных по следующим признакам:
На основе собранных данных происходит классификация устройств. В случае обнаружения уязвимости или подо- зрительной активности (например, подключение к ботнету) информация о потенциальном инциденте передается в SOC. Сценарии мониторинга, разработанные на основе модели рисков и угроз, отслеживают сетевые и поведенческие параметры.
Благодаря интеграции системы инвентаризации с CMDB и получению точной информации в CMDB о зараженном устройстве SOC может быстро среагировать и минимизировать потери от инцидента.
Качественная инвентаризация позволяет быстрее перейти к количественной оценке рисков и угроз. За счет оценки ландшафта IoT-устройств может быть обнаружено, что имеются новые угрозы ИБ, или определено, что существующие угрозы релевантны и для IoT- устройств.