IoT под угрозой
«Интернет вещей», или IoT (от англ. Internet of Things), стремительно развивается, и проблемы безопасности этого сегмента информационных технологий привлекают все большее внимание специалистов.
Закон привлекательности
Количество взломанных IoT-устройств растет с каждым годом, а в 2017–2018 гг. укрепилась тенденция к созданию целых ботнет-сетей. Более того, в минувшем году хакеры перешли от взлома отдельных устройств к атакам на облачные сервисы «Интернета вещей» и IoT-платформы.
Взлом только одной такой платформы предоставляет злоумышленникам доступ к тысячам полностью работоспособных устройств одновременно, и бывает, что несанкционированное использование IoT-устройств долгое время остается незамеченным.
Возможность осуществления заказной DDoS атаки или майнинг на тысячах IoT-устройств делает такие атаки выгодными для хакеров. Фактически, чем больше IoT-решений обслуживает ваш сервис, тем выгоднее атака для злоумышленника. Поэтому если хакеры внезапно не станут ленивее и добрее, в 2018 году следует ожидать увеличения количества атак на целые облака и платформы.
Армады зараженных устройств
По мнению экспертов и аналитиков рынка информационной безопасности, 2017 год выявил ряд трендов, которых следует опасаться и на которые нужно обратить внимание.
Появился ряд новых вирусов и расширен арсенал киберпреступников за счет использования новых технологий, разработанных в том числе спецслужбами США, но ставшими инструментами хакеров (даже там происходят утечки).
В октябре 2016-го ботнет Mirai атаковал сеть DynDNS. Большая часть ботнета приходилась именно на «Интернет вещей». Взбесившиеся камеры, принтеры и другие IoT-устройства генерировали нагрузку порядка 1,2 Тбит/с.
В следующем, 2017 году использование кода Mirai для создания новых ботнетов стало трендом, и взломы IoT-устройств заметно участились. Можно уже говорить о том, что распространение «Интернета вещей» входит в ту стадию, когда их заражение и использование становится даже более выгодным, чем создание традиционных ботнетов из обычных компьютеров.
Ситуация усугубляется тем, что технологии «Интернета вещей» используются уже в промышленных масштабах: на крупных предприятиях, в архитектуре «безопасных» и «умных» городов и так далее. Для инфраструктурных решений, где также все чаще находит применение IoT, вопрос безопасности является первоочередным, но практика показывает, что применяемые решения все еще весьма уязвимы.
По умолчанию небезопасны
Сегодня сотни тысяч IoT-устройств поставляются на рынок с парой типа admin/admin в качестве логина и пароля. Именно этот факт стал отправной точкой для того, чтобы злоумышленники начали думать о том, как использовать подобные уязвимости. В результате на хакерских форумах появились ветки, где публикуются популярные пары логин/пароль и скрипты для поиска доступных IoT-устройств.
Специалист по информационной безопасности института SANS Technology Institute Иоганн Ульрих как-то поставил эксперимент, в ходе которого фиксировались попытки доступа к цифровому видеорегистратору Anran.
Эксперт подключил устройство к Интернету, намеренно оставив настройки по умолчанию, включая заводскую пару логин/пароль и возможность удаленного доступа по протоколу Telnet. Затем он в течение двух дней регистрировал все попытки входа в систему.
За все время эксперимента, который длился 45 часов 42 минуты, было зарегистрировано более 10 попыток входа с разных IP-адресов. Получилось, что в среднем раз в две минуты кто-то пытался зайти в устройство, пользуясь скомпрометированными учетными данными.
Анализ IP-адресов показал, что устройство было атаковано с других зараженных вредоносным ПО IoT-устройств. Используя сканеры и списки паролей по умолчанию, они в случайном порядке перебирают IP-адреса и пытаются установить соединение через Telnet или SSH.
В минувшем году этот эксперимент повторили другие специалисты, и оказалось, что сканеры, определяющие уязвимые IoT-устройства, не снизили свою активность. Более того, заражение IoT-устройства с заводскими настройками стало происходить еще быстрее – в среднем в течение полутора минут. Видимо, этим и вызваны периодические эпидемии DDoS-атак ботнетов типа Mirai.
Спрятаться не получится
В «Интернете вещей» использование операционной системы, отличной от Windows, не гарантирует бóльшую безопасность устройства. Зачастую такое решение взламываются с применением уязвимостей веб-интерфейса. Почти все они критичны, но производитель не всегда быстро корректирует ситуацию.
Существует огромное количество технологий, которые используют бесконечно разнообразные протоколы соединений с целым «зоопарком» устройств на самых разных аппаратных архитектурах под управлением разных операционных систем. Но это не снижает, а только увеличивает количество угроз информационной безопасности. И теперь нельзя защититься от них никаким антивирусом. Взлом таких систем, если кто-то сочтет это целесообразным, лишь вопрос времени.
Впрочем, человеческий фактор по-прежнему играет решающую роль. Большинство вредоносных программ попадает в корпоративные и домашние сети через электронную почту. Невнимательные сотрудники компаний открывают файлы и ссылки от неизвестных отправителей и... бинго! Даже недоступные из внешней сети компьютеры и устройства IoT заражены!
В связи с этим особую роль приобретает повышение общей компьютерной грамотности, своевременное обучение и повышение квалификации сотрудников, разработка политики информационной безопасности.
Согласно исследованиям Osterman Research, 61% компаний, внедривших у себя технологии IoT, уже столкнулись с необходимостью устранять проблемы безопасности IoT, но лишь 49% опрошенных следуют формальным политикам и принятым в компании процедурам установки исправлений ПО, помогающим предотвращать атаки.
Главенство закона
Разработка таких политик, равно как и обучение персонала и другие элементы обеспечения ИБ, становится обязательными для инфраструктурных компаний, поскольку вступает в силу законодательство по безопасности критической информационной инфраструктуры (187-ФЗ и др.).
Это снова увеличит затраты на обеспечение кибербезопасности, а возможно, и поспособствует дальнейшей технологической «гонке вооружений». Ожидается также усиление контроля за исполнением закона «О защите персональных данных» 152-ФЗ.
Согласно этому федеральному закону, если вы работаете с персональными данными, то должны охранять эту информацию от несанкционированного доступа, похищения и разглашения. Для этого нужны не только аппаратно-программные средства, но и ряд мероприятий и целый пакет обязательных документов, регламентирующих необходимые меры и соблюдение правил защиты информации вашими сотрудниками.
В зависимости от специфики деятельности компанию проверяют Роскомнадзор, ФСТЭК, ФСБ т/д. Одних интересует только документация, других – технические средства. При этом список документов, необходимых для обеспечения защиты персональных данных согласно 152-ФЗ, насчитывает около 35 разных бумаг, и мало кто знает, что это за документы и как они должны выглядеть. Тем не менее на рынке уже есть решения, позволяющие выстроить защиту, подготовить документацию и проследить за исполнением всех мероприятий по обеспечению информационной безопасности.
Простые правила
Повысить уровень защиты от IoT-угроз можно при помощи нескольких простых мер. При установке устройства нужно в обязательном порядке менять заводскую пару логин/пароль и устанавливать последние обновления.
Вообще своевременная установка обновлений безопасности важна для любых систем и в особенности для IoT-устройств, поэтому следует разработать политику, согласно которой развертывание обновлений безопасности должно происходить максимально быстро – максимум в течении суток с момента выхода. Кстати, сейчас, согласно исследованиям, такой политики придерживается лишь треть компаний, остальные обновляют ПО спустя два дня и более.
Кроме того, IoT-устройства можно переместить в отдельную защищенную сеть, чтобы они не находились в одной среде с важными активами организации.
Ну и самое главное. Как бы вы ни старались защитить IoT-устройства, нужно быть готовыми к инцидентам безопасности, связанными с «Интернетом вещей». Иметь под рукой технические и организационные инструменты для максимально быстрого реагирования.
Организациям со сложной структурой имеет смысл исходить из того, что инциденты, связанные с ИБ, в том числе и IoT-устройств, будут происходить.
Число узлов, непосредственно взаимодействующих с незащищенной интернет-средой в крупных организациях, как правило, становится все больше. А чем протяженнее периметр системы, тем сложнее ее защищать. В какой-то момент вы можете прийти к тому, что стоимость полного блокирования угроз станет сопоставимой с ценностью защищаемой информации.
В этот момент нужна смена парадигмы защиты. Нужно закрыть наиболее очевидные уязвимости, но при этом, возможно, имеет смысл отказаться от идеи абсолютной защиты. Рано или поздно атака произойдет. И ваша задача – вовремя ее заметить и принять меры.
Такая смена подхода нашла поддержку со стороны государства. Подтверждение тому – организация системы ГосСОПКА и недавно принятый закон о критической информационной инфраструктуре, где прямо определена обязанность ряда компаний и госструктур в постоянном режиме проводить мониторинг инцидентов информационной безопасности.
Но важно понимать, что если выявление инцидентов – техническая проблема, то вопрос реагирования на инциденты лежит уже в организационной плоскости. А этот процесс тоже можно и нужно автоматизировать.
Только симбиоз технически совершенных аналитических средств и систем автоматизации менеджмента ИБ способен противостоять современным угрозам.
Опубликовано 20.07.2018