Угрозы безопасности IoT-систем

Андрей, для начала давайте определимся с тем, что же такое интернет вещей и для чего его применяют?

В настоящее время нет четко сформулированного определения IoT, это скорее некоторый набор концепций, который каждый из игроков рынка трактует по-своему. Например, по версии компании IBM, IoT - это набор устройств, которые взаимодействуют друг с другом и с пользователем. Каждое устройство должно быть достаточно интеллектуальным, чтобы самостоятельно обрабатывать некоторый объем данных, либо получая информацию извне, либо передавая данные со своих сенсоров и датчиков другим устройствам.

Компания Cisco презентует более широкую концепцию Internet of Everything и под интернетом вещей подразумевает набор любых устройств, подключенных к сети интернет, которые взаимодействует либо с другими устройствами, либо с пользователем. К 2020му году, по разным оценкам, количество таких устройств должно составить от 37 до 50 млрд.

Есть различные сценарии применения интернета вещей. Например, эти устройства применяются для повышения комфорта человека, когда он дома, в автомобиле или на работе. Кстати, следует разделять понятия механизации, автоматизации и технологии умного дома. Например, если у нас есть окно и сервопривод, который позволяет открывать и закрывать окно, то это механизация. На следующем этапе у нас появляется расписание, согласно которому окно открывается и закрывается во время обеденного перерыва, чтобы впустить свежий воздух в помещение. Это уже автоматизация. И последний этап - это умный дом, когда команда на открытие окна отдается устройству только после учета всех возможных факторов, например, погоды за окном, температуры внутри помещения, информации о том, сколько людей в комнате. Это как раз и является примером классического интернета вещей.

В чем отличия IoT в Enterprise от классического интернета вещей?

IoT в Enterprise представляет из себя все лучшее, что могут предоставить системы домашней автоматизации и АСУТП (автоматизированные системы управления технологическими процессами), но при этом обогащаются информацией, необходимой для повышения эффективности и снижения накладных расходов при ведении бизнеса. В частности, это могут быть системы учета передвижений сотрудников курьерских служб, трекеры, прикрепляемые к ценному грузу (отслеживающего координаты по GPS, сохраняющий статистику по температуре и влажности на этапе транспортировки), системы повышения безопасности работы сотрудников на промышленных предприятиях и многое другое.

Какие угрозы актуальны для IoT -систем?

Полный перечень угроз довольно большой, и в рамках интервью будет сложно раскрыть всей глубины проблемы, поэтому остановлюсь на самых основных моментах.

В рамках IoT-систем сбор данных идет в режиме реального времени. Например, данные о доступности дорогого промышленного оборудования, информация для контроля дорожного трафика, данные о состоянии здоровья человека, фотоматериалы, документы и пр. Устройства, передающие такого рода данные, могут иметь уязвимости, что в свою очередь может приводить к утечкам чувствительных данных. Также уязвимости могут быть на уровне протоколов взаимодействия элементов интернета вещей. Это достаточно серьезная проблема, если лет 10-15 назад большинство устройств работали по клиент-серверной модели и представляли собой закрытые сети, то сейчас большинство устройств подключаются друг к другу напрямую, в обход центрального сервера, при этом облачная платформа используется для управления и сбора статистики. Это размывает периметр информационной безопасности и заставляет организации пересматривать подходы к организации защиты на сетевом уровне.

С точки зрения прикладных протоколов сейчас все производители пытаются придумать что-то свое, какой-то общей стандартизации пока нет. Есть только ряд рекомендованных протоколов прикладного уровня, это в частности, MQTT (Message Queue Telemetry Transport), Constrained Application Protocol (CoAP) и Advanced Message Queuing Protocol (AMQP). Однако многие производители IoT-устройств изначально были производителями электрооборудования, а не ИТ-компаниями, и, как следствие, когда они придумывают собственные протоколы и стандарты, то очень редко задумываются о безопасности.

Другая угроза – это взлом конечных устройств для организации атаки на инфраструктуру компании или предприятия через IoT-устройства. В качестве примера здесь можно привести случай, когда одна из модификаций ботнета Mirai заразила более 5 миллионов устройств, в том числе и IoT (веб-камеры и пр.) в 164 странах мира. Это, в частности, привело к тому, что у одного из немецких интернет-провайдеров были заражены практически все роутеры, что повлекло за собой серьезные репутационные потери.

Еще одна угроза – это получение управления устройствами IoT и искажение поступающих от них данных. Например, если интернет вещей используется в медицине, то врач может получать неправильные данные о состоянии пациента (от датчика) и назначить неправильное лечение.

Как защититься от этих угроз?

Обеспечение защиты конечных узлов при внедрении IoT включает в себя анализ прошивки с последующей сертификацией на отсутствие недокументированных возможностей, харденинг (усиление защиты) операционной системы, выявление уязвимостей в режиме реального времени, корректную настройку встроенного межсетевого экрана, предотвращение вторжений как на прикладном уровне, так и на уровне протоколов передачи данных, VPN, внедрение контроля целостности прошивки, создание единого центра сертификации либо децентрализованной доверенной системы аутентификации для общения между различными устройствами.

Требуется также обеспечить защиту облачной инфраструктуры, которая осуществляет управление и мониторинг, агрегирует и анализирует информацию, получаемую от IoT-устройств. После этого можно переходить к подбору межсетевых экранов, WAF, систем предотвращения вторжений, VPN, средств защиты от DDoS и отслеживания поведения пользователей, SIEM. В каждом конкретном случае определяются дополнительные требования, специфичные для защиты IoT-устройств.

Если говорить про подход к защите IoT-систем в целом, то это нужно делать с одновременной проработкой требований ИБ, то есть детально анализировать риски, появляющиеся с внедрением тех или иных технологий IoT, и выстраивать систему с учетом минимизации этих рисков. На сегодняшний день я бы однозначно порекомендовал использовать IoT только для тех бизнес-процессов, нарушение функционирования которых не приводит к драматическим последствиям для бизнеса и здоровья людей.