Интернет вещей (IoT) и уровень защищенности инфраструктуры по SANS TOP20 CSC

Интернет вещей (IoT) и уровень защищенности инфраструктуры по SANS TOP20 CSC
В одной из своих заметок я описывал компоненты IoT, подлежащие защите. В другой заметке - перечень действий, которые требуются от производителя решений IoT. Попробуем оценить степень влияния на информационную безопасность инфраструктуры компании внедряемых решений IoT. Оценка качественная, по соответствию SANS TOP20 CSC.



name='more'> Если применить подход по обеспечению безопасности классического checklist от SANS Top 20 Critical Security Controls при внедрении IoT,  можно увидеть очень неутешительную картину как для крупных компаний (Corp), так и в сегменте среднего и малого бизнеса (SMB/SOHO):

Control name
Corp
SMB/SOHO
1
Inventory of Authorized and Unauthorized Devices ++
2
Inventory of Authorized and Unauthorized Software +/--
3
Secure Configurations for Hardware and Software on Mobile Device Laptops, Workstations, and Servers +-
4
Continuous Vulnerability Assessment and Remediation +-
5
Controlled Use of Administrative Privileges +/--
6
Maintenance, Monitoring, and Analysis of Audit Logs +-
7
Email and Web Browser Protections ++
8
Malware Defenses ++
9
Limitation and Control of Network Ports, Protocols, and Services +-
10
Data Recovery Capability + -
11
Secure Configurations for Network Devices such as Firewall Routers, and Switches + +/-
12
Boundary Defense +/--
13
Data Protection +/--
14
Controlled Access Based on the Need to Know +/--
15
Wireless Access Control +/--
16
Account Monitoring and Control +/-+/-
17
Security Skills Assessment and Appropriate Training to Fill Gaps +/-+/-
18
Application Software Security +/-+/-
19
Incident Response and Management +/--
20
Penetration Tests and Red Team Exercises +/--

Плюсы и минусы означают следующее:
+-  "будет": реализуемо в рамках текущей инфраструктуры, либо требует незначительной доработки/закупки/расширения.
+/-- "возможно, будет": требует значительной доработки/закупки/расширения, поддержки дополнительных функций производителем, либо отдельного решения и бюджета.
-- "не будет": стоимость реализации своими силами с большой вероятностью превысит разумный для размеров компании бюджет.

Оценка "будет - не будет" произведена экспертно, причем очень оптимистично  (полагая, что до внедрения IoT весь Corp был зеленый). Мнения других специалистов ИБ по мозаике раскраски таблицы могут отличаться от моего в зависимости от того, на каких примерах компаний будет выполняться сравнение, но общий вывод такой: внедрение IoT без дополнительных механизмов защиты существенно понижает уровень информационной безопасности инфраструктуры. 
Чтобы констатировать такой факт - не обязательно проводить анализ по SANS Top 20 CSC. Достаточно сделать репост любой ссылки, которую выдает поисковик по запросу "iot security". 

Для минимизации рисков ИБ от внедрения IoT важно понять:
  • Что нужно сделать для повышения уровня безопасности IoT
  • Кто должен это делать, чтобы цена была разумной
Итого, попытаемся расписать меры защиты при внедрении IoT-решений в соответствии с SANS TOP20 SCS:


Control name
ToDo
Who
1
Inventory of Authorized and Unauthorized Devices
1. Include IoT devices to device inventory process.
1. Customer
2
Inventory of Authorized and Unauthorized Software
1. Include IoT devices to the software inventory process.
2. Implement IoT software inventory support.
1. Customer
2.Vendor
3
Secure Configurations for Hardware and Software on Mobile Device Laptops, Workstations, and Servers
1. Implement security configuration management solutions for IoT infrastructure and users/admins’ devices.
2. Implement security compliance process for IoT infrastructure and users/admins’ devices.
3. IoT infrastructure secure configuration by default.
1,2.Customer
3. Vendor, solution provider
4
Continuous Vulnerability Assessment and Remediation
1. Include IoT to patch management and vulnerability management processes.
2. Patches and critical software upgrades support for IoT devices.
1. Customer
2. Vendor
5
Controlled Use of Administrative Privileges
1. Include IoT devices to admin privileges control process.
2. Implement IoT OS account control support.
1. Customer
2. Vendor
6
Maintenance, Monitoring, and Analysis of Audit Logs
1. Organize infrastructure for log management from the Internet.
2. Implement IoT OS remote log sending ability.
1. Customer
2. Vendor
7
Email and Web Browser Protections
1. IoT software and OS protection from malicious code.
Vendor
8
Malware Defenses
1. IoT software and OS protection from malicious code.
Vendor
9
Limitation and Control of Network Ports, Protocols, and Services
1. Implement security architecture for IoT devices.
2. Implement IoT network access ports control technologies and processes.
3. Implement ITGC controls for IoT network services.
Customer
10
Data Recovery Capability
1. Include IoT devices to data recovery processes.
2. Implement data recovery ability support for IoT devices.
1. Customer
2. Vendor
11
Secure Configurations for Network Devices such as Firewall Routers, and Switches
1. Implement security configuration management solutions for network devices controlling IoT.
2. Implement security compliance process for network devices controlling IoT.
Customer
12
Boundary Defense
1. Implement security architecture for IoT.
2. Implement security architecture support for IoT devices.
1. Customer
2. Vendor
13
Data Protection
1. Implement security architecture for IoT.
2. Implement IoT data management process.
3. Implement IoT configuration management process.
4. Implement IoT devices software and OS protection from malicious code.
5. Implement IoT devices software and OS ability to participate in data/configuration management process.
6. Implement security architecture support for IoT devices.
1. Customer
2. Customer
3. Customer
4. Vendor
5. Vendor
6. Vendor
14
Controlled Access Based on the Need to Know
1. Implement security architecture for IoT.
2. Implement security policy for IoT access control.
3. Implement IoT devices support for security architecture and corporate access control solution.
Customer
15
Wireless Access Control
1. Implement security architecture for IoT.
2. Implement wireless access control for IoT devices.
3. Implement security features for wireless IoT devices.
1. Customer
2. Customer
3. Vendor
16
Account Monitoring and Control
1. Implement account monitoring and control for IoT.
2. Implement account monitoring and control feature for IoT devices
1. Customer
2. Vendor
17
Security Skills Assessment and Appropriate Training to Fill Gaps
1. Trainings for staff to IoT threats mitigation.
2. IoT devices secure configuration by default.
1. Customer
2. Vendor
18
Application Software Security
1. Include IoT devices to the software security compliance process.
2. Implement IoT software secure development process.
1. Customer
2. Vendor
19
Incident Response and Management
1. Include IoT devices to incident response and management process.
2. Implement security features for IoT software.

1. Customer
2. Vendor
20
Penetration Tests and Red Team Exercises
PenTest IoT infrastructure
Customer

Таблица выше говорит о том, что потребитель должен выполнять требования контролей SANS Top20, а производитель устройств и решений IoT - реализовать возможность исполнения таких требований. Звучит просто - реализуется сложно. Но ничего невозможного в вышеописанном нет, если корпоративный клиент использует контроли SANS TOP20 и при выборе IoT-решения добавляет соответствующие пункты как обязательные в техническое задание.

Alt text

Ваш провайдер знает о вас больше, чем ваша девушка?

Присоединяйтесь и узнайте, как это остановить!

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed