Как пассивное снятие цифровых отпечатков помогает идентифицировать умные устройства

Как пассивное снятие цифровых отпечатков помогает идентифицировать умные устройства

Как пассивное снятие цифровых отпечатков помогает идентифицировать умные устройства

Ещё в 2016 году создатели ботнета Mirai наглядно показали риски для подключённых к Сети устройств, воспользовавшись уязвимостью тысяч «умных» девайсов. Становится очевидным, что действенную защиту от рисков для IoT невозможно обеспечить без точной идентификации любого устройства в интернете или корпоративной сети.

 

 

 

 

 

  1. Введение
  2. Как устроен интернет вещей и в чём его опасность
  3. Для чего применяют пассивную идентификацию IoT
  4. Как происходит пассивное считывание отпечатка ОС
  5. Параметры, фиксируемые при снятии цифровых отпечатков
  6. Особенности считывания отпечатков ОС в корпоративных сетях
  7. Выводы

Введение

По прогнозам сервиса Statista, к 2030 году количество «умных» устройств, используемых в корпоративных сетях и интернете, превысит 29 миллиардов. Эффективную защиту от рисков для интернета вещей может обеспечить только непрерывный мониторинг и контроль сетевой активности.

Однако для этого потребуется идентифицировать все обнаруженные в сети гаджеты. Сделать это можно путём снятия цифрового отпечатка операционной системы (ОС) устройства, о чём и рассказывается в этой статье.

Как устроен интернет вещей и в чём его опасность

Интернет вещей (Internet of Things, IoT) — это множество электронных устройств, которые соединены при помощи интернета и обмениваются данными между собой. Подобные «вещи» принято называть «умными» устройствами, поскольку они способны без прямого взаимодействия с человеком собирать и передавать информацию, выполняя заложенные в них функции. Концепция IoT объединила различные технические устройства, используемые в повседневной жизни: смарт-телевизоры, маршрутизаторы, IP-камеры, умные колонки, прочие гаджеты и бытовые приборы с доступом в интернет.

Проблема IoT заключается в том, что все эти устройства подключены к интернету и способны автоматически выполнять определённые задачи. В связи с этим киберпреступникам уже не раз удавалось использовать уязвимость интернета вещей и ненадёжность многих подключённых к Сети гаджетов.

Так, упомянутый выше ботнет Mirai сканировал интернет в поисках «умных» устройств на базе процессоров ARC, а затем перехватывал управление ими, добавляя в свою зомби-сеть. После обнаружения подходящего девайса он начинал применять простейший брутфорс, пока не получал доступ. Подобрать связку «логин — пароль» в большинстве случаев оказывалось несложно. Многие IoT-устройства по умолчанию имеют простые учётные данные наподобие «admin — password», которые предустановлены на заводе. Производители годами выпускают серийное оборудование с одними и теми же настройками по умолчанию, поскольку это облегчает им тестирование и сервисное обслуживание. А ведь сильный заводской пароль обеспечил бы хоть какую-то защиту от взлома.

 

Рисунок 1. Наглядное представление концепции IoT

Наглядное представление концепции IoT

 

Эксперты рекомендуют менять настройки непосредственно перед началом использования IoT-устройства. Рядовые пользователи обычно не обращают внимания на эти тонкости, предпочитая доверить управление официальному приложению от поставщика. Неудивительно, что в ботнете Mirai оказалось около 145 тысяч IoT-устройств. Благодаря этому создателям Mirai удалось организовать массовые DDoS-атаки на сетевые ресурсы нескольких хостинг-провайдеров и популярные интернет-площадки. 

Этот случай — далеко не единственный, хоть и считается одной из самых масштабных атак на «умные» устройства. Один из известных преемников Mirai — ботнет Satori, который стал использовать гаджеты не только для DDoS-атак, но и для более сложных задач вроде майнинга. Большинство кибератак на смарт-устройства «умного дома» базируются на модификациях вредоносных программ Mirai, Gafgyt и NyaDrop. При этом мы наблюдаем, что «умными» устройствами обрастает всё больше отраслей, включая промышленность, здравоохранение, финансовый сектор, гостиничный бизнес.

В связи с широким использованием «умных» устройств на производстве, в медицинских учреждениях и на других предприятиях возникла потребность в создании защищённого промышленного интернета вещей (IIoT). Примером такого проекта стало создание программного шлюза Kaspersky IoT Secure Gateway от «Лаборатории Касперского». Однако коммерческим организациям уже сейчас приходится внедрять собственные решения для обеспечения безопасности IoT-систем.

Для чего применяют пассивную идентификацию IoT

Рост числа «умных» устройств поставил перед специалистами по информационной безопасности закономерный вопрос: как управлять трафиком IoT и обеспечить защиту других узлов сети? Ведь по этому вектору киберпреступники могут нарушить конфиденциальность информации ограниченного доступа или захватить управление ресурсами жизнеобеспечения — например, системой энергоснабжения.

Администраторы ИБ могут распознать вид устройства и его ОС по уникальным идентификаторам, передаваемым предустановленным программным обеспечением — клиентскими приложениями. Однако инсталляция таких приложений может быть недоступна для некоторых ОС или попросту невозможна. В частности, это относится к тем ОС, которые применяются в устройствах интернета вещей и интегрируемых системах.

В конце концов, устройства IoT созданы для выполнения конкретных задач, а потому обычно обладают весьма ограниченными ресурсами. Это касается прежде всего производительности, а также объёма памяти и внутреннего хранилища. Из-за этого устройства IoT могут не поддерживать установку некоторых дополнительных приложений.

По этим причинам нас интересует метод пассивной идентификации, не требующий установки каких-либо программ. При этом он должен быть столь же эффективным, как система мониторинга, оптимизированная под конкретные требования к устройствам IoT. К таким методам относится считывание цифрового следа.

 

Рисунок 2. Пассивная идентификация ОС подобна считыванию отпечатка пальца

Пассивная идентификация ОС подобна считыванию отпечатка пальца

 

Как происходит пассивное считывание отпечатка ОС

На практике пассивная идентификация ОС сравнима с незаметной работой службы безопасности, которая стремится выявить среди общей массы людей потенциальных нарушителей на основе их внешнего вида и поведения, не вступая в прямое взаимодействие с ними. По аналогии с этим примером, взаимодействие устройства с сетевым пространством может многое сообщить о его принадлежности, функциональности и скрытых угрозах.

Пассивное считывание не требует установки клиентского приложения. Версия и специфика ОС определяются путём анализа структуры сетевого трафика, а также поведения, демонстрируемого устройством.

Пассивно снятый отпечаток ОС (Passive OS Fingerprint, pOf) — это набор атрибутов сетевого трафика, косвенно указывающий на ОС клиентского устройства. Также его определяет канал связи, через который установлено интернет-соединение.

Этот подход основан на устоявшихся методах и на использовании баз стандартных отпечатков. Последние обобщают схемы трафика и поведения, характерные для различных ОС — например, параметры, которые транслируются в заголовках TCP/IP и запросах DHCP.

По сути, при пассивном фингерпринтинге, т. е. снятии цифровых отпечатков, генерируемый устройством сетевой трафик и его параметры сопоставляются с известными профилями ОС, что позволяет классифицировать конкретную сетевую активность.

Параметры, фиксируемые при снятии цифровых отпечатков

Для снятия цифровых отпечатков ОС могут применяться следующие характеристики устройства:

  1. MAC-адрес — уникальный идентификатор, которым обладает каждое сетевое устройство. Идентификация MAC-адресов широко используется при обеспечении контроля доступа к сетевым ресурсам. Каждый MAC-адрес обычно содержит уникальный идентификатор организации (OUI), присвоенный единице оборудования производителем. Например, распознав MAC-адрес «88:66:5a:12:08:8E», администратор ИБ сможет определить, что данное техническое устройство произведено компанией Apple, поскольку префикс «88:66:5a» связан с Apple Inc. Аналогично, поток трафика устройств интернета вещей содержит MAC-адреса с OUI, которые специфичны для конкретных производителей. Впрочем, не стоит сбрасывать со счетов возможность программного клонирования / подмены MAC-адресов.
  2. Параметры TCP/IP. В заголовках пакетов TCP и IP есть определённый набор полей соответствующего формата. Различные операционные системы неодинаково реализовывают атрибуты TCP/IP и отличаются узнаваемыми значениями полей, такими как время жизни пакета (TTL), размер окна, флаги в заголовке TCP и многие другие. Администраторы ИБ могут сравнить и проанализировать эти поля, чтобы определить базовую ОС на основе типичной для неё реализации стека TCP/IP. Тем не менее отпечаток TCP/IP также можно замаскировать на уровне прокси-сервера.
  3. Протокол HTTP. Когда клиентское устройство обменивается сетевыми данными с сервером по протоколу HTTP, оно передаёт специальный заголовок User-Agent. В этом поле содержатся сведения о названии и версии программного обеспечения, ОС устройства и другие данные. Пример значения заголовка в браузере Chrome под Linux: «Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.1». Администраторы ИБ могут просматривать это поле, а также другие строки в HTTP-сообщении для идентификации устройства.
  4. Запросы DHCP. DHCP — это сетевой протокол динамической настройки узла, используемый для автоматического назначения IP-адресов. Запросы DHCP включают в себя определённые поля, сообщающие ту или иную информацию о клиенте. К таким сведениям относятся имя хоста, идентификатор класса поставщика, а также тип ОС. Из-за наличия дополнительных настроек и многочисленных модификаций запросы DHCP нельзя считать надёжным источником информации для определения базовой ОС, но их по-прежнему считают полезными, когда ставится задача подробной идентификации устройства.

Несмотря на некоторую ограниченность, комплексная оценка поведения и параметров на уровне протокола TCP/IP в большинстве случаев позволяет решить задачу достоверной идентификации гаджетов. Администраторы ИБ могут опираться на отпечаток ОС для обоснования решений относительно контроля доступа и соблюдения политик сетевой безопасности.

Особенности считывания отпечатков ОС в корпоративных сетях

Учитывая быстрый рост интернета вещей и связанных с ним уязвимостей, отпечатки (фингерпринты) ОС актуальны для пассивной идентификации устройств в корпоративных сетях. К примеру, известно, что самой популярной целью хакеров остаются роутеры, камеры и принтеры. Однако снятие цифровых отпечатков вручную — сложная задача, требующая практических знаний в этой области и занимающая много времени.

Проблема заключается в масштабах. Анализировать вручную поток трафика в корпоративных сетях практически невозможно, ведь для этого придётся сопоставить тысячи уникальных идентификаторов. Чтобы решить эту задачу, предприятия могут прибегнуть к возможностям конвергентной сетевой инфраструктуры и облачного стека безопасности. Облачный стек, такой как SASE (Secure Access Service Edge) или SSE (Secure Service Edge), способен обеспечить доступ к требуемым ресурсам. Чтобы проанализировать большой поток сетевого трафика, можно подключить алгоритмы машинного обучения. Это позволит выявить признаки подозрительного поведения, создавая шаблоны на основе статистики обработки данных.

Конвергентная сетевая инфраструктура способна обеспечить автоматизированный сбор и анализ сетевых данных. Полученную информацию можно сопоставить со сведениями по безопасности из разных источников, таких как системы обнаружения кибератак, журналы брандмауэра и решения для маршрутизаторов. Это позволит составить общую картину сетевой активности, а также выявить связи с конкретными ОС и устройствами интернета вещей.

Выводы

Контроль сетевой безопасности, обнаружение подозрительной активности, предупреждение потенциальных угроз и противодействие интернет-атакам неотделимы от обязательной идентификации устройств IoT. Без понимания этих принципов ИТ-специалисты и службы ИБ организаций не смогут внедрять эффективные меры защиты данных.

Конвергенция значительно облегчает автоматическую идентификацию и классификацию клиентских устройств на основе их уникальных характеристик, а организация централизованной консоли управления упрощает процесс идентификации и анализа цифровых отпечатков ОС на предприятии. Такие меры помогут обеспечить незамедлительную реакцию по вопросам предоставления «умным» устройствам доступа ко внутренней сети организации, а также соблюдения политик безопасности.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru