Подразделение IBM Security объявило о создании двух новых отделений практики по тестированию безопасности решений, ориентированных на автомобильную индустрию и интернет вещей (IoT). Оказывать услуги будут исследователи IBM X-Force Red – специалисты в области тестирования backend-процессов, приложений и оборудования, используемых для контроля над доступом и управления умными системами.
Новые услуги в сфере интернета вещей будут предоставляться как дополнение к платформе Watson IoT Platform. Таким образом, компании-разработчики IoT-решений для разных отраслей получат возможность на этапе дизайна учитывать требования по информационной безопасности. Сегодня вероятность привнесения уязвимостей в существующие системы остается недопустимо высокой, поскольку 58% организаций тестируют свои приложения интернета вещей только на этапе реализации. Использование Watson IoT Platform позволит настроить конфигурацию и управление IoT-средами, а сервисы IBM X-Force Red добавляют дополнительный этап тестирования системы безопасности и защиты от несанкционированного доступа.
Первая годовщина с момента создания подразделения IBM X-Force Red была ознаменована присоединением к команде известных специалистов по безопасности – Криса Томаса, (псевдоним Space Rogue), и Дастин Хейвуд (псевдоним Evil_Mog with Team Hashcat). В целях дальнейшей оптимизации работы IBM X-Force Red создало взломщик паролей под названием «Cracken», который призван помочь компаниям более грамотно подходить к выбору паролей.
«По нашим наблюдениям, за последний год тестирование систем безопасности стало ключевым компонентом, который заказчики включают в программы информационной безопасности, – сказал Чарльз Хендерсон, руководитель подразделения IBM X-Force Red. – Намного выгоднее обнаружить ошибки в продуктах и сервисах еще на стадии их проектирования, чем нести убытки от использования киберпреступниками уязвимостей системы. Наши собственные инвестиции в персонал, разработку инструментов и расширение экспертизы увеличили масштаб системы тестирования более чем в три раза только за первый год существования IBM X-Force Red. Такие упреждающие меры – лучший способ защиты заказчиков».
По оценкам Gartner, производство автомобилей, подключенных к интернету с помощью встроенного коммуникационного модуля или же мобильного устройства, достигнет 61 млн к 2020 году. Учитывая текущие и потенциальные проблемы в этой области, подразделение IBM X-Force Red создало автомобильную практику, деятельность которой направлена на повышение уровня защиты оборудования, сетей, приложений и систем взаимодействия с пользователями.
Сотрудничество с более 12 производителями автомобилей и поставщиками комплектующих позволило IBM X-Force Red накопить необходимую экспертизу и программно подойти к услугам тестирования и консультирования. Основными целями автомобильной практики являются подготовка и обмен лучшими кейсами в отрасли и стандартизация протоколов безопасности.
В своей работе отделение будет также использовать некоторые выводы исследования IBM X-Force Red, обнародованные ранее в этом году. В частности, документ обращает внимание потребителей и представителей автомобильной промышленности на существование подводных камней в системе безопасности «подключенных» автомобилей. Например, на незащищенную передачу собственности между владельцами в некоторых таких автомобилях. Благодаря этой уязвимости, злоумышленники могут захватить контроль над функциями транспортного средства, в том числе получить доступ к блокировке и разблокировке дверей, дистанционному запуску двигателя, системе освещения и звуковым сигналам, а также отследить местоположение владельца автомобиля с помощью мобильного приложения. Когда эти выводы были озвучены на конференции RSA 2017, г-н Хендерсон и специалисты IBM X-Force Red рассказали о том, что представленные «лазейки» в системе безопасности были выявлены у четырех крупнейших автопроизводителей.
Количество взаимосвязанных компонентов и систем в современном транспортном средстве может насчитывать сотни или тысячи единиц. При этом каждый элемент имеет свою систему управления безопасностью и возможные уязвимости. Когда эти компоненты комбинируются и подключаются к мобильным приложениям и внешним серверам, общее число потенциальных уязвимостей для автомобиля превышает сумму уязвимостей каждой ее части. Принимая во внимание этот факт, IBM X-Force Red проводит отдельное тестирование системы безопасности для каждого элемента и системное тестирование для всего транспортного средства.
По прогнозам Gartner, в 2017 году во всем мире будет использоваться 8,4 млрд подключенных устройств, что на 31% больше, чем в 2016 году. К 2020 году этот показатель достигнет 20,4 млрд. Инсайты, полученные благодаря анализу IoT-данных, способствуют увеличению прибыли компании и выстраиванию продолжительных отношений с потребителями. В то же время высокий спрос и сокращенные циклы производства приводят к недостаточно качественному тестированию новых продуктов и сервисов на защищенность или даже к полному отсутствию этого этапа в процессе разработки.
IBM X-Force Red трансформировало подход к тестированию защищенности продуктов, обратив внимание на очевидные недочеты в системе безопасности новых технологий, таких как IoT и «подключенные» автомобили. Программные проверки и тестирование по запросу на протяжении всего жизненного цикла продуктов становятся наиболее оптимальными способами поиска уязвимостей. Пользователи платформы Watson IoT Platform теперь могут эффективно задействовать экспертизу подразделения IBM X-Force Red в сфере безопасности для собственной разработки и развертывания приложений и сервисов.
«IBM является надежным ИТ-партнером в сфере IoT-решений. Речь идет не только о технологии, но и о глобальном охвате, инвестициях и сотрудничестве, – сказал Джеймс Мерфи, менеджер по предложениям IBM Watson IoT Platform. – Интернет вещей проникает в самые разные сегменты отрасли, поэтому IBM объединяет возможности Watson IoT Platform и талантливых специалистов по безопасности X-Force Red для решения текущих и будущих проблем».
Watson IoT Platform придерживается подхода «security by design», когда требования системы безопасности учитываются на этапе проектирования и разработки продукта, что подразумевает встроенные инструменты защиты данных. Платформа предоставляется в качестве облачного сервиса и соответствует принятым в отрасли стандартам ISO27001. Watson IoT Platform усовершенствовала возможности безопасности IoT-сервисов благодаря подключению к платформе решения Threat Intelligence for IoT. Новые функции позволяют заказчикам визуализировать критические риски в IoT-среде и настроить процессы автоматизации с учетом политики использования. Таким образом, специалисты смогут распределять по приоритетности операционные отклики на инциденты, связанных с интернетом вещей.
Благодаря навыкам и опыту команды X-Force Red, а также возможностям Watson IoT Platform, заказчики будут обеспечены всеми необходимыми компонентами для полного цикла разработки IoT-решения: от проектирования до внедрения.
