IBM X-Force Red займется защитой автомобилей и промышленного интернета вещей

IBM X-Force Red защитит автомобили и промышленный интернет вещей

IBM X-Force Red защитит автомобили и промышленный интернет вещей

Подразделение IBM Security объявило о создании двух новых отделений практики по тестированию безопасности решений, ориентированных на автомобильную индустрию и интернет вещей (IoT). Оказывать услуги будут исследователи IBM X-Force Red – специалисты в области тестирования backend-процессов, приложений и оборудования, используемых для контроля над доступом и управления умными системами.

Новые услуги в сфере интернета вещей будут предоставляться как дополнение к платформе Watson IoT Platform. Таким образом, компании-разработчики IoT-решений для разных отраслей получат возможность на этапе дизайна учитывать требования по информационной безопасности. Сегодня вероятность привнесения уязвимостей в существующие системы остается недопустимо высокой, поскольку 58% организаций тестируют свои приложения интернета вещей только на этапе реализации. Использование Watson IoT Platform позволит настроить конфигурацию и управление IoT-средами, а сервисы IBM X-Force Red добавляют дополнительный этап тестирования системы безопасности и защиты от несанкционированного доступа.

Первая годовщина с момента создания подразделения IBM X-Force Red была ознаменована присоединением к команде известных специалистов по безопасности – Криса Томаса, (псевдоним Space Rogue), и Дастин Хейвуд (псевдоним Evil_Mog with Team Hashcat).  В целях дальнейшей оптимизации работы IBM X-Force Red создало взломщик паролей под названием «Cracken», который призван помочь компаниям более грамотно подходить к выбору паролей.

«По нашим наблюдениям, за последний год тестирование систем безопасности стало ключевым компонентом, который заказчики включают в программы информационной безопасности, – сказал Чарльз Хендерсон, руководитель подразделения IBM X-Force Red. – Намного выгоднее обнаружить ошибки в продуктах и сервисах еще на стадии их проектирования, чем нести убытки от использования киберпреступниками уязвимостей системы. Наши собственные инвестиции в персонал, разработку инструментов и расширение экспертизы увеличили масштаб системы тестирования более чем в три раза только за первый год существования IBM X-Force Red. Такие упреждающие меры – лучший способ защиты заказчиков».

По оценкам Gartner, производство автомобилей, подключенных к интернету с помощью встроенного коммуникационного модуля или же мобильного устройства, достигнет 61 млн к 2020 году. Учитывая текущие и потенциальные проблемы в этой области, подразделение IBM X-Force Red создало автомобильную практику, деятельность которой направлена на повышение уровня защиты оборудования, сетей, приложений и систем взаимодействия с пользователями.

Сотрудничество с более 12 производителями автомобилей и поставщиками комплектующих позволило IBM X-Force Red накопить необходимую экспертизу и программно подойти к услугам тестирования и консультирования. Основными целями автомобильной практики являются подготовка и обмен лучшими кейсами в отрасли и стандартизация протоколов безопасности.

В своей работе отделение будет также использовать некоторые выводы исследования IBM X-Force Red, обнародованные ранее в этом году. В частности, документ обращает внимание потребителей и представителей автомобильной промышленности на существование подводных камней в системе безопасности «подключенных» автомобилей. Например, на незащищенную передачу собственности между владельцами в некоторых таких автомобилях. Благодаря этой уязвимости, злоумышленники могут захватить контроль над функциями транспортного средства, в том числе получить доступ к блокировке и разблокировке дверей, дистанционному запуску двигателя, системе освещения и звуковым сигналам, а также отследить местоположение владельца автомобиля с помощью мобильного приложения. Когда эти выводы были озвучены на конференции RSA 2017, г-н Хендерсон и специалисты IBM X-Force Red рассказали о том, что представленные «лазейки» в системе безопасности были выявлены у четырех крупнейших автопроизводителей.

Количество взаимосвязанных компонентов и систем в современном транспортном средстве может насчитывать сотни или тысячи единиц. При этом каждый элемент имеет свою систему управления безопасностью и возможные уязвимости. Когда эти компоненты комбинируются и подключаются к мобильным приложениям и внешним серверам, общее число потенциальных уязвимостей для автомобиля превышает сумму уязвимостей каждой ее части. Принимая во внимание этот факт, IBM X-Force Red проводит отдельное тестирование системы безопасности для каждого элемента и системное тестирование для всего транспортного средства.

По прогнозам Gartner, в 2017 году во всем мире будет использоваться 8,4 млрд подключенных устройств, что на 31% больше, чем в 2016 году. К 2020 году этот показатель достигнет 20,4 млрд. Инсайты, полученные благодаря анализу IoT-данных, способствуют увеличению прибыли компании и выстраиванию продолжительных отношений с потребителями. В то же время высокий спрос и сокращенные циклы производства приводят к недостаточно качественному тестированию новых продуктов и сервисов на защищенность или даже к полному отсутствию этого этапа в процессе разработки.

IBM X-Force Red трансформировало подход к тестированию защищенности продуктов, обратив внимание на очевидные недочеты в системе безопасности новых технологий, таких как IoT и «подключенные» автомобили. Программные проверки и тестирование по запросу на протяжении всего жизненного цикла продуктов становятся наиболее оптимальными способами поиска уязвимостей. Пользователи платформы Watson IoT Platform теперь могут эффективно задействовать экспертизу подразделения IBM X-Force Red в сфере безопасности для собственной разработки и развертывания приложений и сервисов.

«IBM является надежным ИТ-партнером в сфере IoT-решений. Речь идет не только о технологии, но и о глобальном охвате, инвестициях и сотрудничестве, – сказал Джеймс Мерфи, менеджер по предложениям IBM Watson IoT Platform. – Интернет вещей проникает в самые разные сегменты отрасли, поэтому IBM объединяет возможности Watson IoT Platform и талантливых специалистов по безопасности X-Force Red для решения текущих и будущих проблем».

Watson IoT Platform придерживается подхода «security by design», когда требования системы безопасности учитываются на этапе проектирования и разработки продукта, что подразумевает встроенные инструменты защиты данных. Платформа предоставляется в качестве облачного сервиса и соответствует принятым в отрасли стандартам ISO27001. Watson IoT Platform усовершенствовала возможности безопасности IoT-сервисов благодаря подключению к платформе решения Threat Intelligence for IoT. Новые функции позволяют заказчикам визуализировать критические риски в IoT-среде и настроить процессы автоматизации с учетом политики использования. Таким образом, специалисты смогут распределять по приоритетности операционные отклики на инциденты, связанных с интернетом вещей.

Благодаря навыкам и опыту команды X-Force Red, а также возможностям Watson IoT Platform, заказчики будут обеспечены всеми необходимыми компонентами для полного цикла разработки IoT-решения: от проектирования до внедрения. 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Уязвимые Yealink Meeting Server могут слить учетки участников видеовстреч

Эксперты Positive Technologies выявили в Yealink Meeting Server уязвимость, позволяющую аутсайдеру получить учетные данные всех пользователей системы видео-конференц-связи (ВКС) в целевой организации.

Патч включен в состав сборки 26.0.0.67 и давно доступен, однако далеко не все корпоративные клиенты провайдера удосужились его применить, в том числе в России. Тем, кто этого еще не сделал, рекомендуется обновить софт в кратчайшие сроки.

Уязвимость CVE-2024-48352 (7,5 балла CVSS) классифицируется как раскрытие конфиденциальной информации. Эксплойт осуществляется подачей на сервер HTTP-запроса с ID атакуемого предприятия.

«До своего исправления уязвимость CVE-2024-48352 позволяла любому злоумышленнику без авторизации получить учетные данные всех пользователей системы, — уточнил старший специалист PT по пентесту Егор Димитренко. — Это означает, что атакующий мог бы входить в ВКС-систему от имени любого пользователя и перехватывать информацию внутри организации».

По данным ИБ-компании, в прошлом месяце в интернете присутствовал 461 непропатченный экземпляр Yealink Meeting Server. Больше половины установок расположены в Китае, 13% — в России.

 

В начале этого года исследователи из PT обнаружили в том же продукте Yealink еще одну, более опасную проблему — CVE-2024-24091 (инъекция команд, 9,8 балла CVSS). Использование обеих уязвимостей в связке, по словам экспертов, позволяет получить начальный доступ к корпоративной сети.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru