Как обеспечить безопасность IoT-устройств (Интернет вещей, Internet of Things)

Как обеспечить безопасность IoT-устройств

Как обеспечить безопасность IoT-устройств

Интернет вещей (Internet of Things) — уже очевидная реальность для бизнес-процессов компаний и корпоративных инфраструктур. Однако, несмотря на огромное количество «умных» устройств, работающих на предприятиях и в промышленных сетях, безопасность IoT зачастую оставляет желать лучшего. Ведущие эксперты рынка информационной безопасности собрались в нашей студии, чтобы обсудить, как исправить положение, и рассказать о методах защиты интернета вещей.

 

 

 

 

 

  1. Введение
  2. Что такое IoT и как его защищать
  3. Технологии защиты IoT
  4. Практика защиты IoT-устройств
  5. Тренды и прогнозы рынка
  6. Выводы

Введение

Очередной прямой эфир онлайн-конференции AM Live был посвящён вопросам обеспечения безопасности интернета вещей. Количество IoT-устройств растёт взрывными темпами, однако обратной стороной этого процесса является слабая безопасность многого (из представленного на рынке) оборудования этого класса. Мы собрали экспертов — представителей вендоров и системных интеграторов, чтобы в прямом эфире разобраться, как правильно защищать огромное количество мелких, но уже незаменимых устройств.

В студии Anti-Malware.ru собрались:

  • Михаил Кондрашин, технический директор компании Trend Micro в СНГ, Грузии и Монголии.
  • Владимир Потапов, ведущий консультант компании IBM Security.
  • Марина Сорокина, руководитель направления отдела развития продуктов компании «ИнфоТеКС».
  • Александр Карпенко, руководитель направлений защиты АСУ ТП и КИИ компании «Инфосистемы Джет».
  • Дмитрий Митюшин, менеджер по развитию бизнеса компании «Лаборатория Касперского».

Ведущий и модератор дискуссии: Олег Седов, директор по развитию направления «Кибербезопасность населения» компании «Ростелеком-Солар».

 

 

Что такое IoT и как его защищать

В первой части беседы Олег Седов предложил спикерам дать определение IoT и обрисовать основные проблемы, связанные с обеспечением безопасности этого класса устройств. Вот что сообщили по этому поводу собравшиеся в студии эксперты.

Владимир Потапов:

— Существуют разные трактовки того, что такое IoT-устройства. Мы в своей практике определяем их как устройства, которые могут передавать, получать и обрабатывать данные, а также имеют операционную систему, пусть даже простейшую. Классифицировать IoT можно следующим образом: ИТ-инфраструктура, офисные устройства и периферия, автоматизация знаний, промышленные и медицинские системы, персональные устройства.

Михаил Кондрашин:

— IoT появился и стал популярен гораздо быстрее, чем мы это осознали. Поэтому единых подходов к обеспечению безопасности таких устройств ещё не выработано. С точки зрения ИБ это — «подрывная технология». Стоит отметить, что слабая защищённость и широкая распространённость IoT-устройств несёт реальные угрозы жизни и здоровью людей.

Дмитрий Митюшин:

— Экспоненциальный рост числа IoT-устройств, новых протоколов и технологий приводит к росту гетерогенной сети передачи данных. В этих условиях ИБ-сообщество должно задавать тренды построения таких киберфизических систем. В первую очередь это — вопрос международной стандартизации протоколов и сетей передачи данных.

Марина Сорокина:

— Для меня коллизия безопасности интернета вещей состоит в наличии огромного количества разрозненных устройств, у которых нет контролируемой зоны и которые сложно защищать используя традиционные подходы. При этом стоимость таких устройств невелика, а сфера применения — разнообразна. Большинство IoT-вендоров не уделяет должного внимания информационной безопасности, поскольку это дорого и требует процессного подхода. В результате получаем ситуацию, когда безопасность бизнеса может пострадать из-за атаки с использованием множества мелких плохо защищённых устройств.

Александр Карпенко:

— Проблема безопасности интернета вещей состоит в уменьшении границ наблюдаемости до одного устройства, которое, по сути, представляет собой чёрный ящик. В результате вместо понятного воздействия на технологические или иные процессы физического мира через цепочку взаимосвязанных аппаратных элементов мы получили устройство, которым трудно управлять в случае его некорректной работы.

Как обеспечить безопасность IoT-устройств, сохранив их невысокую стоимость? По мнению участников конференции, производителям необходимо предложить инструменты разработки, которые бы существенно снизили затраты на внедрение средств безопасности в конечные изделия на этапе их проектирования и производства. Такой запрос от разработчиков уже есть, и он является отражением запросов пользователей — в первую очередь корпоративных, поскольку IoT всё больше применяется в промышленности и энергетике. Как метко выразились наши эксперты, именно спрос сделает интернет вещей защищённым.

Граница между устройствами для бизнеса и домашним оборудованием в случае IoT размыта, поскольку одна и та же «умная» лампочка может как использоваться для освещения квартиры, так и применяться в производственных помещениях. При этом уровень рисков на корпоративном уровне будет значительно выше. Эксперты отметили, что к IoT применимы требования к безопасности систем используемых в критической инфраструктуре.

Чтобы узнать мнение зрителей прямого эфира по обсуждаемой теме, мы спросили у них, насколько целесообразно применять IoT в бизнес-процессах. Большинство участников опроса — 60 % — ответили, что использование устройств интернета вещей допустимо, но лишь с обязательным соблюдением требований по ИБ. Ещё 18 % респондентов считают, что IoT можно применять только для незначимых бизнес-процессов, а 13 % допускают использование таких устройств и в критически важных сферах. Наконец, 9 % опрошенных думают, что IoT не место в бизнес-процессах.

 

Рисунок 1. Насколько, на ваш взгляд, целесообразно применять IoT в бизнес-процессах компании?

Насколько, на ваш взгляд, целесообразно применять IoT в бизнес-процессах компании?

 

Технологии защиты IoT

В продолжение беседы модератор предложил поговорить о технологиях, которые используются для обеспечения безопасности IoT-устройств. Какие проблемы и вызовы стоят перед производителями и заказчиками в этой сфере? Какие существуют пути решения? Каковы наиболее перспективные подходы к ИБ в интернете вещей?

Как отметили спикеры онлайн-конференции, существует большое количество производителей и множество категорий IoT-оборудования. При этом у каждого устройства есть определённые поведенческие признаки, по которым мы можем его детектировать. Для обеспечения безопасности важно представлять, какие устройства используются в сети, сегментировать инфраструктуру, чтобы отгородить IoT-устройства от потенциально более опасных частей сети, а также через специализированные шлюзы контролировать подключение этого типа оборудования к облаку.

По мнению наших экспертов, фундаментальная проблема защиты IoT-устройств — невозможность установить на них накладные средства безопасности. Поэтому ключевой способ защиты в интернете вещей — это мониторинг трафика устройства, который позволяет выявить момент взлома (например, зафиксировать множественные попытки подбора пароля). Однако если устройство не работает напрямую с облаком, а передаёт информацию в некоторый IoT-шлюз, то такой мониторинг будет затруднён.

Интернет вещей настолько многообразен, что подходы к защите разных устройств могут существенно отличаться друг от друга. В ряде случаев можно использовать инструменты безопасности на уровне протокола, а также (неизбежно) на уровне самого устройства. Оборудование должно поддерживать защищённые стандарты передачи данных и уметь безопасно хранить необходимые для этого ключи. Таким образом, основная концепция безопасности IoT — это защита самого устройства и его коммуникаций.

Одной из ключевых проблем, тормозящих рост безопасности IoT-устройств, является отсутствие запроса от пользователей. При этом зачастую нежелание платить за безопасность обусловлено непониманием текущего уровня защищённости конкретного устройства.

Зрители AM Live, отвечая на вопрос «Какие технологии защиты IoT вы считаете наиболее важными?», выразили мнение о необходимости выявления аномального поведения устройства (10 % опрошенных) и о защите самих IoT-устройств (9 %). Лишь 3 % участников опроса считают важным контроль состояния IoT-устройства, а за защиту каналов связи не проголосовал ни один респондент. Ещё 7 % выбрали вариант «Другое», но наибольшее число голосов — 71 % — набрал комплексный подход с использованием всех перечисленных выше технологий.

 

Рисунок 2. Какие технологии защиты IoT вы считаете наиболее важными?

Какие технологии защиты IoT вы считаете наиболее важными?

 

Практика защиты IoT-устройств

Третий блок конференции AM Live был посвящён лучшим практикам обеспечения безопасности устройств класса IoT. Мы предложили экспертам высказать свои взгляды на то, как должна осуществляться защита устройств интернета вещей.

По мнению Владимира Потапова, при разработке и использовании IoT-устройств необходимо применять комплексный подход к их защите. Безопасность IoT должна быть одной из инициатив общей концепции информационной безопасности компании. Михаил Кондрашин поддержал коллегу, отметив, что это — концепция из категории «как должно быть», но перед человеком, который сегодня планирует использовать устройства интернета вещей, будут стоять иные вызовы. Эксперт предложил прагматический подход к этому вопросу, который помимо прочего должен включать следующие шаги:

  • Прописать сведения о модели угроз IoT в политике информационной безопасности компании.
  • Подходить к подобным устройствам с точки зрения их жизненного цикла, включающего в том числе и вывод из эксплуатации снятых с поддержки устройств.
  • Выделить IoT-устройства в особый сегмент сети.

Подход к обеспечению безопасности «сверху вниз», когда нормативы и стандарты диктуются регулятором, неэффективен, считает Александр Карпенко. Требования к безопасности должны диктоваться потребителями и учитывать отраслевую специфику. В этом плане ИБ-рынок IoT движется в правильном направлении. Марина Сорокина согласилась с необходимостью отраслевого деления, но отметила, что регуляторы выпускают высокоуровневые стандарты, которые в дальнейшем должны переводиться в практическую плоскость через специализированные технические комитеты.

Как указал Дмитрий Митюшин, за последние несколько лет киберинциденты уверенно вошли в топ-3 ключевых угроз для бизнеса. По мнению эксперта, сейчас хорошее время, чтобы спросить у заказчиков, как они видят свое будущее, и, учитывая их грядущие потребности, проектировать новые, безопасные системы.

Как показали результаты опроса зрителей прямого эфира, большинство из них обратятся к производителям систем защиты для обеспечения безопасности инфраструктуры IoT. Такой вариант выбрал 31 % опрошенных. Ещё 21 % пойдёт к интеграторам, а 15 % — к производителям IoT-систем и устройств. Будут следовать требованиям регуляторов 17 % респондентов, а 16 % наших зрителей предпочитают справляться самостоятельно.

 

Рисунок 3. К кому вы обратитесь за помощью в защите инфраструктуры IoT?

К кому вы обратитесь за помощью в защите инфраструктуры IoT?

 

Эксперты отметили, что выбор в данном случае зависит от конкретной компании, её потребностей и ключевых рисков. По сути, в опросе нет «неправильного» варианта. Например, если компания строит IoT-систему с нуля, она может обратиться к разработчику систем защиты и подбирать устройства исходя из доступных возможностей. Предложить защитную систему для уже сложившейся инфраструктуры поможет интегратор. Если же ключевой риск для организации — это штрафы регулятора, то следует в первую очередь обращать внимание на соответствие законодательству.

Тренды и прогнозы рынка

Финальная часть беседы была посвящена тенденциям и перспективам рынка безопасности IoT-устройств. Эксперты отметили, что вслед за ростом уровня зрелости компаний в вопросе защиты интернета вещей возрастёт и безопасность устройств. По мере того как заказчики будут осознавать риски, связанные с безопасностью IoT, неизбежно возникнет и предложение более защищённых устройств.

Интернет вещей позволяет производителям относительно просто отстраиваться от конкурентов, оснащая выпускаемые устройства уникальным набором функций. При этом «начинка» устройств с разными возможностями может во многом совпадать. IoT, как и другие современные технологии, позволит компаниям находить новые ниши и создавать новые бизнесы.

Необходимо повышать осведомлённость людей относительно безопасности IoT-устройств — это в итоге способно значительно повлиять на рынок домашнего интернета вещей. Тем не менее, по прогнозам наших спикеров, в ближайшие несколько лет вопросы безопасности бытовых IoT-устройств будут оставаться второстепенными. Это обусловлено незрелостью рынка и высокими темпами его роста. Что же касается бизнеса, то IoT несёт в себе высокие риски, которые тем не менее позволяют добиться высоких результатов в кратчайшие сроки.

В завершение эфира мы поинтересовались у зрителей онлайн-конференции, изменилось ли их мнение относительно защиты IoT по результатам дискуссии. Почти треть опрошенных — 29 % — ответили, что это интересно, но им рано это использовать. Ещё 23 % респондентов планируют совершенствовать свою систему защиты IoT. Заинтересовались вопросом и хотят начать применять полученную информацию на практике 11 % зрителей; 14 % считают, что участники не смогли объяснить необходимость систем защиты для IoT. Не нашли для себя ничего нового 17 % участников опроса, а 6 % вообще не поняли, о чём шла речь.

 

Рисунок 4. Каково ваше мнение относительно защиты IoT после эфира?

Каково ваше мнение относительно защиты IoT после эфира?

 

Выводы

Прошедшая дискуссия с одной стороны продемонстрировала важность защиты IoT-устройств, а с другой — фундаментальные проблемы в этой сфере. Как указали наши эксперты, рынок интернета вещей для дома не ощущает потребности конечного пользователя в обеспечении безопасности. И дело даже не в беспечности потребителей, а в низкой их осведомлённости. Производители же руководствуются в первую очередь экономическими мотивами и не торопятся добавлять защитные функции, которые приведут к удорожанию устройств.

На корпоративном уровне ситуация лучше лишь отчасти. Несмотря на регуляторику, которая действует и в отношении IoT, заказчик зачастую не знает, как правильно обеспечить безопасность большого количества разрозненных устройств. Для качественного скачка должен произойти «тектонический сдвиг» в сознании бизнес-потребителей — видеокамеру или иное IoT-устройство, снятое с поддержки производителем, надо заменять на актуальное, даже если по своим характеристикам оно по-прежнему удовлетворяет требованиям компании.

Нам важно и ваше мнение по вопросу безопасности IoT. Чтобы поделиться своим мнением, оставьте комментарий под записью прямого эфира на нашем YouTube-канале, а не пропустить новые выпуски онлайн-конференции AM Live помогут подписка и уведомление о новых материалах. До встречи!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru