27 марта 2019 / Время работы: 10:00-18:00

Как обезопасить IoT-системы от хакерских атак. Рекомендации ENISA

Как обезопасить IoT-системы от хакерских атак. Рекомендации ENISA

В конце 2018 года Агентство Европейского союза по сетевой и информационной безопасности, оно же ENISA, создало практические рекомендации по обеспечению кибербезопасностиIoT-систем. На данный момент это самый подробный документ в данной области.

Good Practices for Security of Internet of Things in the context of Smart Manufacturing содержит техническую информацию о проблемах с безопасностью в сфере IoT, анализ текущей документации, классификацию уязвимостей и 110 практик для их избегания.

Ниже – основные положения документа.

Основные дыры в безопасности IoT-систем

Эксперты по защите данных уже давно рекомендуют IoT-производителям придерживаться принципов сквозной информационной безопасности. Согласно им, безопасность IoT-продукта должна обеспечиваться на всех этапах жизнедеятельности девайса: от его создания до утилизации.

Но чаще всего производители услуг и устройств в сфере IoT не уделяют этому вопросу должного внимания, используя незащищенную облачную инфраструктуру или непроверенное ПО.

В связи с этим возникает ряд проблем:

  • отсутствует поддержка со стороны производителей, даже когда уязвимость найдена;
  • трудно или невозможно обновить ПО и ОС;
  • уязвимость одного гаджета позволяет проникнуть во всю сеть.

Все эти факторы приводят к учащению хакерских атак на IoT-системы.

IoT Conference: Kak obezopasit IoT-sistemyi ot hakerskih atak. Rekomendatsii ENISA 1

Сценарии атак на кибербезопасность IoT-систем

У каждого сценария атаки есть свой уровень критичности – низкий, средний или высокий. Всего в отчете выделено 12 зон риска, из них мы рассмотрим шесть наиболее опасных.

1. Атаки на датчики IoT-устройств

Неисправный датчик может пропустить скачок мощности, что приведет к физическому повреждению системы. Последствия этой атаки – манипуляции аппаратным и программным обеспечением, отказ или неисправность датчика / исполнительного механизма, сбой или неисправность системы управления.

2. Атаки на сетевые данные

Эта атака направлена ​​на данные, которые передаются по Сети. На уровне контроллера и системы управления (DCS, SCADA) действия хакеров незаметны, так как владельцы системы видят правильные значения. Манипуляции можно обнаружить только с помощью мониторинга трафика сетевого уровня.

Атака может повлиять на производственный процесс или нанести серьезный ущерб предприятию. К примеру, изменения температуры печи, которые не удалось определить заранее, могут спровоцировать взрыв устройства.

3. Атака на шлюзы IIoT

Этот тип атаки состоит из нескольких фаз и обычно запускается скрытно. Злоумышленник пытается взломать шлюз IIoT, потенциально ставя под угрозу всю информационную среду. Атака особенно опасна, если на предприятии используют слабые пароли или протоколы по умолчанию.

В этом случае злоумышленник получает доступ к данным, устройствам, системам и сетевому оборудованию. В ходе этой атаки могут украсть пароли, персональные данные, запустить вредоносное ПО и DDoS.

4. Атаки на устройства дистанционного управления

Злоумышленники также могут взломать устройства, которые находятся далеко от системы управления, например смартфоны. Носимые гаджеты легко взломать, потому через них хакеры могут получить доступ к системам, где на это потребовалось бы больше времени.

Парольные атаки, использование уязвимостей программного обеспечения, перехват сеансов, раскрытие информации, шантаж – все это может стать следствием атаки на устройства дистанционного управления.

5. Атаки, которые совершаются с помощью человеческих ошибок

Атаки этого типа чаще всего «обрушиваются» на большие корпорации, где доступ к системам администрирования есть у многих людей. Дыры в системе безопасности, спровоцированные человеческим фактором, сложно обнаружить из-за нетехнического характера. Это может быть ошибочное использование устройств, непреднамеренное изменение данных в системе OT или физическое повреждение оборудования.

Атака может привести к сбою системы или стать частью более сложных манипуляций, связанных с кражей данных, денег или интеллектуальной собственности.

6. Атаки с использованием искусственного интеллекта (AI)

Такие атаки требуют больших временных и денежных затрат, потому чаще всего производятся на масштабные системы, например системы промышленного Интернета вещей. Благодаря искусственному интеллекту злоумышленники могут объединять потенциальные данные, полученные из Интернета, с известными данными, ускорив поиск дыры в безопасности.

Эти атаки зачастую нацеливаются на конкретных людей, например системных администраторов. Могут стать причиной потери данных при разведке Сети.

IoT Conference: Kak obezopasit IoT-sistemyi ot hakerskih atak. Rekomendatsii ENISA 2

Организационные практики по защите IoT-систем

ENISA считает, что производители IoT-устройств должны обезопасить свои продукты еще на этапе их создания. В этом большую роль играет организация работы самой компании, которая занимается разработками в сфере Интернета вещей.

Поэтому агентство сформулировало организационные принципы для производителей IoT-устройств:

  • обеспечить безопасность программного и аппаратного обеспечения на каждом этапе жизненного цикла продукта;
  • учитывать меры безопасности по всей цепочке поставок;
  • проводить «полевые испытания» кибербезопасности, чтобы определить соответствие ее принципов технической спецификации продуктов;
  • наладить безопасное ведение документации на всех стадиях проекта: от создания IoT-устройства или услуги до ее эксплуатации;
  • создать целостную архитектуру безопасности IoT-системы;
  • контролировать соблюдение требований в установленной архитектуре безопасности;
  • обнаруживать и оперативно расследовать каждое необычное событие, связанное с безопасностью;
  • установить процесс обработки инцидентов (идентификации затронутых активов, выявление и классификация уязвимостей, их устранение);
  • рассмотреть вопрос о создании операционного центра кибербезопасности (SOC), где этими вопросами будут заниматься специалисты.

IoT Conference: Kak obezopasit IoT-sistemyi ot hakerskih atak. Rekomendatsii ENISA 3

Технические практики по защите IoT-систем

Помимо организационных моментов, безопасность также зависит от технических возможностей IoT-среды. Меры технической безопасности реализуются непосредственно в самих девайсах.

Для их реализации ENISA предлагает:

  • проверять надежность программного обеспечения перед его запуском;
  • авторизовать все устройства IIoT в системе OT, используя соответствующие методы, например цифровые сертификаты или PKI.
  • сформировать список каналов обмена данными между устройствами IIoT и выбрать самые безопасные;
  • создать «белые» списки приложений и пересматривать список не реже одного раза в год;
  • ограничить доступ к системам путем детальной авторизации;
  • предоставлять вход в систему только ограниченному кругу лиц с наименьшими привилегиями доступа;
  • создать устройство, в котором привилегированный код и процессы изолированы от части прошивки, не нуждающейся во взаимодействии с ними;
  • внедрить DDoS-стойкую и сбалансированную инфраструктуру;
  • убедиться, что веб-интерфейсы полностью шифруют сеанс пользователя, от устройства до серверных служб, и что они не подвержены атакам XSS, CSRF, SQL-инъекциям и т. д.

Защита IoT-систем от несанкционированного доступа набирает популярность. По данным аналитической компании Gartner, мировые расходы на киберзащиту IoT-систем с 2016 по 2017 год выросли на 29% – с $912 млн до $1,17 млрд. Появление дополнительных инвестиций, практических рекомендаций и специалистов по кибербезопасности может позитивно повлиять на развитие рынка Интернета вещей в целом.


Узнайте об информационной безопасности IoT-систем больше
на международном форуме «Интернет вещей»,
который состоится 27 марта в Москве.

Купить билет ►►►

Назад
Другие новости
Следите за новостями