Кибербезопасность Интернета вещей:5 способов защитить ваше приложение

В октябре 2016 года Интернет вещей оказался в центре одной из крупнейших распределенных атак типа «отказ в обслуживании» (DDoS). Ботнет под названием Mirai взламывал устройства Интернета вещей, а затем использовал эти устройства для отправки беспрецедентного количества запросов трафика крупному DNS-провайдеру Dyn. Это увеличение трафика привело к тому, что Dyn отключился, а затем отключил несколько своих заслуживающих внимания клиентов, в том числе Amazon, Twitter и PayPal.

Хотя за последние несколько лет произошло множество громких кибератак, связанных с IoT, атака Dyn демонстрирует важность кибербезопасности IoT. Чтобы защитить собственное приложение от взломов Интернета вещей, вы можете сделать пять вещей:

1. Не настраивайте свои IoT-устройства с именами пользователей и паролями по умолчанию.

Подавляющее большинство киберугроз Интернета вещей можно избежать, следуя этому простому правилу. Вот почему:многие распространенные устройства Интернета вещей (например, многие интеллектуальные термостаты и камеры видеонаблюдения) основаны на Linux, и многие из них поставляются с именами пользователей и паролями по умолчанию для SSH-подключений. (Мы обсудим опасность SSH ниже.) Если ваш клиент подключает одно из этих устройств к своей сети, оно становится очень легкая цель. Атака Mirai специально искала устройства с этой самой особенностью. Такие инструменты, как Shodan и Nmap, позволяют хакерам легко написать сценарий, который находит эти устройства и проверяет пароль по умолчанию, открывая путь для крупномасштабной атаки с использованием ботнетов.

Хотите узнать, как крупные производственные предприятия отслеживают и контролируют материалы на своих заводах?

Чтобы избежать этого, мы настоятельно рекомендуем рассмотреть другие решения для управления вашими приложениями, без пароли по умолчанию. Даже хеширование, когда клиенты вводят свои уникальные серийные номера продуктов в браузер, чтобы получить свой пароль, является более безопасным, чем отправка стандартных имен пользователей и паролей.

2. По возможности не используйте соединение SSH (Secure Socket Shell).

Как уже упоминалось, многие приложения IoT работают под управлением Linux, и в большинстве систем Linux по умолчанию включен SSH. Это означает, что устройство «слушает» порт 22 для всех, кто хочет подключиться к нему через SSH. Если ваше приложение не требует что вы используете SSH, убедитесь, что он отключен, потому что это серьезная уязвимость кибербезопасности Интернета вещей.

3. По возможности ограничьте доступ вашего приложения к IP-сетям.

Скорее всего, если кто-то попытается взломать ваше IoT-устройство, он сделает это с помощью онлайн-атаки на основе сценариев. Гораздо реже устройство может быть взломано злоумышленником в той же комнате. По возможности ограничьте доступ вашего приложения к IP-сетям.

Ваш провайдер связи может помочь. Symphony Link, например, не имеет связи по IP от конечного узла до шлюза, поэтому нет сетевой уязвимости, которая могла бы атаковать эту ссылку. Даже если бы хакер смог получить доступ, скажем, к интеллектуальному счетчику воды, подключенному к Symphony Link, хакер ничего не мог бы сделать, чтобы использовать соединение с вышестоящей IP-сетью.

4. Создайте VPN-туннель в своей серверной сети.

Разрешите вашим устройствам создать туннель виртуальной частной сети (VPN) для безопасного обмена данными. Лучший способ сделать это с помощью сотового Интернета вещей - договориться с вашим оператором о добавлении ваших устройств в их частную сеть с помощью VPN-туннеля непосредственно к вашей серверной части. Результат:трафик с ваших устройств не может попасть в Интернет. Эта услуга, называемая виртуальным воздушным зазором, предоставляется нашим клиентам LTE-M здесь, в Link Labs.

5. Внесите в белый список определенные IP-адреса и доменные имена.

Рассмотрите возможность разрешить только избранному списку IP-адресов или доменных имен для отправки трафика на ваши устройства в качестве формы защиты брандмауэра. Это может помочь предотвратить несанкционированные подключения. Имейте в виду, что если ваше устройство работает взломанный, хакер может удалить имеющиеся у вас блоки IP и домена, но это все же хорошая мера предосторожности.

Наконец, если вы крупная компания, разрабатывающая подключенное приложение, мы в Link Labs настоятельно рекомендуем вам обратиться в известную консалтинговую фирму по безопасности, которая может проанализировать ваши методы кибербезопасности и помочь убедиться в надежности вашего приложения. Не ждите, чтобы стать предметом статьи Dark Reading о том, как просто использовать свое устройство. Потратьте деньги сейчас, чтобы защитить свое приложение. Если у вас есть вопросы в этой области, мы будем рады помочь - отправьте нам сообщение, и мы свяжемся с вами в ближайшее время.