Защита критически важной инфраструктуры посредством мониторинга производительности приложений

Учитывая недавние атаки на существующую инфраструктуру, кибербезопасность встроенных систем критическая инфраструктура, возможно, даже более важна, чем их физическая безопасность.

Поскольку администрация президента Байдена начинает свои усилия по инвестированию 2,9 триллиона долларов в критически важную инфраструктуру (такую ​​как энергосистема, общенациональные сети связи и транспортные сети), а также с недавних новостей о разрушительной атаке программы-вымогателя DarkSide, нанесшей вред колониальному трубопроводу на Восточном побережье, уязвимость существующих и предлагаемых систем для злоумышленников снова является горячей темой. Действительно, учитывая недавние атаки на существующую инфраструктуру, кибербезопасность встроенных систем, встроенных в критическую инфраструктуру, возможно, даже более важна, чем их физическая безопасность.

Защита от эксплойтов таких сильно взаимосвязанных сетей устройств представляет собой серьезную проблему для разработчиков устройств, разработчиков кода и экспертов по кибербезопасности. Операторы должны контролировать встроенные системы не только для обеспечения правильной работы устройства и непрерывной проверки на предмет вредоносной активности. Неидентифицированные сбои, ведущие к сбоям устройства, будь то из-за сбоев оборудования или преступных атак, потенциально могут иметь широкомасштабные и разрушительные последствия.

Создание наиболее надежной и защищаемой инфраструктуры требует внедрения систем, которые оценивают надежность встраиваемых устройств на всех уровнях - аппаратном, микропрограммном и программном. В этой статье мы рассмотрим достижения в области кибербезопасности приложений, управляющих устройствами IoT инфраструктуры, и то, как тенденции в мониторинге производительности приложений влияют на проектирование встроенных систем.

Критическая инфраструктура и ИТ-инфраструктура

Проблемы безопасности в отношении Интернета вещей в критически важной инфраструктуре имеют далеко идущие последствия, поскольку инвестиции в новую инфраструктуру добавят миллионы встроенных подключенных устройств, которые необходимо отслеживать и защищать. Каждая новая встроенная система и каждое соединение, которое она устанавливает, представляют собой возможность для атаки.

Рис. 1. По мере создания миллионов встроенных подключенных устройств проблемы безопасности станут более заметными, поскольку теперь существует гораздо больше устройств, которые необходимо отслеживать. (Источник:freepik)

К сожалению, критическая инфраструктура - расплывчатый термин. Чтобы избежать путаницы, давайте дадим определение нашим определениям. OT, или операционная технология, относится к физическому оборудованию, которое используется для мониторинга устройств и управления любыми физическими процессами. ИТ или информационные технологии относятся к программному обеспечению, используемому для обработки информации на этих устройствах. Но границы между ОТ и ИТ становятся все более размытыми по мере того, как физический мир становится онлайн. Термин «Интернет вещей» использовался для обозначения этого явления.

ИТ-инфраструктура также, несомненно, важна для экосистемы Интернета вещей и может быть частью общего термина. Для наших целей критическая инфраструктура относится к инфраструктуре Американского плана занятости Байдена.

Согласно определению Закона США о патриотизме 2001 г., сюда входят системы, нарушение которых «может оказать пагубное воздействие на безопасность, национальную экономическую безопасность, национальное общественное здоровье или безопасность или любую комбинацию этих факторов».

Интернет вещей и встроенные системы станут основными компонентами новой инфраструктуры и расширят возможности существующей инфраструктуры.

Критическая инфраструктура и ИТ-инфраструктура отличаются друг от друга, но безопасность обеих имеет первостепенное значение. Атаки на ИТ-инфраструктуру осуществить намного проще, но они могут иметь такие же катастрофические последствия, как и атаки на системы водоснабжения в последние годы.

Кибербезопасность встроенных систем критической инфраструктуры

Заметные кибератаки на инфраструктуру в сочетании с общим ростом киберпреступности заставили правительства во всем мире сосредоточить большое внимание на устройствах Интернета вещей и безопасности встроенных систем.

В конце прошлого года Конгресс США принял Закон 2020 года о кибербезопасности Интернета вещей, который ужесточает стандарты безопасности для развертывания устройств Интернета вещей государственными организациями. Хотя Закон не распространяется в широком смысле на все реализации Интернета вещей в критически важной инфраструктуре, существует вероятность того, что он будет иметь волновые эффекты, которые пронизывают всю отрасль.

Пока Конгресс обсуждал Закон о кибербезопасности Интернета вещей, Национальный институт стандартов и технологий (NIST) выпустил два документа, которые будут определять будущие стандарты безопасности Интернета вещей. Базовый уровень возможностей кибербезопасности устройств Интернета вещей определяет минимальные стандарты безопасности для защиты устройств Интернета вещей и их данных.

В Основных мероприятиях по кибербезопасности для производителей устройств IoT описаны шаги, которые производители устройств IoT должны предпринять для оценки того, какие средства кибербезопасности следует интегрировать в устройство. Особое внимание уделяется непрерывному мониторингу системы.

Европейский Союз также усиливает свои правила кибербезопасности для устранения инфраструктурных угроз. В конце прошлого года ЕС начал рассматривать поправки к своей Директиве о безопасности сетей и информационных систем.

Разработчики встроенных систем следят за этими изменениями в законодательстве по мере их появления. Хотя в настоящее время они более перспективны, чем функциональны, в конечном итоге они приведут к определенным требованиям к конструкции устройства.

Тенденции в мониторинге производительности приложений

За конкретными идеями по проектированию кибербезопасности встроенных систем разработчики могут обратиться к тенденциям в других областях производительности и безопасности ИТ, например, в мониторинге производительности сетевых приложений (APM).

Однако приложения, которые отслеживают и контролируют встроенные системы в критически важной инфраструктуре, являются мишенью для преданных хакеров. APM станет важным аспектом обеспечения безопасности критически важной инфраструктуры. Разработчики встроенных систем должны знать, как инструменты APM будут взаимодействовать с их устройствами и как тенденции в APM повлияют на требования к проектированию встроенных систем.

Оптимизация сбора и передачи данных

В существующих сетях уже возникают проблемы с пропускной способностью подключенных устройств. Представьте, насколько усугубится проблема, когда количество подключенных устройств увеличится на порядок и более. А если сетевые проблемы нарушают соединение между встроенным устройством и его системой удаленного мониторинга, устройство становится более уязвимым для атаки.

Одним из решений может быть инвестирование в услуги опытного и хорошо образованного сетевого администратора. Ожидается, что к следующему году сетевое администрирование вырастет как карьера на более чем 42 000 рабочих мест, и легко понять, почему. Сетевые администраторы несут ответственность за надзор за установкой систем сетевой безопасности, внесение улучшений в сети по мере необходимости, а также за установку или ремонт оборудования и программного обеспечения.

Локальный ИИ, как обсуждалось ранее, может быть другим решением. Разработчики APM также ищут улучшенные методы сжатия без потерь, чтобы гарантировать передачу качественных данных с ограниченными требованиями к полосе пропускания. Разработчикам встроенных систем необходимо продолжить изучение более эффективных встроенных алгоритмов сжатия данных.

Использование искусственного интеллекта и машинного обучения

В последние годы для улучшения APM стало больше полагаться на ИИ и машинное обучение. Настолько, что Gartner определила сферу AIOps. AIOps направлен на то, чтобы сместить фокус APM с реактивного выявления и исправления проблем на упреждающее выявление проблем до того, как они возникнут.

Рис. 2. Одним из самых значительных достижений последних нескольких лет стала растущая зависимость APM от искусственного интеллекта. (Источник:pixabay)

Кроме того, AIOps применяет ИИ для автоматизации действий по устранению неполадок после выявления проблемы. Разработчики встроенных систем могут аналогичным образом рассматривать ИИ как основной инструмент в создании функциональных возможностей упреждающей идентификации кибератак на уровне приложений.

Хотя в настоящее время для обучения встроенных систем используется искусственный интеллект, большая часть обучения проходит вне встроенных устройств. Удаленное обучение обеспечивает большие объемы мощных вычислительных возможностей, позволяющих быстро обрабатывать большие объемы данных, необходимых для разработки моделей искусственного интеллекта.

Однако на периферии ИИ все чаще используется, и разработчики встроенных систем должны учитывать жизнеспособность бортового ИИ для выполнения задач мониторинга безопасности на местном уровне. Однако, поскольку вычислительные требования моделей ИИ высоки, разработчики встроенных систем должны продолжать концентрировать усилия на сокращении накладных расходов традиционных методов ИИ, чтобы лучше применять их в локальной среде.

Мониторинг конвергентных приложений и инфраструктуры

Каждый аспект работы встроенной системы должен быть защищен, будь то базовое оборудование приложений, работающих на нем. Опора на мониторинг отдельных компонентов уступает место более целостному взгляду на работу системы.

Применение принципов наблюдаемости (предпочтительно в сочетании с надежным мониторингом) может обеспечить лучшее общее понимание производительности встроенной системы в реальном времени, что позволит лучше выявлять аномалии и потенциальные атаки.

Автоматизация

Сетевым администраторам и другим ИТ-специалистам практически невозможно вручную отслеживать все данные и анализы, необходимые для современной программы кибербезопасности. Таким образом, автоматизация является важным компонентом будущих усилий по обеспечению кибербезопасности. Например, хотя APM эффективен для оценки наличия атаки, он более эффективен в сочетании с системами, которые автоматически и проактивно выявляют уязвимости.

По словам эксперта по кибербезопасности Барбары Эриксон из Cloud Defense:«Вы можете использовать традиционные и линейные сканеры уязвимостей или использовать адаптивные сканеры уязвимостей для поиска конкретных вещей на основе предыдущего опыта. К счастью, сканеры уязвимостей можно автоматизировать, если вы подберете хорошее программное обеспечение для управления уязвимостями. Автоматизируя сканирование, вы обеспечите постоянную оценку вашей организации на предмет новых угроз, и вам не придется тратить слишком много сил на регулярные запланированные проверки ».

Разработчики встроенных устройств также должны продолжать улучшать автоматизацию мониторинга потенциальных атак на устройства или связанные с ними приложения, а также осуществлять автоматические меры по исправлению выявленных проблем.

Заключение

По мере того, как в США проводится существенная модернизация инфраструктуры, количество IoT в критически важной инфраструктуре будет расти в геометрической прогрессии. И это увеличение обязательно сопровождается увеличением угрозы кибератак. Разработчики встроенных устройств должны вновь сосредоточить внимание на внедрении новейших средств управления кибербезопасностью на борту, чтобы обеспечить надежность и безопасность критически важной инфраструктуры.