Интернет вещей объединяет проблемы безопасности магистральной сети 5G

По мере того, как IoT смещается в сторону использования расширяющейся инфраструктуры 5G, плохо защищенный IoT устройства представляют собой растущую угрозу сетевой безопасности 5G.

Взаимосвязанность и удобство - это две вещи, которые сейчас многие считают важными в повседневной жизни. Хотя многие люди в мире ожидают удобства от Интернета вещей (IoT), они, как правило, мало думают о безопасности сетей передачи, лежащих в основе IoT. Но с учетом 13,8 миллиарда активных подключений устройств IoT в этом году и, как ожидается, в ближайшем будущем безопасность сети IoT имеет первостепенное значение.

Учитывая, что к 2025 году ожидается более 25 миллиардов устройств Интернета вещей, компаниям будет разумно применять принцип наименьших привилегий к своему ИТ-персоналу. (Источник:freepik)

По данным Ассоциации GSM (GSMA), организации, представляющей операторов мобильных сетей во всем мире, производители устройств Интернета вещей все еще не могут должным образом проектировать и создавать с учетом требований безопасности.

Что еще хуже, GSMA предполагает, что большинство производителей устройств не имеют достаточного понимания того, как защитить свои устройства. Небезопасные устройства предлагают хакерам легкий доступ к телекоммуникационным сетям, создавая значительные риски для кибератак. И по мере того, как IoT смещается в сторону использования 5G по мере расширения этой сети, незащищенные устройства угрожают безопасности сети 5G.

Отсутствие безопасности на границах IoT возлагает существенное бремя безопасности на поставщиков услуг связи (CSP), включая поставщиков телекоммуникационных сетей, кабельных услуг и поставщиков облачных коммуникаций. Поскольку все больше и больше игроков, помимо традиционных телекоммуникационных компаний, участвуют в IoT и взаимодействуют с устройствами IoT через сеть 5G, поверхность атаки значительно расширяется. Таким образом, CSP должны принимать дополнительные меры для обеспечения безопасности своих систем.

Растущие проблемы безопасности для CSP

В своем ежегодном обзоре ландшафта безопасности GSMA определила восемь основных областей угроз и уязвимостей для индустрии мобильной связи:

• Устройство и Интернет вещей
• Облачная безопасность
• Защита 5G
• Сигнализация и межсоединение
• Цепочка поставок
• Программное обеспечение и виртуализация
• Кибербезопасность и операционная безопасность
• Нехватка навыков безопасности

Безопасность устройств и Интернета вещей постоянно вызывает беспокойство у GSMA, особенно в связи с тем, что количество подключенных устройств по-прежнему намного превышает население мира:к 2025 году ожидается 25 миллиардов подключенных устройств Интернета вещей. Сложность технологических стеков для устройств впоследствии возрастает.

GSMA определяет соединения между корпоративными сетями и телекоммуникационными сетями как значительный потенциальный вектор атаки, особенно когда компании используют преимущества развертывания 5G. Специалисты отрасли и ученые исследовали риски безопасности 5G в течение нескольких лет, как и правительство США. Но остаются опасения по поводу расширения поверхности атаки по мере того, как 5G становится все более распространенным. GSMA предлагает ряд протоколов безопасности, которые должны реализовать 5G CSP.

Среди рекомендуемых мер по защите CSP - управление привилегированным доступом. Правильно реализованный PAM уменьшает поверхность атаки, ограничивая количество привилегий и разрешений, которые хакеры могут попытаться использовать. И PAM будет иметь минимальное влияние на операции CSP, потому что цель состоит в том, чтобы удалить разрешения и права, которые не нужны людям и процессам для выполнения их работы.

PAM против IAM

Многие читатели могут быть знакомы с IAM (управление идентификацией и доступом), но менее знакомы с PAM. И хотя у них общие цели, они разные по масштабам и применению.

Рассмотрим пирамиду, на вершине которой расположено ограниченное количество административных пользователей, а базовые составляют основу. В своих различных итерациях IAM охватывает всю пирамиду. Однако многие приложения IAM сосредоточены на разрешениях для пользователей в базе, тех, кто часто обращается к системе, но имеет мало или совсем не имеет административных разрешений. С другой стороны, PAM фокусируется на высшем уровне, то есть на тех, кто ставит самые желанные цели в силу своих организационных ролей.

Обратите внимание:когда мы говорим здесь о пользователях, это не то же самое, что говорить о людях. Элементы управления IAM и PAM также применяются к нечеловеческим идентификаторам в системе, например к процессам, которые могут иметь свою собственную идентификацию.

Предоставление разрешений и прав доступа

При назначении прав и разрешений пользователям организации ИТ-персонал может использовать несколько подходов. Первое и худшее - это общий:широкий доступ к системам и хранилищам данных компании - фактически никакого контроля. Само собой разумеется, что такой подход сопряжен с высоким риском и создает значительную уязвимость для организации. Но многие организации действительно предоставляют пользователям гораздо больший доступ, чем им нужно, чтобы избежать непреднамеренного нарушения повседневной деятельности, что увеличивает площадь атаки компании.

Осмотрительные компании применяют принцип минимальных привилегий, доступа по необходимости или их комбинацию. Наименьшие привилегии связаны с тем, как пользователи работают в системе; необходимые сведения - адреса, к которым они могут получить доступ в системе.

Согласно принципу наименьших привилегий, пользователи получают только те права и разрешения, которые необходимы для их работы - ни больше, ни меньше. Запрещая пользователям иметь разрешения для областей, которые они никогда не используют, организации устраняют ненужную уязвимость, не оказывая отрицательного воздействия на производительность пользователей.

Принцип служебной необходимости относится к данным организации с ограничениями, ограничивающими доступ к данным, непосредственно связанным с пользователем и необходимым для выполнения его служебных функций.

Отсутствие минимальных привилегий или элементов управления, которые необходимо знать, - это лишь некоторые из связанных с идентификацией уязвимостей, распространенных во многих организациях. Многие организации по-прежнему имеют общие учетные записи или пароли, что снижает возможность аудита активности и обеспечения соответствия корпоративным политикам безопасности. Компании также часто имеют старые неиспользуемые учетные записи, часто с существенными привилегиями, которые в идеале должны были быть очищены задолго до этого. И многие компании по-прежнему полагаются на ручное или децентрализованное предоставление и обслуживание учетных данных пользователей.

Почему (и как) CSP должны использовать PAM

Каждая привилегия и доступ, которыми обладает пользователь, создают уникальную возможность для использования киберпреступником. Таким образом, в интересах каждого CSP ограничить эти привилегии и права доступа. Это ограничивает потенциальные векторы атаки и сводит к минимуму возможный ущерб, когда хакер успешно присваивает личность конкретного пользователя. Чем меньше разрешений у пользователя, тем меньше возможностей для успешной атаки.

Ограничение привилегий также может ограничить типы атак, которые могут повредить системы организации. Например, некоторым типам вредоносных программ для эффективной установки и запуска требуются более высокие привилегии. Если хакер пытается внедрить вредоносное ПО через учетную запись непривилегированного пользователя, он сталкивается со стеной.

Вот некоторые из лучших практик, которым должны следовать CSP.

1. Внедрение политики управления привилегиями. Учитывая, что не существует единого универсально применимого стандарта безопасности Интернета вещей, CSPS нуждается в строго определенных и контролируемых политиках, обеспечивающих соблюдение требований, устраняя любую возможность отклонений. Политики должны определять, кто контролирует предоставление и управление разрешениями и правами, как происходит инициализация, а также графики повторной инициализации или деинициализации по мере необходимости. Кроме того, политики должны учитывать безопасность паролей, включая надежность пароля, использование многофакторной аутентификации и истечение срока действия паролей.

2. Централизовать PAM и IAM:CSP должны иметь централизованную систему для предоставления, обслуживания и отмены предоставления разрешений и прав доступа. Инвентаризация учетных записей с высокими разрешениями предотвращает появление неиспользуемых учетных записей в организациях.

3. Убедитесь, что наименьшие привилегии означают наименьшие привилегии:хотя пользователи могут расстроиться, если им придется обращаться в службу поддержки для выполнения определенных задач, это не причина предоставлять им больше разрешений, чем им нужно. Большинству пользователей периферийных устройств или конечных точек компании не требуются права администратора или доступ к корневым каталогам. Даже привилегированным пользователям не требуются широкие права доступа. Ограничьте доступ к тому, что абсолютно необходимо для выполнения работы.

4. Повышение безопасности за счет сегментации. Сегментирование систем и сетей помогает предотвратить попытки хакеров осуществлять боковые атаки при успешном проникновении в сеть компании. По возможности усиливайте сегментацию с помощью политик нулевого доверия между сегментами.

5. Применение передовых методов обеспечения безопасности паролей. Плохая гигиена паролей остается серьезной уязвимостью для многих организаций. Создавайте культуру безопасности, обучая сотрудников понимать, что небольшие неудобства, связанные с надежными паролями, многофакторной аутентификацией и истечением срока действия пароля, защищают компанию от потенциально разрушительных последствий взлома.

Безопасные CSP - это основа безопасного Интернета вещей

Без защищенных сетей CSP Интернет вещей становится игровой площадкой для киберпреступников. Прежде чем беспокоиться о миллионах периферийных устройств, специалисты по безопасности CSP должны заглянуть внутрь себя и как можно лучше защитить свои внутренние системы. Применение принципов наименьших привилегий и систем управления привилегированным доступом - полезный первый шаг.