Обзор за год:12 соображений безопасности IoT

С точки зрения потребителя наибольшее беспокойство по безопасности IoT вызывает конфиденциальность -Связанный. Семья может беспокоиться, что их камеры видеонаблюдения могут дать незнакомцу возможность заглянуть в их дом. Или данные, которые собирают их умные динамики, уязвимы.

Хотя эти опасения обоснованы, они не соответствуют наиболее распространенным моделям угроз и не представляют собой наиболее серьезных угроз безопасности Интернета вещей. Злоумышленник, нацеленный на устройства Интернета вещей, с большей вероятностью будет рассматривать эти устройства как средство для достижения цели. Возможно, им удастся использовать множество из них в распределенной атаке отказа в обслуживании. Или используйте их как точку опоры для достижения более ценных целей в сети.

В недавнем выступлении на DEFCON в Лас-Вегасе Брайсон Борт, главный исполнительный директор Scythe, председатель GRIMM и советник Army Cyber ​​Institute в Вест-Пойнте, пролил свет на некоторые из наиболее значимых тенденций в области кибербезопасности, связанных с IoT и промышленные системы управления за последний год.

1. Атрибуция национального государства становится все более распространенной

Не так давно казалось, что за подавляющим большинством кибератак стоят организованные преступные группировки. Но теперь субъекты национального государства улучшают свою игру - иногда вербуют таланты из киберпреступного мира.

Последний отчет Verizon о расследовании утечек данных показывает, что с 2015 года количество нарушений, приписываемых организованным преступным группам, значительно сократилось. За тот же период времени активность, связанная с государством, увеличилась.

По мере того, как уровень активности национального государства увеличивается, также усиливаются попытки определить, какая страна стояла за данной атакой. Хотя исследователи кибербезопасности часто сосредотачиваются на технической стороне атак, Борт сказал, что важно понимать роль вероятных мотивов национальных государств в той или иной атаке.

2. Атака на устройства Интернета вещей как на точку опоры вызывает серьезное беспокойство

Риск того, что злоумышленник будет шпионить за вами, когда вы выходите из душа через камеру, подключенную к Интернету, вполне реален. Но такого рода нарушения не согласуются с наиболее распространенными целями злоумышленников - финансовой выгоды или шпионажа, нацеленного на корпорацию или правительство.

Однако более серьезная угроза - использование устройств Интернета вещей для боковых атак. Взлом многих обычных устройств IoT относительно тривиален и является отправной точкой для дальнейшего шпионажа или саботажа.

Центр реагирования на безопасность Microsoft недавно сообщил, что заметил злоумышленника, нацелившегося на «телефон VOIP, офисный принтер и видеодекодер». Очевидной мотивацией злоумышленника было получение доступа к различным корпоративным сетям. «После того, как субъект успешно установил доступ к сети, простое сканирование сети для поиска других небезопасных устройств позволило им обнаруживать и перемещаться по сети в поисках учетных записей с более высокими привилегиями, которые предоставили бы доступ к более ценным данным», - отчет объяснил. Microsoft приписала эту активность группе, которую она называет «Strontium», которая также известна как APT 28 из Fancy Bear. Предполагается, что коллектив также был замешан во взломе DNC в 2016 году.

3. Воздушный зазор (все еще) не существует

Теоретически сеть с воздушным зазором физически изолирована от остального мира, что делает ее невосприимчивой к атакам, проходящим через Интернет. В действительности организации, использующие подход «безопасность за счет неизвестности», сталкиваются с повышенным риском взлома. «Кто-нибудь когда-нибудь видел настоящий воздушный зазор?» - спросил Борт. «Нет, потому что их на самом деле не существует. Ни разу за всю свою жизнь испытание на проникновение в промышленных средах управления [я видел такое] », - добавил он.

Наиболее известным примером взлома системы с воздушным зазором, вероятно, является Stuxnet. В результате взлома злоумышленник смог получить доступ к сети на иранском ядерном объекте - вероятно, через USB-накопитель.

4. Темная сторона зеленой энергии - кибербезопасность

То, что энергосистема США уязвима для кибератак, получило известность благодаря усилиям таких опытных журналистов, как Тед Коппел, чья книга 2015 года «Lights Out» освещает эту тему. Также в 2015 году якобы российские хакеры смогли временно отключить примерно 230 000 человек. Тем временем газеты США опубликовали серию статей, в которых утверждается, что Россия нацелена на энергосистему США. Совсем недавно анонимно стало известно, что США также нацелены на Россию.

Сложившаяся ситуация поднимает вопрос, почему страны по всему миру активно используют информационные технологии в своих энергосистемах, если они создают множество новых угроз.

Борт спросил:«Почему бы нам просто не вернуться к полностью аналоговой технологии?»

Частично ответ на вопрос - зеленая энергия. Множество факторов, от людей по всему миру, покупающих электромобили до установки солнечных панелей на своих крышах, коренным образом изменили уравнение распределения энергии. Несколько десятилетий назад поток электронов от подстанции к потребителю был однонаправленным. Но теперь потребители через возобновляемые источники энергии, такие как солнечная энергия, теперь периодически возвращают электроэнергию в сеть. «Теперь мне нужны компьютеры, чтобы справиться с экспоненциально более сложной электрической сетью», - сказал Борт.

5. Национальные государства все чаще ориентируются на критически важную инфраструктуру

Кибервойна, возможно, не нова, но национальные государства, похоже, активизируют свои усилия по борьбе с системами промышленного контроля и критически важной инфраструктурой конкурентов. Такая инфраструктура варьируется от машин для голосования до инфраструктуры водоснабжения и электроснабжения.

В целом, национальные государства-субъекты с наиболее развитыми кибербезопасностями - это США, Великобритания, Израиль, Россия, Северная Корея и Иран. По словам Борта, Вьетнам, вероятно, получит почетное упоминание. «В прошлом году мы стали свидетелями того, как вьетнамцы вели шпионаж между национальными государствами на самом высоком уровне.

Ранее в этом году агентство Bloomberg сообщило, что «хакеры,« ориентированные на государство »Вьетнама» нацелены на иностранные автомобильные компании, чтобы поддержать растущие в стране инициативы по производству автомобилей.

6. Кибератаки помогают финансировать изолированные страны

В 2017 году The New York Times сообщила, что администрация Трампа запросила 4 миллиарда долларов на финансирование кибероружия для саботажа систем управления ракетами Северной Кореи. Финансирование также позволит дронам и истребителям сбивать такие ракеты с неба до того, как они достигнут берегов США. В том же издании цитируются анонимные источники, утверждающие, что продолжающаяся кибер-кампания нацелена на ракетные системы страны как минимум с 2014 года.

Еще одна загвоздка в этой истории - это сообщение ООН, в котором рассказывается, как Северная Корея помогает финансировать ее оружейную программу. В нем говорится, что страна украла 2 миллиарда долларов из финансовых учреждений и криптовалютных бирж.

Борт сказал, что, вероятно, Северная Корея использовала финансирование для ряда покупок. «Никого не волнует валюта [Северной Кореи]. Они находятся в закрытой экономике », - сказал он. «Если Дорогой лидер хочет виски и Ferrari, он не сможет купить их за местную валюту. Ему нужна твердая валюта », - добавил он. «Итак, их основной мотив с точки зрения киберпространства - воровство».

7. Одна кибератака может нанести ущерб в сотни миллионов долларов

Строго говоря, WannaCry и его варианты явно не ориентированы на IoT или ICS. Но вредоносная программа, нацеленная на операционные системы Microsoft Windows, нанесла аналогичный ущерб своим жертвам. WannaCry показал, что вредоносное ПО может мешать работе Национальной службы здравоохранения Великобритании. Стоимость вредоносного ПО для NHS, которая также привела к отмене 19 000 встреч, составила 92 миллиона фунтов стерлингов. Между тем, кузина WannaCry, NotPetya, обошлась глобальному транспортному конгломерату в 200–300 миллионов долларов.

После того, как вредоносная программа была доставлена ​​на предприятие-изготовитель через уязвимого поставщика, золотой имидж предприятия был настолько стар, что его уже нельзя было исправить. После того, как вариант WannaCry был развернут в среде, «он поставил под угрозу все, к чему мог прикоснуться, и разрушил весь завод», - сказал Борт.

Хотя США приписывают WannaCry Северной Корее, маловероятно, что национальное государство намеревалось заразить растение. «Это был поставщик, у которого случайно оказалось зараженное изображение, и он представил его», - сказал Борт. "Я знаю. Это безумие ».

8. Тризис должен быть тревожным звонком

Как и WannaCry, Trisis якобы стартовал в 2017 году. Злоумышленники, которые, по мнению FireEye, связаны с Россией, использовали против своих жертв комбинацию фишинга и кампанию по промыванию. Нападавшие сначала нацелились на I.T. инфраструктуры, а затем переместились в сторону их O.T. сеть, где они атаковали автоматизированную систему безопасности на критически важном объекте инфраструктуры. «Это большое дело», - сказал Борт. «В промышленных системах управления [SIS] управляет датчиками и компьютерами, изменяя положение вещей в физической среде».

В то время как программируемые логические контроллеры вычисляют, что должно происходить в физической среде для промышленных систем управления, «они - глупые компьютеры», - сказал Борт. «Мне не нужно взламывать ПЛК. Все, что мне нужно сделать, это сказать ПЛК, что делать. Они меня не одобряют. Они не ищут авторитета. [..] «Это то, чем занимается SIS».

Хотя первые раскрытые жертвы Trisis базировались на Ближнем Востоке, CyberScoop сообщает, что авторы атаки теперь нацелены на энергосистему США.

9. Кампании по критически важной инфраструктуре набирают обороты

Можно привести относительно немного примеров, указывающих на то, что огромные слои населения по всему миру были затронуты кибератаками на основе критически важной инфраструктуры. Но все больше хакеров нацелены на эту инфраструктуру. «Основным моментом в атаках на критическую инфраструктуру является то, что это итеративные разведывательные кампании, - сказал Борт. «У нас мало доказательств того, что то, что было задумано, должно быть разрушительным. Но у нас определенно есть доказательства этого намерения [проникнуть] в инфраструктуру ».

10. Программы-вымогатели могут атаковать устройства Интернета вещей

Исследователи безопасности доказали возможность удержания в заложниках множества IoT-устройств. Но хотя программы-вымогатели широко распространены, злоумышленники, развертывающие их, как правило, нацелены на традиционные вычислительные устройства.

Борт прогнозирует, что в следующие пять лет программы-вымогатели распространятся на новые домены на основе Интернета вещей. «Я думаю, что где-то в мире кто-то проснется утром, и они будут пробираться к своей машине, чтобы пойти на работу», - сказал он. «Как только они включат машину, в информационно-развлекательной системе появится сообщение:« Программа-вымогатель:отправьте 3 биткойна, чтобы включить ее »».

11. В мире взаимосвязей поставщики являются частью модели риска

В прошлом году агентство Bloomberg произвело фурор, заявив, что Китай проник в цепочку поставок США, скомпрометировав одного из ведущих мировых поставщиков серверных материнских плат. Эту историю оспорили несколько руководителей известных технологических компаний, упомянутых в статье, в том числе SuperMicro, Apple и Amazon, а также представители Министерства внутренней безопасности США и Национального центра кибербезопасности Соединенного Королевства.

Хотя факты статьи могут быть поставлены под сомнение, так называемая «жизнь за пределами земли» представляет собой угрозу. «Злоумышленники не просто используют свои собственные инструменты в игре. Они берут то, что уже есть в этой среде, и используют это против вас », - сказал Борт. «Все, что касается вашей инфраструктуры, является частью вашей модели риска. Это больше не только ты ».

12. Ваши данные растут. Итак, как это продается.

«Знаете ли вы, что умный телевизор стоит меньше, чем телевизор без интеллектуальных функций?» - спросил Борт в сеансе DEFCON. "Это почему? Они зарабатывают деньги на вашей телеметрии и ваших данных ».

В апрельской статье Business Insider делается такой же вывод:«Некоторые производители собирают данные о пользователях и продают эти данные третьим лицам. Эти данные могут включать в себя типы шоу, которые вы смотрите, какую рекламу вы смотрите, и ваше примерное местоположение ».

По словам Борта, некоторые автопроизводители применяют аналогичную тактику. «Есть несколько моделей, в которых производители автомобилей смотрят, как и что они могут взять у вас, когда вы водите свой автомобиль».

В отчете Американско-китайской комиссии по обзору экономики и безопасности выражена обеспокоенность китайским правительством «несанкционированным доступом к устройствам IoT и конфиденциальным данным», а также расширением «разрешающего доступа». В отчете поясняется:«Санкционированный доступ [Китая] к данным IoT потребителей в США будет только расти по мере того, как китайские компании IoT используют свои преимущества в производстве и затратах для увеличения доли рынка в Соединенных Штатах».

Борт сказал, что многие потребительские устройства Интернета вещей отправляют данные в Китай. «Если вы хотите по-настоящему повеселиться, подключите IoT-устройство у себя дома, проверьте пакеты и посмотрите, куда они направляются», - сказал он. «Я еще не видел ни одного устройства, которое я подключил, не поедет в Китай. Я не утверждаю, что это гнусно или злонамеренно ». Для таких IoT-устройств типично передавать данные в страну. Он спросил:«Где они сделаны?»