Распаковка IoT, серия:проблема безопасности и что вы можете с этим сделать

Сетевые инженеры сталкиваются с рядом проблем при развертывании инициатив Интернета вещей (IoT). Вернитесь в блог Cisco IoT в течение следующих нескольких недель, и мы расскажем о трех основных проблемах Интернета вещей и передовых методах их решения.

Во-первых, самая большая проблема в Интернете вещей с точки зрения зрения: безопасность . .

Угрозы безопасности IoT значительно отличаются от угроз безопасности в традиционных ИТ-средах:в традиционных ИТ проблемы безопасности сосредоточены в первую очередь на защите данных. Злоумышленники могут украсть данные, скомпрометировать данные и потребовать выкуп. В последнее время они так же заинтересованы в краже вычислительной мощности для злонамеренных операций по майнингу криптовалют.

Хотя эти проблемы безопасности существуют в IoT, они также идут дальше, выходя за рамки данных и в физический мир. Как минимум инцидент с безопасностью Интернета вещей может причинить неудобства людям или прервать работу, что приведет к ущербу в миллионы долларов в течение нескольких коротких часов. В худшем случае эти атаки могут повредить системы, которые контролируют физический процесс, и даже поставить под угрозу жизнь. Рассмотрим следующие примеры:

• Печально известная атака Stuxnet в 2010 году использовала многочисленные уязвимости нулевого дня в программном обеспечении Microsoft Windows. Задача заключалась в обнаружении и повреждении ПЛК с программным обеспечением Siemen Step7, чтобы перепрограммировать их с помощью вредоносного ПО, чтобы быстро вращающиеся ядерные центрифуги, находящиеся под их контролем, буквально разорвались на части. В результате этой атаки была уничтожена пятая часть ядерных центрифуг Ирана.
• Мы стали свидетелями первой успешной кибератаки на энергосистему в 2015 году, когда кибератаки получили контроль над несколькими украинскими электростанциями, что привело к отключению электричества более чем 225 000 жителей на период до шести часов. Эта сложная и многоэтапная атака не только получила контроль над системами SCADA, что позволило иностранным субъектам удаленно отключать подстанции, но также включила DoS-атаку на центр обработки вызовов, чтобы потребители не могли позвонить, чтобы сообщить о проблемах или получить обновления. статус отключения света.
• В 2017 году злоумышленник развернул вредоносное ПО для АСУ ТП, получившее название Triton, предназначенное для манипулирования системами промышленной безопасности с целью нарушения работы критически важной инфраструктуры. Конкретное нацеливание злоумышленника на автоматизированные системы безопасности (SIS) свидетельствует о его заинтересованности в проведении высокоэффективной атаки с физическими последствиями (цель атаки, которую обычно не видят киберпреступные группы). Анализ инцидента привел следователей к выводу, что это была работа национального государства, готовящегося к более широкой атаке.
• В 2019 году атака программы-вымогателя на Norsk Hydro, одного из крупнейших мировых производителей алюминия, вынудила компанию переключиться на ручное управление, чтобы сдержать взлом. Атака обошлась компании в 52 миллиона долларов и привела к росту цен на алюминий во всем мире.

Эти инциденты показывают, насколько важной и сложной может быть безопасность в сценариях Интернета вещей.

Предотвращение и сдерживание угроз безопасности Интернета вещей

В приведенных выше примерах нарушения безопасности можно было полностью предотвратить - или, по крайней мере, существенно ограничить - с помощью передового метода сетевой безопасности:сегментации. Сегментация - один из наиболее эффективных принципов проектирования сети, применяемых для обеспечения безопасности. Это общепринятая сетевая аксиома, но если да, то почему организации не сегментируют свои сети полностью?

Ответ:это сложно.

Чтобы сократить расходы, организации объединили свои сети передачи данных, голоса и видео в общую физическую инфраструктуру. Совсем недавно к той же IP-сети были добавлены устройства IoT. Однако необходимо поддерживать логическое разделение между этими службами в целях безопасности и управления. Для этого сетевые инженеры обычно сегментируют сеть с помощью виртуальных локальных сетей. Этот процесс требует нескольких шагов, точек взаимодействия, политик и пользовательских интерфейсов. На высоком уровне сетевые инженеры должны создавать группы в Active Directory, определять политики, выполнять виртуальные локальные сети / подсети и внедрять политику.

Сложный характер сегментации не только делает задачу утомительной, но и увеличивает риск человеческой ошибки. Например, списки управления доступом (ACL) на сетевых устройствах часто состоят из десятков тысяч строк. С ними трудно работать и понимать из-за плохо задокументированных причин каждой строки в записи. Если есть одно несоответствие в списках ACL от одного устройства к другому, существует потенциальная уязвимость и вектор атаки, который можно использовать.

Обеспечение безопасности Cisco для Интернета вещей

Учитывая ключевую роль сегментации сети в защите сетевых ресурсов, очень важно, чтобы сетевые администраторы могли эффективно и результативно сегментировать сеть. В Cisco мы упрощаем сегментацию, применяя сеть на основе намерений к корпоративной сети. Это конкретное выражение сетей на основе намерений называется программно-определяемым доступом (SDA).

Программно определяемый доступ устраняет необходимость для сетевых администраторов говорить на языке списков управления доступом или групповых политик, чтобы определять, какие сетевые устройства могут взаимодействовать друг с другом. С помощью нескольких простых щелчков мышью и перетаскивания мышью сетевые администраторы могут создавать отдельные виртуальные сети для голоса, данных, беспроводного гостевого доступа, BYOD, IoT и т. Д. В этом году мы расширили эти возможности до уровня IoT - так, чтобы автостоянками, распределительными центрами, производственными предприятиями, аэропортами, морскими портами и т. Д. Можно было управлять с той же стеклянной панели, что и предприятие с ковровым покрытием, а именно Cisco. Центр ДНК.

Используя Cisco DNA Center, панель централизованного управления, сетевые администраторы могут настраивать сети на предприятии и гарантировать, что устройства, назначенные одной виртуальной сети, не могут взаимодействовать с устройствами в другой виртуальной сети. Фактически, устройства в одной виртуальной сети даже не могут видеть другие виртуальные сети. Для них виртуальная сеть, к которой они подключены, является единственной существующей или когда-либо существовавшей сетью. Это означает, что устройства IoT, назначенные виртуальной сети IoT, могут взаимодействовать только с другими устройствами, назначенными той же виртуальной сети, и ни с чем (и ни с кем) больше. Такое логическое разделение называется макросегментацией.

Однако SDA предлагает сетевым администраторам еще более детализированный вариант политики.

При макросегментации любое устройство в виртуальной сети по умолчанию может взаимодействовать с любым другим устройством в той же виртуальной сети. Таким образом, если видеокамеры, датчики температуры и считыватели бейджей назначены одной «виртуальной сети IoT», эти устройства - по умолчанию - смогут обмениваться данными друг с другом. Такой обмен данными может представлять проблему безопасности - если одно устройство будет взломано, злоумышленники будут использовать это устройство для сканирования сети на предмет других устройств, которые могут обеспечить дальнейшую точку опоры в организации (посмотрите, как это делается). Здесь на помощь приходит микросегментация.

В Cisco DNA Center сетевые администраторы могут легко создавать политики микросегментации, определяющие, какие устройства могут взаимодействовать с другими устройствами в той же виртуальной сети . (Посмотрите демонстрацию Cisco Extended Enterprise с DNA-C.) Администраторы также могут настроить политику для отправки предупреждения, если эти устройства попытаются установить связь с неавторизованными устройствами, что может указывать на потенциальную атаку системы безопасности. В приведенном выше примере видеокамеры можно настроить так, чтобы они разговаривали только с другими видеокамерами, и если они попытаются связаться с датчиками температуры или считывателями бейджей, будет выдано предупреждение.

Возможность сегментировать сеть как на макро-, так и на микроуровне с помощью SDA - отличное решение как для предотвращения, так и для сдерживания нарушения безопасности. Он легко масштабируется для удовлетворения потребностей корпоративной сети, и теперь клиенты Cisco могут применять те же концепции в своих сетях IoT. Более того, они могут делать это эффективно и результативно, используя тот же интерфейс управления, который они используют для корпоративной сети. Хотите узнать больше? Посетите наш веб-семинар по запросу Cisco IoT:стимулирование преобразований в сфере общественной безопасности, нефтегазовой отрасли и обрабатывающей промышленности. И не забудьте снова заглянуть в блог Cisco IoT, чтобы узнать о других основных проблемах, с которыми сталкивается корпоративный IoT.