Что новая публикация NIST по IoT (NISTIR 8228) означает для ваших устройств

Недавно Национальный институт стандартов и технологий (NIST) выпустил проект публикации, Внутренний отчет NIST (NISTIR) 8228, «Рекомендации по управлению рисками кибербезопасности и конфиденциальности Интернета вещей (IoT)». Он призван послужить основой для серии публикаций о том, как управлять рисками кибербезопасности и конфиденциальности, связанными с устройствами Интернета вещей.

NISTIR 8228 нацелен как на федеральные агентства, так и на частные организации, и выявляет три серьезные уязвимости безопасности устройств IoT. NISTIR 8228 также определяет три цели по снижению риска.

NISTIR 8228 ― Подробное описание уязвимостей безопасности IoT-устройств

Устройства Интернета вещей взаимодействуют с физическим миром не так, как традиционные ИТ-устройства. В отличие от компьютеров, планшетов или смартфонов, устройства Интернета вещей не работают в операционных системах Windows или Mac OS. Тем не менее, многие из этих устройств подключены к Интернету, что позволяет использовать точки входа в защищенные компьютерные сети.

Устройства IoT обычно работают на настраиваемых проприетарных операционных системах, которые ИТ-персоналу сложно или невозможно контролировать и исправлять, поэтому единственный способ снизить риск - разместить их в корпоративной сети за межсетевыми экранами VLAN, чтобы предотвратить доступ устройств к другим устройствам. чувствительные части сети. Если хакеры получают доступ к устройству Интернета вещей в сети - обычно потому, что они обнаружили уязвимость в операционной системе, разработанной и установленной производителем устройства, - они могут начать атаку на любой компьютер, подключенный к этой сети. Наиболее распространенный тип атаки - это простая атака перебора паролей SSH, при которой обычно используются только учетные данные по умолчанию.

Кроме того, устройства IoT могут быть задействованы в качестве бот-сетей для использования в распределенных атаках типа «отказ в обслуживании» (DDoS). В октябре 2016 года сервис интернет-домена Dyn подвергся крупнейшей в истории DDoS-атаке. Злоумышленники завербовали миллионы незащищенных устройств IoT в армию бот-сетей, чтобы направить массивный трафик на сайты Dyn, что привело к замедлению трафика до сканирования и, в конечном итоге, к сбою сайтов. Хакеры получили доступ к устройствам Интернета вещей, эксплуатируя уязвимости в проприетарном программном обеспечении этих устройств.

Риски на этом не заканчиваются. Некоторые устройства IoT могут вносить изменения в физические системы, такие как HVAC, лифты, спринклерные системы и другие, которые в случае захвата могут привести к физическому повреждению или угрозе безопасности.

Ищете безопасный способ внедрения системы отслеживания IoT для вашего бизнеса? Подпишитесь на бесплатную демонстрацию от LinkLabs.

Рекомендации NIST IoT Framework

Чтобы устранить риски кибербезопасности и конфиденциальности, структура NIST IoT рекомендует действия, которые организации могут предпринять на протяжении жизненного цикла устройства IoT. К ним относятся:

• Понимание проблем риска.
• Корректировка организационной политики и процессов для решения этих проблем.
• Внедрение обновленных методов снижения рисков для устройств Интернета вещей.

Согласно NIST, существует большой интерес к установлению базовых показателей безопасности и конфиденциальности для снижения рисков. Большая часть внимания была сосредоточена на том, чтобы производители встраивали в свои устройства функции безопасности и конфиденциальности. Хотя это может быть решающим шагом вперед, в настоящее время используются миллионы устройств Интернета вещей, в которых отсутствуют эти возможности. Производителям потребуется время, чтобы улучшить предпродажную безопасность и конфиденциальность и встроить их в свои устройства; также возникнут дополнительные проблемы, связанные с добавлением этих возможностей, не делая устройства IoT слишком дорогими.

В структуре NIST IoT есть и другие соображения, касающиеся типа и уровня безопасности, необходимых для различных устройств IoT. Некоторым в защите может потребоваться только само устройство. Другим устройствам может потребоваться защита данных в дополнение к безопасности устройства, а некоторым может потребоваться защита конфиденциальности, а также безопасность устройства и данных. На сегодняшний день эти отдельные требования не дифференцированы, и организациям остается решать, какие из них применимы к какому-либо конкретному устройству Интернета вещей и его использованию.

Инфраструктура Интернета вещей NIST обеспечивает полезную отправную точку для устранения рисков, связанных с незащищенными устройствами Интернета вещей, но это только первый шаг. Впереди нас ждут задачи по разработке и созданию рентабельных защищенных устройств и устранению рисков, связанных с миллионами уже используемых устройств Интернета вещей.

Прошло два года с тех пор, как атака Dyn продемонстрировала уязвимости многих устройств IoT, используемых в настоящее время, и, вероятно, пройдет еще несколько лет, прежде чем производители этих устройств найдут предпродажные решения для защиты от рисков. Как компании могут снизить риски, связанные с устройствами Интернета вещей, которые они используют для автоматического отслеживания и мониторинга активов и материалов в то же время?

Один простой подход, который может значительно повысить безопасность готовых устройств IoT, - это просто изменить пароли по умолчанию, запрограммированные в устройства производителями. Это простое решение для потребителей, у которых может быть всего несколько устройств IoT. Но для предприятий, которые используют сотни или более устройств для отслеживания и мониторинга активов, это неудовлетворительно из-за времени и труда, необходимых для перепрограммирования сотен тегов.

Если ваша компания ищет безопасный способ внедрения технологии Интернета вещей, обратитесь в Link Labs. Наша система AirFinder изолирует устройства Интернета вещей в выделенных сетях отдельно от компьютерных сетей компании и не использует стандартные IP-протоколы, что затрудняет их взлом. Для глобальных сетей наша система Symphony Link включает в себя инфраструктуру открытого ключа (PKI), которая считается безопасной по стандартам NSA, беспроводное микропрограммное обеспечение для быстрого и простого исправления уязвимостей без физического доступа к устройствам, Advanced Encryption Standard в реальном времени ( AES) и безопасность транспортного уровня (TLS) банковского уровня для сетевого трафика. Чтобы получить безопасные системы отслеживания, которые легко развертывать и избежать распространенных рисков безопасности Интернета вещей, описанных в NISTIR 8228, свяжитесь с Link Labs сегодня.