Мы должны защитить Интернет вещей, прежде чем кто-то пострадает

Роберт Хаим из ACG Research

Дик Чейни, бывший вице-президент США, отключил беспроводной доступ к кардиостимулятору, опасаясь, что террористы могут спровоцировать сердечный приступ. В фильме 2007 года «Живи свободно или крепко орешек» преступники блокировали движение и вызывали аварии, переводя все светофоры в Вашингтоне, округ Колумбия, на зеленый.

Эти реальные и вымышленные атаки на то, что мы теперь называем Интернетом вещей (IoT), могли привести к гибели людей. Учитывая, что все датчики и элементы управления IoT используются сегодня во всем мире, это лишь вопрос времени, когда слабая защита позволит злоумышленникам захватить контроль, активировать опасное поведение или заставить людей совершить неправильные действия.

Это только вопрос времени. Мы должны обезопасить Интернет вещей, прежде чем кто-то пострадает. Но как?

В этих областях много проблем. Например, управление идентификацией. Вы когда-нибудь точно знаете, какие пользователи, устройства или приложения пытаются получить доступ к вашим данным? Как можно подтвердить личность при разумных сомнениях, но при этом повышать уверенность в том, что вы доверяли правильным пользователям, а не, скажем, террористу? Это означает мониторинг поведения в режиме реального времени.

Возьмите на себя задачу защиты важной информации, которая может регулироваться законами или отраслями - или просто чрезвычайно ценной для корпораций и воров. Эти данные могут повлиять на жизнь людей немедленно (например, медицинское устройство) или позже (например, чертежи систем безопасности плотины гидроэлектростанции). Как вы можете быть уверены, что данные и эти устройства надежно защищены от несанкционированного доступа или незаконного доступа?

Или сами сетевые соединения, которые связывают мобильные или фиксированные устройства с центром обработки данных или облаком. Безопасны ли соединения? Могут ли хакеры получить доступ, взломав конечную точку… и были ли эти соединения проверены на надежность, масштабируемость и непроницаемость? Давай узнаем, как.

Обнаружьте атаку. Остановить атаку

Проблема в создании «безопасной» сети, включая сектор IoT, заключается в том, что «безопасность» является отрицательной целью, говорит Роберт Хаим, главный аналитик ACG Research . , специализирующийся на сетевых и телекоммуникационных отраслях.

«Вы пытаетесь чего-то добиться, несмотря на то, что противник может сделать, и вы не знаете, каковы его возможности», - объясняет он. Поскольку у многих оконечных устройств Интернета вещей недостаточно памяти для установки в них сложного программного обеспечения безопасности. «Так что же мы будем делать?»

На самом деле, есть две проблемы, которые необходимо решить, говорит Хаим:«Мы должны беспокоиться о безопасности самого устройства, а затем мы также должны думать о том, что нам нужно делать, если нас взломают». Не помогает то, что 55% компаний даже не знают, откуда исходит угроза и где проблема в их сети.

Обратите внимание на действия, а не только на личность

Марк Макговерн, руководитель группы аналитики угроз, CA Технологии , говорит, что очень важно следить за тем, что делают люди, получив доступ к системе. То, что они делают, важнее того, кто они есть. «Будь то существующая система, которая выполняет авторизацию в реальном времени 100 миллионов пользователей для финансового учреждения, или крупные кабельные компании, мы думаем об этом не о том, кем вы себя называете, или о ваших учетных данных, а о том, что вы делать »

Он объясняет:«Когда вы встречаете кого-то на улице, он может сказать, что он X или Y, но на самом деле, что вы наблюдаете, как он делает с течением времени? Это уровень доверия, который вы оказываете людям ».

CA изучает и анализирует фактическое поведение субъектов, которым разрешено использовать систему, и отмечает вещи, которые несовместимы с прошлым поведением этих объектов.

«Будь то IP-адрес, конечная точка, логин или заявленное удостоверение личности, какие вещи выделяются как на фоне их собственного поведения, так и на фоне поведения населения», - говорит Макговерн. «Эти данные подкрепляют обучение, которое делают наши системы, и машинное обучение, которое мы встраиваем в эти системы, а также приносят пользу нашим клиентам».

Начните с моделирования угроз

«Возьмите любое устройство, например дверной замок IoT, - говорит Джон Мичелсен, директор по продукту Zimperium . , которая создает программное обеспечение для защиты от мобильных угроз на основе ИИ. «Вы должны определить на уровне устройства, сети или контента приложения, как можно использовать это устройство». И тогда вы должны заблокировать их, прежде чем выходить на рынок.

По словам Михельсена, это настоящая проблема. «На выставке Black Hat 2017 года кто-то доказал, что 13 из 15 автоматических дверных ручек можно открыть всего за несколько часов работы. По крайней мере 70% потребительских ИТ-устройств Интернета вещей можно взломать ».

Вот почему вам нужно моделирование угроз, говорит он:«Во-первых, вы занимаетесь моделированием угроз. Затем вы определяете способы, которые собираетесь предотвратить - обнаруживаете это и принимаете решение об этом ».

Все должны смотреть наружу

У каждой компании есть ресурсы внутренней безопасности для тестирования программного обеспечения, инфраструктуры, продуктов и услуг, но этого недостаточно, - говорит Рорк Поллок, старший вице-президент Ziften , который предлагает решения для обеспечения безопасности конечных точек.

«Вы должны выглянуть наружу. Посмотрите на своих партнеров и будьте открыты для них, тестируя ваш продукт. Они могут потребовать от вас пройти полный процесс сертификации - пройти через эти партнерские сертификаты. Сегодня существуют аудиторские фирмы по безопасности. Нанять их ».

Он настаивает, что не верь себе. Обратитесь к внешним экспертам, чтобы они перепроверили ваших инженеров, перепроверили код.

«Затем посмотрите на сообщество и проекты с открытым исходным кодом, чтобы снова убедиться, что есть сообщество людей, которые перепроверяют, перепроверяют, продвигают этот код».

Поллока не впечатляет ни одна компания, которая считает, что в отношении безопасности она может сделать все самостоятельно. «Я думаю, что очень важно получить помощь извне».

Используйте искусственный интеллект для проверки личности

Хэнк Скорни, старший вице-президент, Neustar , компания по управлению идентификационной информацией, заявляет, что все начинается с определения личности пользователей (или устройств, или приложений), которые получают доступ к устройствам Интернета вещей или их данным. Но это еще не все. «Вы должны установить личность. Вы также должны всегда ставить это под сомнение, потому что идентичность - это всего лишь вероятность, а не окончательная оценка ».

Как повысить уверенность в этой вероятности? «Используйте машинное обучение и искусственный интеллект», - говорит он, постоянно наблюдая за любой созданной вами системой.

«Вы не собираетесь просто кого-то идентифицировать, определять устройство или что-то еще. Вы собираетесь его контролировать. Единственный способ контролировать мир наносекундного масштаба - это использовать вычислительное машинное обучение и искусственный интеллект, которые постоянно ищут модели злонамеренного поведения и останавливают его быстрее, чем когда-либо мог бы человек.

Подтвердите доверие в нескольких доменах

Некоторые данные защищены законом - подумайте о военных секретах или личной информации о здоровье, на которую распространяется Закон США о переносимости и подотчетности медицинского страхования 1996 года (HIPAA). Однако есть и другая информация, которая чрезвычайно важна, даже если не регулируется конкретными правилами. Рассмотрим данные о выступлениях профессиональных спортсменов:это не информация о здоровье HIPPA, а важнейшая информация для спортивных команд с миллиардными доходами.

Zebra Sports - это компания, которая собирает телеметрию об игроках в американский футбол во время тренировок и в день игры, - объясняет Джон Поллард, вице-президент компании, - и компании пришлось немало потрудиться, чтобы забивать голы в Национальной футбольной лиге (НФЛ).

«Одним из критериев, которым воспользовалась НФЛ при оценке различных технологий, безусловно, была безопасность», - говорит он. «Мы собираем много информации и должны передавать эту информацию в программное обеспечение и услуги, чтобы наши клиенты из основных вертикалей могли оценить эту информацию. НФЛ, безусловно, воплощает это в жизнь. Поскольку мы собираем информацию, которую раньше никогда не собирали в профессиональном спорте, мы говорим об ускорении, замедлении, изменении направления, близости за совокупный промежуток времени ».

Как помочь Zebra набрать очки:ее богатый опыт в области Интернета вещей в розничной торговле, транспорте, логистике, производстве и здравоохранении.

«Наш опыт работы с этими отраслями, безусловно, помог нам создать убедительные аргументы в пользу сотрудничества с НФЛ в сборе информации такого типа», - говорит Поллард.

Урок безопасности здесь, говорит Поллард, заключается в том, что то, что это спорт, не значит, что он жизненно важен. К военному или коммерческому Интернету вещей применимы те же принципы, что и к НФЛ. Телеметрия для футболиста ничем не отличается от телеметрии для охранника или даже ракеты. Первый параметр - сделать его безопасным.

Создавайте зоны доверия и применяйте их

Не все пользователи созданы одинаково, и не всем пользователям требуется одна и та же информация от устройства IoT. ИТ-персонал больницы должен убедиться, что данные с диализного насоса собираются правильным приложением и сохраняются в правильных записях пациента ... но им не нужно видеть данные, и фактически HIPAA может запретить им доступ. Точно так же ИТ-персонал должен убедиться, что дверной проем в охраняемую часть здания работает должным образом, но, опять же, у них может не быть права открывать дверь самостоятельно.

«Если вы посмотрите на количество людей, которые взаимодействуют с дверным замком, роли, обязанности, то вот где зоны доверия продолжают расти», - говорит Санджив Датла, технический директор Lantronix . , которая строит промышленные технологии Интернета вещей. «Какие существуют уровни доступа для администратора двери? Для медсестры, как она или она взаимодействует с диализными аппаратами? »

А что насчет выездного специалиста по обслуживанию, который приезжает для доступа или обслуживания машины? «Знайте роли и обязанности в отношении того, что разрешать, а что нет», - говорит он.

Датла настаивает, что это непросто. «У вас есть инфузионный насос с портом Ethernet. Каковы кольца доверия или средства контроля доступа, если хотите, вокруг этого порта? И как это проверяется? » Как сказал выше Марк Макговерн из CA, это должно быть более сложным, чем простые списки контроля доступа.

«Мы ищем поведенческий анализ, - говорит Датла. - Хорошо, этот человек не должен делать этого в настоящее время. Итак, когда они это сделают, что вы будете с этим делать? Как поднять тревогу и получить одобрение или блокировку на более высоком уровне? »

Никогда не забывайте:все взаимосвязано

«Устройства Интернета вещей становятся все умнее и умнее, - говорит Поллок из Зифтена. «Мы больше не говорим о тупых микроконтроллерах для блоков управления с воздушными зазорами. Речь идет об умных датчиках в сети. Мы говорим об умных шлюзах ».

Более того, отмечает он, «многие устройства Интернета вещей представляют собой полностью функционирующие ПК для всех практических целей, но мы не относимся к этим устройствам так же, как к обычным ПК в наших корпоративных сетях».

«Послушайте, если у вас будут все эти подключенные устройства, вы должны иметь возможность отслеживать как состояние этого устройства, так и его гигиену. Он должен быть более строгим по отношению к вашей среде ».

Повторяя предыдущие комментарии, Поллок настаивает на том, что компании должны отслеживать поведение устройств Интернета вещей, а не только контроль доступа. «Найдите выбросы с точки зрения поведения и начните определять, что происходит с этим устройством и что оно делает. Сосредоточьтесь на тех выбросах, у которых длинный хвост кривой показывает, что происходит. Определите устройства, которые делают что-то необычное, посмотрите на них и исследуйте их как на потенциальные проблемы ».

Потому что, в конце концов, с IoT-устройствами и IoT-приложениями, уязвимыми для атак, жизни будут быть под угрозой.

Автор - Роберт Хаим, главный аналитик отдела бизнес-анализа и Интернета вещей, ACG Research