Уязвимость цепочки поставок Интернета вещей представляет угрозу безопасности Интернета вещей

Большинство компаний, которые создают продукты с помощью Интернета вещей операторы, вероятно, будут внимательно следить за цепочкой поставок, которая обеспечивает предсказуемый поток сырья и услуг, что позволяет им производить продукты и поддерживать бизнес в рабочем состоянии.

Но вторая, основная цепочка поставок требует меньшего внимания. И если безопасность этой цепочки поставок каким-либо образом будет поставлена ​​под угрозу, бизнес может остановиться.

Эта упущенная из виду цепочка поставок предоставляет компоненты, которые создают инфраструктуру IIoT. Покупатель этих устройств находится в конце цепочки поставок, которой с точки зрения безопасности не хватает прозрачности. Фактически, было бы сложно отследить происхождение внутренних элементов, из которых состоят доставленные устройства IIoT.

В результате компоненты, связанные с IIoT, нередко поставляются с эксплуатируемыми уязвимостями безопасности. Сложность и глобальный охват цепочки поставок IIoT только усугубляют проблему - одно устройство может быть изготовлено из деталей, поставляемых десятками производителей компонентов.

«Десятки компонентов, производимых компаниями по всему миру, проходят через множество уровней поставщиков и интеграторов, пока не будут размещены на плате, протестированы и упакованы OEM», как отмечается в «Оценка цепочки поставок конечного состояния , »Отчет за 2019 год от Finite State, компании, занимающейся кибербезопасностью Интернета вещей.

Риски для инфраструктуры IIoT реальны и многочисленны

Большинство сетевых операторов осознают риски цепочки поставок IIoT, но отдельные уязвимости сложно изолировать. Эти развертывания часто имеют далеко идущие последствия, выходя за пределы стен производителя и распространяясь на грузоотправителей, продавцов и других торговых партнеров. А по мере того, как сеть расширяется и включает дополнительные точки интеграции, риск того, что кусочек рискованного вредоносного кода будет реплицироваться, только возрастает. В самом деле, сам код не может быть вредоносным, но может представлять собой открытый порт, который может поставить под угрозу систему.

«Просто увидеть из первых рук, сколько уязвимостей обычно присутствует во встроенных системах - вот где владельцы активов не осознают, что эти уязвимости существуют в их системах», - отметил Мэтт Вайкхаус, генеральный директор Finite State.

После взлома среды IIoT злоумышленники могут использовать ее в качестве входа для дальнейшего проникновения в корпоративные системы. Системы промышленного контроля (ICS) и другие производственные системы могут подвергаться риску, но если злоумышленники смогут избежать препятствий безопасности и проникнуть еще глубже, ключевые корпоративные приложения и связанные данные также могут быть раскрыты. Все это связано с сомнительной прошивкой, которая попала в цепочку поставок, которая производит датчики, исполнительные механизмы и другие операционные IIoT.

«Когда сообщается об уязвимости, производителю требуется некоторое время, чтобы отреагировать на эту уязвимость, получить исправление, а затем владельцам активов выполнить обновление для этого устройства и запустить для него последнюю версию прошивки», - пояснил Вайкхаус. , описывающий, как могут сохраняться даже известные уязвимости.

В отчете «Состояние промышленной кибербезопасности», июльском отчете об опросе 2019 года, проведенном ARC Advisory Group для Kaspersky, поставщика безопасности, более четверти (26%) респондентов заявили, что они рассматривают «угрозы со стороны третьих лиц, такие как поставка сеть или партнеры », чтобы вызвать серьезную озабоченность, а еще 44% заявили, что это второстепенная проблема. Интересно, что все другие серьезные проблемы безопасности, такие как программы-вымогатели (70%) и целевые атаки (68%), могут быть запущены против компании через нарушение цепочки поставок.

[Чтобы получить дополнительную информацию о безопасности Интернета вещей, зарегистрируйтесь на нашем Саммит по безопасности Интернета вещей в декабре.]

В том же опросе 28% респондентов отметили, что «очень вероятно» или «весьма вероятно», что их компания будет атаковать АСУ ТП или промышленную сеть управления.

Еще один опрос 2019 года, проведенный Irdeto, подразделением по обеспечению безопасности в Нидерландах, «Global Connected Industries Cybersecurity Survey», подчеркнул, что многие компании уже пострадали от агрессивных атак IoT:«Исследование показало, что только 17% устройств IoT использовали или производства крупных предприятий не подвергались кибератакам за последние 12 месяцев ».

Как нарушаются цепочки поставок IIoT

Обычно наибольшее беспокойство по поводу цепочки поставок, которая питает производственные линии компании, заключается в том, что производственная деятельность может быть прервана, что приведет к замедлению или остановке производства. Для цепочки поставок IIoT угроза является гораздо более скрытой и может занять недели или месяцы, прежде чем ее последствия станут очевидными.

Как правило, когда происходит повреждение цепочки поставок IIoT, это больше является результатом эффекта домино, который маскирует источник уязвимости.

«Злоумышленники имеют в виду несколько жертв, но вместо того, чтобы идти непосредственно к жертвам, они обращаются к поставщикам промышленного Интернета вещей второго уровня, компрометируют свои веб-сайты и заменяют легитимные прошивки и программное обеспечение троянизированными версиями», - сказал Эрик Байрс, генеральный директор Adolus, a компания, предоставляющая услуги по проверке прошивки.

Невидимые администраторы сетей IIoT, которые проводят соответствующее обслуживание сети, могут невольно распространять вредоносный код. «Они сразу же скачивают его и уносят на свой завод, - сказал Байрс, - и внезапно появляется эта вредоносная программа, которая теперь управляет внутри их завода, внутри межсетевых экранов, внутри всего».

Попав в дверь, злоумышленники могут выбраться из промышленных сетей, а затем взломать корпоративные сети передачи данных. «Плохие парни атакуют один сайт, и они получают такой убедительный эффект умножения», - продолжил Байрс. «Это чертовски хорошая окупаемость для злоумышленника».

Большинство сред IIoT включают в себя сотни или тысячи старых устройств - датчиков и других компонентов, которые могли использоваться в течение десятилетия (или дольше). Эксперты сходятся во мнении, что чем старше оборудование, тем выше вероятность того, что оно представляет угрозу безопасности, поскольку оно отстает в поддержке и обновлениях.

Например, в отчете о конечных состояниях описан компонент, произведенный Huawei, который включал код с использованием версии OpenSSL, выпущенной в 2003 году, и был хорошо известен (и задокументирован) как чрезвычайно уязвимый.

Некоторые недостатки безопасности цепочки поставок IIoT могли быть вставлены намеренно - либо невинно, либо со злым умыслом. Пример - бэкдор. Бэкдор в программном обеспечении позволяет получить доступ к основным частям прошивки и, таким образом, к самому компоненту без необходимости проходить обычный процесс аутентификации.

Производители компонентов часто оставляют лазейки с благими намерениями открытыми, чтобы технические специалисты могли поддерживать и контролировать устройство. Эти бэкдоры, часто называемые портами отладки, также обеспечивают легкий доступ злоумышленникам. Точно так же интерфейсы прикладного программирования (или API), предназначенные для интеграции с промышленными системами управления, могут непреднамеренно предлагать другие средства компрометации работы устройства. Более гнусные бэкдоры часто оставляются приоткрытыми странами для своих экспортируемых продуктов, поскольку они надеются использовать их позже для получения интеллектуальной собственности (IP) или других данных.

Как правило, цепочка поставок IIoT - это скорее дикий запад, чем хорошо контролируемый.

«Интернет вещей по-прежнему является совершенно нерегулируемой технологией с точки зрения стандартов безопасности», - отмечается в исследовании «Безопасность цепочки поставок Интернета вещей:обзор, проблемы и перспективы», опубликованном Мухаммадом Джунаидом Фаруком и Куаньяном Чжу из школы Тандон Нью-Йоркского университета. инженерии. «С точки зрения владельца устройства нет никакого контроля над цепочкой поставок выше по течению. Не все поставщики готовы четко сформулировать свои методы кибербезопасности и раскрыть информацию о своей цепочке поставок ».

Цели злоумышленников и их желания

Вторжение в цепочку поставок IIoT может привести к любой из наблюдаемых нами скомпрометированных ситуаций, вызванных другими типами сетевых нарушений. Но, учитывая саму их характер и функции, «дырявые» устройства IIoT могут приводить к различным злонамеренным действиям и сбоям.

Программы-вымогатели по-прежнему являются ключевым мотивом для атаки. Это также верно в отношении многих проникновений в цепочки поставок IIoT, поскольку злоумышленники могут задержать или иным образом негативно повлиять на производство до тех пор, пока не будет выплачен выкуп.

Сбои в производстве могут нанести еще больший ущерб промышленным предприятиям. Изменяя поток данных от датчиков и других устройств IIoT, можно изменять настройки машины, что, в свою очередь, может вызвать невидимые проблемы в производственном процессе, что может привести к неисправным продуктам или заводским машинам, таким как роботизированные устройства, для работы в небезопасных условиях. манера.

В отчете OT Security Best Practices за март 2020 года отмечается, что нарушения в системе промышленного контроля могут иметь серьезные последствия:«Некоторые из них включают значительный риск для здоровья и безопасности людей, серьезный ущерб окружающей среде и финансовые проблемы, такие как производственные потери и негативное влияние на экономику страны ».

Некоторые отраслевые вертикали также стали ключевыми целями.

«Если вам нужна среда с множеством интересных целей, переходите к энергии, переходите к электросети, переходите к нефти и газу», - сказал Байрс Адолуса. «И теперь из-за пандемии мы наблюдаем еще одну целевую среду, которая является медицинской».

Компания Finite State’s Wyckhouse также указывает на здравоохранение как на главную цель. «Мы действительно наблюдаем рост разрушительных и опасных для жизни атак в сфере здравоохранения прямо сейчас за последние пару недель, при этом атаки программ-вымогателей разрушают больницы в самый разгар пандемии».

Не всегда цель злоумышленников - это получение больших денег. Иногда целью является информация, например, критически важная интеллектуальная собственность (ИС).

Пробираться сквозь бреши в среде IIoT, чтобы добраться до корпоративной сети передачи данных, также является распространенной уловкой. «Поверхность атаки с каждым днем ​​растет и усложняется», - сказал Викхаус. «Есть определенные случаи, когда мы должны быть обеспокоены тем, что субъект, использующий цепочку поставок в качестве механизма для первоначального доступа».

Как справиться со слабыми сторонами цепочки поставок IIoT

Для большинства компаний создание более безопасной среды IIoT будет серьезным мероприятием просто из-за огромного количества устройств в сетях и их сложной истории. Вы будете на шаг впереди, если у вас уже есть подробный и исчерпывающий перечень этих устройств, а если нет, то с этого места можно начать.

После того, как вы определились с месторасположением, следующим шагом будет оценка рисков цепочки поставок. Определите «макро» риски, такие как ситуации с выкупом, повреждение данных или кража IP. Но оценка риска также должна перейти на более детальный уровень, на котором каждое устройство будет оцениваться на предмет потенциальной уязвимости и того, как эта уязвимость может усугубиться во вторжении в сеть.

Также необходимо внимательнее изучить сети компании и то, как они интегрируются. Например, можно изолировать IIoT от Интернета, используя воздушные зазоры, чтобы отделить рабочую технологическую среду от ИТ-сетей.

Поставщики устройств IIoT также должны быть оценены, чтобы понять уровень их усилий по обеспечению безопасности. Лучшее время для этого - когда ваша компания оценивает продукты для покупки, потому что «момент времени в жизненном цикле устройства, когда оператор имеет наибольшее влияние на производителя, - это во время покупки этого устройства», согласно Wyckhouse.>

Если устройства IIoT покупаются много и часто, было бы неплохо организовать формальный процесс оценки, чтобы гарантировать, что все поставщики и продукты проходят соответствующую проверку.

«Не принимайте просто клочок бумаги, в котором говорится:« Мы серьезно относимся к безопасности », - отметил Байрс. «Получите от них надлежащий отчет или обратитесь к третьей стороне и проведите надлежащий анализ и действительно выясните, делает ли ваш поставщик свою домашнюю работу по вопросам безопасности».

Вы также можете обратиться к таким ресурсам, как Национальная база данных уязвимостей (NVD) Национального института стандартов и технологий (NIST), чтобы проверить список распространенных уязвимостей и уязвимостей (CVE).

Появляются новые классы услуг и приложений, специально предназначенные для решения проблем цепочки поставок IIoT. Adolus и Finite State - это примеры компаний, предоставляющих услуги, которые помогают пользователям определять безопасность оборудования, которое они уже установили или рассматривают.

Adolus начинал как проект Министерства внутренней безопасности США, а затем превратился в коммерчески доступную услугу. Он построен на базе базы данных, в которой собрана опубликованная и неофициальная информация, относящаяся к тысячам устройств Интернета вещей, включая компиляцию всех известных уязвимостей. Конечные пользователи или производители устройств могут использовать базу данных, чтобы отследить происхождение компонента и найти подробную информацию о его составных частях и поставщиках.

«Наша технология предназначена для создания этой спецификации программного обеспечения», - сказал генеральный директор Adolus Эрик Байрс. «Таким образом, у нас может быть полный список происхождения не только базового продукта, который вы только что купили и установили, но и всех компонентов, которые поставляются с ним».

Конечное состояние также использует новый подход к этой проблеме. Технология компании может эффективно анализировать прошивку, чтобы определить, представляет ли она риски для инфраструктуры IIoT. Это особенно важно, потому что, как отмечает генеральный директор Finite State Мэтт Викхаус, «когда применяется обновление прошивки, эта прошивка заменяет все программное обеспечение на этом устройстве. Он полностью заменяет его и, таким образом, может полностью изменить профиль риска устройства ».