Если подключишь, защити!

Познакомьтесь с Хамфри

Хамфри - серая белка, которую мой друг спас как брошенную белку. В течение нескольких недель мой друг и его семья ухаживали за молодым существом вручную. Пока Хамфри рос, он очень подружился с членами семьи, часто усаживаясь им на плечи и обнимая их, чтобы вздремнуть. Хамфри разрешили бегать по дому, и у него была корзина для спального места, которую он часто использовал по ночам. Со временем он стал достаточно сильным, чтобы выжить самостоятельно, и семья выпустила его обратно в дикую природу, чтобы он мог наслаждаться жизнью здоровой серой белки. Полюбив свою человеческую семью, Хамфри построил гнездо на дереве недалеко от их черного хода и до сих пор прыгает на коленях и плечах, в то время как семья сидит вместе на улице.

"Хвост" двух городов

Итак, как история спасенной белки связана с нашей актуальной темой кибербезопасности? Как я размышлял над темой кибербезопасности, существует безудержная и значительная уязвимость, которая существует как для домовладельцев, так и для предприятий, и во многих отношениях коррелирует с историей Хамфри.

В нашем технологически пронизанном обществе «подключенные вещи», или Интернет вещей (IoT), разрастаются. Название IoT представляет собой множество подключенных к Интернету элементов, которые обеспечивают полезные, но узконаправленные преимущества. По оценке SecurityToday.com, в 2020 году будет установлено 31 миллиард (с b) устройств IoT, а к 2025 году будет подключено более 75 миллиардов! Я знаю, что в моем собственном доме мой холодильник и плита подключены к Интернету, так же как и домашний термостат, дверной звонок, телевизоры и датчики дыма. Кроме того, есть «умные» кофеварки, мультиварки, лампочки, динамики, и этот список можно продолжать до бесконечности. Очень скоро, если устройство подключится к стене, оно также «подключится» к Интернету.

Итак, какая проблема кибербезопасности преследует каждого ИТ-директора, а также должна беспокоить каждого домовладельца и производителя в нашей стране? Реальность такова, что устройства IoT спроектированы так, чтобы быть функциональными, недорогими, простыми в настройке и использовании, но не обязательно безопасными. В результате быстро растет количество установочных устройств с сомнительной защитой, которые обеспечивают хакерам время расцвета. Истинная уязвимость не обязательно заключается в потере хакером функции IoT-устройства, а в том, чтобы предложить хакеру черный ход в корпоративную или домашнюю сеть; потенциально раскрытие ценных данных для кражи или уничтожения. Так в 2013 году взломали Target, что привело к убыткам компании более 200 миллионов долларов.

Это орехи!

Остановитесь и подумайте о ценных данных, которые хранятся в вашей домашней или деловой сети. Если хакер проникнет в вашу среду и запустит атаку программы-вымогателя, лишив вас доступа ко всей этой информации, сможете ли вы восстановить ее, не заплатив выкуп? Что еще хуже, что, если хакер сначала уничтожит ваши резервные копии до запуска атаки вымогателя. Есть ли у вас автономные резервные копии данных, которые вы могли бы использовать для восстановления? Мы могли бы остановиться на этом и написать разоблачение необходимости внедрения отказоустойчивого решения для резервного копирования, но это на другой день.

Размышляя о спасении Хамфри, нам не нужно слишком долго останавливаться, чтобы осознать риски, связанные с обращением с диким животным. Хотя Хамфри симпатичнее, чем милый, у него также есть острые ногти, острые зубы и мощные челюсти. Если бы мы сосредоточились только на красоте животного, но не приняли разумных мер предосторожности, поездка в отделение неотложной помощи не была бы неожиданной. Точно так же с нашими устройствами Интернета вещей, если мы сосредоточимся только на их функциональности, но игнорируем присущие им риски безопасности, мы просто находимся в очереди, ожидая, когда наши данные и системы станут жертвами.

Беличья клетка

Чтобы защитить наши конфиденциальные данные от хакеров, нам необходимо перенастроить наши сети, чтобы мы могли пользоваться функциональными преимуществами наших устройств IoT, сохраняя при этом отделение от наших ценных систем данных. Сетевые термины для этого - сегрегация и изоляция.

Вспоминая ситуацию Хамфри, он, к счастью, никогда не кусал и не царапал своих спасателей до такой степени, что им приходилось обращаться за медицинской помощью, но если бы он был защищен с помощью клетки в течение дня, его собственная безопасность была бы обеспечена, а также снизила бы риск. вреда для человека. Точно так же с нашими устройствами IoT нам нужно подумать о том, чтобы поместить наши ценные активы в «клетку», чтобы защитить их от возможного взлома устройства IoT. Кроме того, поскольку в сети обычно сосуществуют многочисленные IoT-устройства, мы также можем изолировать каждое IoT-устройство в их собственных клетках, чтобы хакер не мог продолжить свой взлом после проникновения на одно устройство.

Оставайтесь на своем пути

Будь то небольшая домашняя сеть или большая корпоративная сеть, сегрегация и изоляция - довольно простое решение для реализации, хотя для этого требуется планирование и соответствующее оборудование. В Интернете доступно множество руководств, в которых даются конкретные инструкции о том, как разделять и изолировать устройства на определенных аппаратных средствах, а именно на межсетевых экранах, коммутаторах и беспроводных контроллерах, но мы рассмотрим это только концептуально.

Разделение позволяет нашим IoT-устройствам работать в нашей сети и подключаться к Интернету, но затем ограничивает их способность «общаться» с другими внутренними сетевыми устройствами. Это решение эффективно устанавливает брандмауэр между каждым устройством IoT, что позволяет сетевому администратору специально ограничивать соединения, разрешенные от этого устройства к другим устройствам. Используя сегрегацию и изоляцию, в случае взлома отдельного IoT-устройства хакер будет изолирован от остальных компонентов сети.

Желуди и веточки

Поскольку белки используют естественные строительные материалы для своих гнезд, сегрегация и изоляция также используют свой собственный уникальный набор инструментов конфигурации и настроек. Большинство беспроводных маршрутизаторов для дома и небольшого офиса имеют возможность создавать дополнительную гостевую беспроводную сеть, которая отделена от основной беспроводной сети с полным доступом. Гостевые настройки - это предварительно сконфигурированное решение для разделения, предлагаемое во многих маршрутизаторах, которое разрешает доступ к Интернету только подключенным системам и не позволяет им подключаться к устройствам в других сетях, проводных или беспроводных. Кроме того, некоторые маршрутизаторы также предлагают изоляцию, которая не позволяет этим устройствам видеть любое другое устройство, подключенное к гостевой беспроводной сети. Рассмотрите возможность подключения некритических устройств IoT к гостевой сети для реализации сегрегации. Для корпоративных сетей сегментация выполняется с помощью виртуальных локальных сетей (VLAN), правил маршрутизации и правил доступа, что обеспечивает повышенный уровень индивидуальной защиты.

Устройства IoT обычно не разрешают доступ к своим встроенным инструментам управления, поэтому мы в значительной степени не можем выполнять на них простые функции безопасности, такие как изменение имен пользователей и паролей по умолчанию. Таким образом, разделение - наш основной инструмент для защиты этих устройств в наших сетях. Поскольку мы стремимся жить в гармонии с «дружелюбным» диким животным, будь то Хамфри или наши любимые устройства Интернета вещей, внедрение разумных протоколов безопасности поможет всем нам жить безопасно, надежно и долго и счастливо.

Этот блог является частью серии, опубликованной для Национального месяца осведомленности о кибербезопасности (NCSAM). Среди других блогов этой серии - «Создание культуры безопасности» Селии Полсен, «Подозрительные умы:нетехнические признаки взлома вашего бизнеса», автор - Пэт Тот, «Защита подключенных к Интернету медицинских устройств» Дженнифер Курц и «Будущее подключенных устройств» Эрика Фоглемана. и Джефф Оршак.