Urządzenia IoT prawie zawsze mają luki w zabezpieczeniach – jak je ochronić
Urządzenia połączone cyfrowo w tzw. Internet Rzeczy – IoT – Internet of Things – wkraczają w każdy aspekt naszego życia. W nasze domy, biura, samochody, a nawet nasze ciała. Ludzie korzystają z nich w przedsiębiorstwach, aplikacjach opieki zdrowotnej i aplikacjach przemysłowych, ponieważ zapewniają korzyści w zakresie produktywności. Wraz z pojawieniem się IPv6 i powszechnym wdrażaniem sieci Wi-Fi, IoT rośnie w niebezpiecznie szybkim tempie, a naukowcy szacują, że do końca 2020 r. liczba aktywnych urządzeń bezprzewodowych przekroczy 40 miliardów.
Stwarza to zupełnie nową płaszczyznę rozprzestrzeniania się cyberzagrożeń. Od kamer IP i inteligentnych wind po urządzenia medyczne i kontrolery przemysłowe – każde z nich za pomocą odpowiednio spreparowanego kodu można obrócić przeciwko Tobie. Urządzenia IoT prawie zawsze mają luki w zabezpieczeniach – podatności, których nie można załatać czy też problem związany z tym, że korzystają z niezabezpieczonych protokołów komunikacyjnych.
Ponadto organizacje dysponują różnymi zasobami urządzeń od różnych dostawców oraz wszechobecnym Shadow IoT – niezarządzanych i podłączonych do sieci bez autoryzacji. Niedawna ankieta Check Point zwróciła uwagę na te problemy: 90% respondentów zgłosiło, że ich organizacje mają w swoich sieciach ukryte urządzenia IoT, a 44% stwierdziło, że co najmniej połowa ich urządzeń IoT była połączona bez wiedzy zespołów IT lub bezpieczeństwa. Tylko 11% respondentów stwierdziło, że w pełni wdrożyło rozwiązanie zabezpieczające IoT, a 52% nie ma w ogóle wdrożonych zabezpieczeń IoT.
„Liczba urządzeń IoT podłączonych do Internetu stale rośnie i do 2025 r. wyniesie 41,6 miliarda. Cyberprzestępcy atakują urządzenia IoT we wszystkich branżach, w tym w medycynie, przemyśle, inteligentnym budownictwie i biurze, więc bezpieczeństwo jest dla przedsiębiorstw priorytetem. Biorąc pod uwagę ogromną liczbę i różnorodność urządzeń IoT, organizacje potrzebują łatwego sposobu wdrażania zabezpieczeń”.
Robyn Westervelt, IDC, Research Director, Security & Trust
Podczas gdy środowiska IoT stają się coraz bardziej złożone, rozwiązania bezpieczeństwa IT pozostają daleko w tyle, z ograniczoną widocznością i brakiem kontroli nad urządzeniami IoT oraz ograniczonymi środkami kontroli ryzyka specyficznego dla IoT.
Jeśli chodzi o zabezpieczenie tych urządzeń, to wyzwanie polega na ogromnej różnorodności protokołów komunikacyjnych. Sposobów wdrożenia oraz faktu, że są one z natury wrażliwe z kilku powodów:
- Działają na starszych systemach operacyjnych.
- Posiadają zakodowane lub słabe hasła.
- Ich firmware bywa trudny do załatania.
- Urządzenia są fizycznie dostępne.
- Występują błędne konfiguracje systemu operacyjnego.
- Brak wbudowanych zabezpieczeń by default.
Niezabezpieczone protokoły komunikacyjne
Ze względu na powyższe cechy, dobre rozwiązanie bezpieczeństwa dla IoT identyfikuje każde urządzenie IoT w sieci i ocenia jego ryzyko pod względem podatności i luk konfiguracji. Zapobiega to nieautoryzowanemu dostępowi do urządzeń IoT i OT, blokuje ataki ukierunkowane za pomocą znanych sygnatur i analizy behawioralnej.
Istnieją dwie główne grupy rozwiązań ochrony IoT:
Sieciowe zabezpieczenia IoT – są odpowiednie głównie dla organizacji, które chcą chronić wiele różnych typów urządzeń IoT podłączonych do ich sieci. Większość rozwiązań w tym obszarze oferuje bez agentową metodę automatycznego wykrywania zarządzanych i niezarządzanych urządzeń IoT i zasobów OT. Następnie oznaczania ich na podstawie ich atrybutów (np. typu urządzenia, producenta, modelu, wersji oprogramowania układowego i adresu MAC), analizowania ich zachowania w czasie rzeczywistym, aby wykryć i mitygować anomalie.
- Działania te wykonywane są często poprzez egzekwowanie reguł bezpieczeństwa związanych z IoT w ramach istniejących rozwiązań bezpieczeństwa organizacji. – NAC, Security Proxy, Next Generation Firewall, IPS.
- Koncentrują się głównie na identyfikacji zasobu w chronionej sieci, biernej analizie bieżącego strumienia ruchu (np. poprzez mirror porty) i uczeniu się, co uznawać za normalną aktywność sieciową i protokoły a co za anomalie.
- Główną zaletą korzystania z tych rozwiązań jest to, że są one stosunkowo łatwe do wdrożenia. Oparte na chmurze i mają minimalny wpływ na chronione zasoby i urządzenia lub sieć organizacyjną. Wiodący dostawcy IoT discovery na tej liście to firmy takie jak Armis, Ordr, Claroty, Tenable.OT (dawniej Indegy), Medigate, CyberMDX i ScadaFence.
Ochrona na urządzeniu – IoT Endpoint – zabezpieczaniem bezpośrednio urządzeń końcowych zajmuje się najnowsza generacja cyberochrony IoT. Rozwiązania te wymagają dogłębnego zrozumienia zachowania urządzenia, oferując ochronę przed nowymi i mniej znanymi wektorami ataku niż rozwiązania sieciowe.
Główne mechanizmy oferowane przez ochronę punktów końcowych IoT to:
- Ochrona w czasie wykonywania – runtime protection: obejmuje analizę oprogramowania układowego urządzenia, mapowanie prawidłowego zachowania systemu operacyjnego i oprogramowania urządzenia, a następnie monitorowanie tego zachowania w czasie wykonywania. Większość obecnych rozwiązań opiera się na mechanizmie Control Flow Integrity (CFI). Firmy oferujące to rozwiązanie to Check Point (po nabyciu Cymplify Security), Karamba Security i Vdoo. Rozwiązania ochrony w czasie wykonywania koncentrują się na zachowaniu urządzenia jako maszyny komputerowej, która działa zgodnie z określonymi regułami obliczeniowymi. Rozpoznawane są odchylenia od oczekiwanego zachowania, takie jak nieautoryzowane zapisy w określonych częściach systemu plików lub oprogramowania układowego lub nieuczciwe procesy, które nie powinny się uruchamiać. Ochrona środowiska wykonawczego idzie jeszcze głębiej. Aby zidentyfikować próby przechwycenia przepływu sterowania każdego z chronionych procesów w pamięci, na samym urządzeniu, stale oprzyrządowując ich wykonanie i zapewniając, że ich przepływ nie zostanie przekierowany przez żaden rodzaj ataku.
- Bezpieczne rozwiązania rozruchowe – secure boot: bezpieczny rozruch to proces, w którym obrazy rozruchowe systemu operacyjnego i kod są uwierzytelniane względem sprzętowego katalogu głównego. Mogą być one wykonywane podczas procesu rozruchu sprzętu. Sprzęt należy wcześniej skonfigurować w taki sposób, aby wykonywał tylko kod przypisany kryptograficznie przy użyciu poświadczeń producenta lub innych zaufanych danych uwierzytelniających. Firmy oferujące tę metodę ochrony to: ARM (przy użyciu technologii TrustZone), Samsung (przy użyciu Knox na TrustZone) i Synopsys. Innym podejściem jest rozwiązanie Nanolock Security by Design, które z poziomu urządzenia IoT i podłączonego urządzenia brzegowego chroni je przed cyberatakami. Wykorzystując przy tym pamięć flash urządzenia do tworzenia źródła zaufania i rozszerzając potężną ochronę flash-to-cloud, która zabezpiecza cały łańcuch urządzeń luka w zabezpieczeniach – od głęboko osadzonych punktów końcowych w urządzeniu, po chmurę – przy minimalnej mocy obliczeniowej. Technologia ta jest uważana za alternatywę dla bezpiecznego rozruchu i może chronić urządzenia o niskim poziomie zasobów (procesor i energia).
- Ochrona na chipie – on-chip: to podejście jest stosowane przez większe firmy produkujące oprogramowanie i producentów sprzętu. Oferuje ono zabezpieczenia na poziomie urządzenia jako część szerszego ekosystemu. Firmy te (w tym Microsoft, ARM) oferują bezpieczne platformy sprzętowe wraz z pakietami zabezpieczeń oprogramowania, więc dostawcy tworzą swoje produkty na bezpiecznej platformie, korzystając przy tym z szerokiego ekosystemu technologicznego. Mechanizmy ochrony na chipie zwykle obsługują TPM (Trusted Programmable Module) do przechowywania kluczy szyfrowania oraz enklawy (takie jak Intel SGX), ARM TEE (Trusted Execution Environment). Wszystkie są następnie łączone w pakiet na platformie sprzętowej i oferowane przez dostawcę jako SDK. Następnie na tych platformach opracowywane są produkty ze zintegrowaną warstwą bezpieczeństwa.
Chociaż nie ma jeszcze norm i przepisów, jasne jest, że bardziej zabezpieczone urządzenia mają zasadnicze znaczenie dla nas wszystkich; konsumentów, a także przedsiębiorstw a nawet narodów. Nowe przepisy dotyczące cyberbezpieczeństwa dla IoT wejdą w życie w ciągu najbliższych kilku lat, ale co ważniejsze, zapotrzebowanie na bezpieczne urządzenia jest rosnącą potrzebą, artykułowaną przez samych klientów. Dodatkowo wraz z rozwojem standardu przesyłu danych 5G, urządzenia IoT będą mogły wchodzić w interakcje z różnymi urządzeniami bezpośrednio lub za pośrednictwem małych sieci, niekoniecznie kierując ruch przez bezpieczną bramę telekomunikacyjną. Wraz z rozwojem sieci 5G szybko pojawia się potrzeba znalezienia lepszego rozwiązania do ochrony tych urządzeń.
Kilka kluczowych wskazówek to:
- Zmień domyślne hasła w urządzeniach.
- Zaktualizuj oprogramowanie sprzętowe urządzeń.
- Ogranicz dostęp do urządzeń IoT przez lokalną sieć VPN.
- Kup więcej urządzeń od firm, które kładą większy nacisk na bezpieczeństwo.
Przedsiębiorstwa i podmioty, które wdrażają na dużą skalę powinny pamiętać o dobrych praktykach
- Wdrażanie mechanizmów kontroli bezpieczeństwa IoT na poziomie sieci, w tym wykrywanie IoT i analizę ryzyka, segmentację zero-trust i wielowarstwowe zapobieganie zagrożeniom IoT.
- Pytaj producentów o środki bezpieczeństwa oprogramowania układowego, aby mogli wykryć luki w zabezpieczeniach swoich urządzeń, w tym w komponentach innych firm.
Ostatecznym celem wprowadzenia urządzeń IoT w wielu sektorach jest stworzenie w pełni zintegrowanego inteligentnego systemu – przemysłowego, komunikacyjnego etc. Dzięki tej integracji każde urządzenie używane w przemyśle produkcyjnym może łączyć się z innym używanym przez agencje rządowe, placówki medyczne, firmy, a nawet sieć domową. Jednak prawo nie opracowało jeszcze przepisów dotyczących ochrony prywatności, które obejmują wszystkie luki w różnych sektorach. Hakerzy nadal wykorzystują tę lukę, prowadząc do utraty dochodów już zainwestowanych w przedsięwzięcie. Nie ma wątpliwości, że IoT to przyszłość naszego świata.
Jednak niezależnie od Twojej proaktywnej podstawy względem cyberbezpieczeństwa – relatywny spokój ducha przynosi wdrożenie rozwiązania ochronnego firmy, która swoją reputacją ręczy za bezpieczeństwo Twojej sieci IoT.