С бурным ростом количества устройств Интернета вещей в домах, на предприятиях и в городах проблемы сетевой безопасности распространились не только на традиционные компьютеры, но и на каждое физическое устройство, подключенное к Интернету. Открытость Интернета вещей, ограниченность вычислительных ресурсов и характеристики массовых подключений сделали его новым рубежом для кибератак. Защита Интернета вещей — это не только установка брандмауэров, но и усиление всего жизненного цикла устройства, протоколов связи и потоков данных для предотвращения целого ряда рисков — от утечки данных до физических манипуляций. В этой статье будут рассмотрены основные проблемы и практические стратегии защиты Интернета вещей.
Как понять основные угрозы, с которыми сталкивается безопасность Интернета вещей
Угрозы безопасности Интернета вещей представляют собой совершенно иную ситуацию, чем в традиционных ИТ-средах. Во многих устройствах при проектировании приоритет отдается стоимости и функциональности, а безопасность часто рассматривается позже. Это привело к широко распространенным проблемам, таким как уязвимости прошивки, слабые пароли по умолчанию и незашифрованная связь. Например, если включенная интеллектуальная камера имеет пароль по умолчанию, хакер может легко контролировать ее и стать частью ботнета.
Устройства Интернета вещей часто находятся в сети 24 часа в сутки и семь дней в неделю, но им не хватает эффективных механизмов обновления безопасности. Злоумышленники могут использовать эти давние уязвимости для запуска крупномасштабных распределенных атак типа «отказ в обслуживании» или использовать устройства в качестве трамплина для вторжения в базовые сети предприятия. Поверхность атаки расширилась от программного обеспечения до аппаратного обеспечения и физических датчиков. Если им манипулировать, весьма вероятно, что он окажет прямое влияние на физический мир.
Почему аутентификация устройств и контроль доступа имеют решающее значение
Первым уровнем безопасности Интернета вещей является аутентификация личности устройства. Каждое устройство должно иметь уникальную и усиленную идентификацию, чтобы гарантировать доступ к сети только авторизованным устройствам. Двусторонняя аутентификация TLS на основе сертификатов в настоящее время является относительно надежным методом, который может предотвратить подделку устройства и атаки «человек посередине», особенно когда устройство взаимодействует с облаком.
Ключом снова является строгая политика контроля доступа. Необходимо соблюдать принцип наименьших привилегий и точно определить объем данных и ресурсов, к которым может получить доступ каждый тип устройства. Например, датчики температуры и влажности не должны иметь доступа к командам управления дверными замками. Модель управления доступом на основе ролей позволяет эффективно изолировать риски, и даже если одно устройство будет скомпрометировано, потери можно свести к минимуму.
Какие риски безопасности существуют в протоколах связи Интернета вещей?
Существует множество облегченных протоколов Интернета вещей, которые не полностью включали функции безопасности при их первой разработке. Например, в некоторых протоколах глобальных сетей с низким энергопотреблением могут отсутствовать меры шифрования от одного конца до другого, что делает данные уязвимыми для подслушивания или взлома во время передачи. Даже для общего протокола MQTT, если конфигурация неподходящая и используется незашифрованный порт 1883, данные будут раскрыты.
Для обеспечения безопасности связи необходимо реализовать шифрование транспортного уровня. Независимо от того, используется ли CoAP, AMQP или собственный протокол, шифрование TLS/DTLS должно быть принудительно включено, а жизненный цикл ключа должен правильно управляться. В то же время сегментация и изоляция сети также чрезвычайно важны. Размещение IoT-устройств в отдельных VLAN и ограничение их прямого взаимодействия с основной бизнес-сетью может значительно снизить риск горизонтального перемещения.
Как выполнить эффективные обновления безопасности встроенного ПО Интернета вещей
Как операционная система IoT-устройств, способность прошивки к безопасному обновлению играет прямую и решающую роль в безопасности собственного жизненного цикла продукта. Многие устройства в течение длительного времени находятся под угрозой, поскольку они не обновляются или механизм обновления имеет угрозу безопасности. В механизм безопасного беспроводного обновления должны быть включены проверка целостности и защита от отката, а для проверки легальности пакета прошивки используются зашифрованные подписи.
Именно производитель должен установить контролируемый канал выпуска прошивки, установить политику автоматической проверки обновлений для устройства и быстро реагировать на обнаруженные уязвимости высокого риска посредством процесса управления исправлениями безопасности. Пользовательской стороне необходимо убедиться, что процесс обновления не приведет к прерыванию критически важных служб, а также убедиться, что функции и безопасность обновленного устройства в норме. Это не разовое мероприятие, а постоянный процесс.
Как обеспечить безопасность конфиденциальности посредством сбора и хранения данных Интернета вещей
Огромные объемы данных об окружающей среде и личной информации постоянно собираются устройствами Интернета вещей. Безопасность данных и защита конфиденциальности являются ключевыми основами соблюдения требований и доверия. При сборе исходных данных необходимо провести обработку, связанную с десенсибилизацией или анонимизацией. Например, данные интеллектуальных счетчиков следует загружать для анализа после удаления конкретной идентификационной информации пользователя, и следует сохранять только необходимые данные о структуре энергопотребления.
На этапе хранения данных такие статические данные должны быть зашифрованы. Ключами следует управлять с помощью аппаратных модулей или доверенных сред выполнения, обеспечивающих их соответствие, а не хранить в обычных файлах. В то же время необходимо четко определить политику возможного хранения данных, а ненужные данные необходимо регулярно удалять. При обмене данными с третьими лицами необходимо использовать контракты для уточнения обязанностей по обеспечению безопасности, а такие технологии, как дифференциальная конфиденциальность, должны использоваться для предотвращения раскрытия конфиденциальности, вызванной агрегированием данных. Предоставляйте глобальные услуги по закупкам для слабых текущих интеллектуальных продуктов!
Как предприятия могут создать комплексную систему управления безопасностью Интернета вещей
Предприятия не должны рассматривать безопасность Интернета вещей как чисто техническую проблему. Вместо этого им следует начать создавать систему управления, охватывающую организацию, процессы и технологии. Первым шагом является создание инвентаризации активов, чтобы четко понять тип, местоположение и профиль риска всех устройств Интернета вещей. На основании этого провести оценку рисков и определить ключевые активы и потоки данных, которые необходимо защитить в приоритетном порядке.
Разработайте специальные политики безопасности и эксплуатационные спецификации, четко определите требования безопасности на этапе закупок, уточните требования безопасности на этапе развертывания, уточните требования безопасности на этапе эксплуатации и оговорите требования безопасности на этапе утилизации. На техническом уровне развертывается платформа мониторинга безопасности Интернета вещей для непрерывного анализа поведения устройств, обнаружения аномального трафика и обнаружения несанкционированного доступа. Наконец, регулярно проводите аудит безопасности и тесты на проникновение, чтобы проверить эффективность защитных мер и разработать план реагирования на чрезвычайные ситуации, чтобы гарантировать, что инциденты безопасности могут быть быстро локализованы и устранены в случае их возникновения.
В ходе практики развертывания или управления системами Интернета вещей, с какой конкретной проблемой безопасности вы столкнулись и показались вам наиболее трудной? То ли оборудование сложно контролировать, то ли протоколы сложны, то ли стоимость обновлений и обслуживания особенно высока? Добро пожаловать, чтобы поделиться своим опытом и идеями в области комментариев. Если эта статья оказалась для меня полезной, пожалуйста, не стесняйтесь поставить лайк и переслать ее.
Добавить комментарий