Журнал "Information Security/ Информационная безопасность" #2, 2021

своих домашних офисов, также встает вопрос управления рис- ками ИБ, связанными с домаш- ними IoT-устройствами – прин- терами, телевизорами со Smart TV, файловыми хранилищами, камерами видеонаблюдения, часто подключенными к той же самой домашней сети, что и устройства, с которых происхо- дит доступ к корпоративным данным. При этом пользовате- ли, которые их устанавливают и используют, подчас обладают минимальными знаниями в области ИБ. Известные риски В соответствии с исследова- нием OWASP 4 определены наи- более важные риски, связанные с IoT-устройствами: l слабые и неизменяемые пароли; l небезопасные сетевые сер- висы; l небезопасные интерфейсы экосистемы; l отсутствие механизма без- опасного обновления; l использование небезопасных или устаревших компонентов; l небезопасные передача и хранение данных; l отсутствие управления устройствами; l небезопасные настройки "по умолчанию"; l слабая физическая защи- щенность. Известные атаки с использованием IoT-устройств Широко известными стали несколько атак с использова- нием IoT-устройств: l DDoS-атака на Krebsonsecu- rity 5 ; l DDoS-атака на Dyn 6 ; l взлом постаматов PickPoint. Наличие IoT-устройств негативно влияет на потери от инцидентов Как видно на рис. 3, при воз- никновении инцидента, связан- ного с IoT-инфраструктурой, увеличиваются репутационные и финансовые потери органи- зации. Ниже рассмотрим, поче- му так происходит 7 . Исходя из рисков OWASP, становится понятно, почему ИБ- службам компаний стоит прио- ритизировать реализацию конт- роля безопасности за IoT- устройствами в случаях, когда: l присутствуют давно известные критические уязвимости, которые нельзя исправить без производите- ля устройств; l существует небезопасная базовая конфигурация; l отсутствует протоколирова- ние или оно плохо организо- вано; l шифрование и контроль целостности присутствуют, но только на базовом уровне; l ИТ-персонал, отвечающий за обслуживание систем, не осо- знает проблемы безопасности IoT-устройств; l архитектура устройств не под- разумевает централизованное управление и мониторинг; l процессы организации не учитывают специфику IoT- устройств; l сотрудники, отвечающие за информационную безопасность, не имеют представления обо всей IoT-инфраструктуре ком- пании. На сегодняшний день наличие функций безопасности в IoT- устройствах является скорее исключением, нежели прави- лом. На рис. 4 приведен аноними- зированный дашборд с одного из пилотных проектов сервиса IBM X-Force Threat Management for IoT, который дает представ- ление о защищенности IoT- устройств. Но не все IoT-устройства представляют серьезную угрозу для организации. Их можно классифицировать по критич- ности на основе результатов инвентаризации. Как повысить уровень защищенности IoT- инфраструктуры Решение проблемы должно быть комплексным, оно требу- ет изменений в стратегии ИТ и ИБ за счет изменения имею- щихся процессов в структуре организации, технологических платформах, взаимодействиях с поставщиками, а также над- зоре. 1. В компании должны при- сутствовать специалисты, кото- рые знают технические особен- ности IoT-устройств, имеют опыт работы с ними, представляют их роль в организации, знают и применяют основные методы их защиты. • 21 АСУ ТП И IOT www.itsec.ru 1942 г. Вальтер Брух (Walter Bruch) создал первую в мире камеру видеонаблюдения 1949 г. Компания Vericon представила первую коммерческую камеру 1951 г. Появилась возможность сохранения видеоза- писей на ленте 1969 г. Мэри Ван Бриттан Браун (Marie Van Brittan Brown) изобрела и запатентовала систему без- опасности дома, включающую видеонаблюдение 1996 г. Создана первая IP-камера Neteye 200 2002 г. В США начинает применяться распознавание лиц с помощью камер 2005 г. Начинает использоваться технология анализа видеоконтента с камер Появились и получили распространение каме- ры с интерфейсом Wi-Fi Набирают силу сервисы Secaas, которые используют видеонаблюдение как одно из базовых средств, для которых важно наличие умных функций Таблица 1. Процесс эволюции умных функций на примере камер видеонаблюдения Рис. 2. Топ угроз в 2019 г. Источник: IBM X-Force Mirai Gafgyt Loli Shaolin Mirai Coin Miner Рис. 3. Влияние 25 ключевых факторов на среднюю стоимость утечки данных. Указано отклонение от среднего значения в $3,86 млн В компании должны присутствовать специалисты, которые знают технические особенности IoT- устройств, имеют опыт работы с ними, представляют их роль в организации, знают и применяют основные методы их защиты. 5 https://krebsonsecurity.com/2016/09/krebsonsecurity-hit-with-record-ddos/ 6 https://securityintelligence.com/lessons-from-the-dyn-ddos-attack/ 7 https://www.ibm.com/security/digital-assets/cost-data-breach-report?cm_sp=CTO-_-en-US-_-QMXVZX6R