Журнал "Information Security/ Информационная безопасность" #2, 2021

2. Карта процессов ИТ и ИБ, сами процессы, стандар- ты конфигурации и безопас- ности должны учитывать наличие и особенности IoT- устройств, их архитектуру, жизненный цикл и тонкости эксплуатации. 3. Модель рисков и угроз должна быть дополнена ланд- шафтом IoT. 4. Нужно использовать спе- циализированные платфор- мы, а классические техноло- гические платформы ИБ должны поддерживать IoT- устройства. 5. При закупках необходимо иметь набор требований ИБ для IoT-устройств, которые поз- волят избежать поставки небезопасных устройств для организации. Рассмотрим один из элемен- тов решения на примере инвен- таризации с использованием специализированной техноло- гической платформы. Инвентаризация IoT-устройств Что важно с точки зрения ИБ при инвентаризации устройств: l базовые свойства объекта – что за устройство и для чего используется, с какими систе- мами взаимосвязано; l известные уязвимости; l местоположение. Классически инвентаризация устройств, подключенных к сети, может производиться системой класса IT Asset Manage- ment и сканером уязвимостей. Но в рассматриваемом вопросе сканеры не подходят для инвен- таризации и оценки уязвимо- стей, так как перечень и набор уязвимостей IoT-устройств в их базе обычно ограничен. К тому же некоторые устройства могут быть слишком простыми и ска- нер не сможет с ними взаимо- действовать, а агенты не смогут быть установлены из-за аппа- ратных и программных ограничений. Выходом в данной ситуации является пассивная инвента- ризация, построенная на ана- лизе активностей IoT-устройств сенсором. Классические ана- лизаторы трафика и сетевых потоков для этого не подходят, требуется специализированное средство, обладающее воз- можностями по детектирова- нию IoT-устройств и их класси- фикации. Пассивная инвентаризация значительно упрощает процесс, уменьшая количество шагов и их трудоемкость, а также уве- личивая точность. С помощью трафика можно определить: l тип устройства; l модель устройства; l является ли оно управляе- мым; l является ли оно уязвимым – на основе отпечатков опреде- ляется тип, модель и прошивка устройства; l где оно расположено – по местоположению сенсора, сиг- налу; l неиспользуемые устройства; l миграцию устройств между офисами; l устройства, которые непра- вильно расположены. Данные сведения закрывают основные потребности в инфор- мации об IoT-устройствах c точки зрения ИБ. На рис. 5 представлена логи- ческая схема возможного решения. Сенсор нормализует данные и передает их для анализа на сервер управления, который содержит базу устройств, собранных по следующим при- знакам: l физические; l сетевые; l поведенческие. На основе собранных данных происходит классификация устройств. В случае обнару- жения уязвимости или подо- зрительной активности (напри- мер, подключение к ботнету) информация о потенциальном инциденте передается в SOC. Сценарии мониторинга, разра- ботанные на основе модели рисков и угроз, отслеживают сетевые и поведенческие пара- метры. Благодаря интеграции систе- мы инвентаризации с CMDB и получению точной информа- ции в CMDB о зараженном устройстве SOC может быстро среагировать и минимизировать потери от инцидента. Оценка рисков на основе инвентаризационных данных Качественная инвентариза- ция позволяет быстрее перейти к количественной оценке рис- ков и угроз. За счет оценки ландшафта IoT-устройств может быть обнаружено, что имеются новые угрозы ИБ, или определено, что существующие угрозы релевантны и для IoT- устройств. l 22 • СПЕЦПРОЕКТ Рис. 5. Логическая схема возможного решения Рис. 4. Дашборд сервиса IBM X-Force Threat Management for IoT Ваше мнение и вопросы присылайте по адресу is@groteck.ru