90% ИБ-экспертов считают IoT главной угрозой безопасности в 2017 году
Экспертный комментарий Олега Левенкова, руководителя отдела управления проектами компании "Аладдин Р.Д."
Только 22% специалистов в прошлом году проверяли подключенные устройства на наличие вредоносного ПО.
По мнению более 90% IT-специалистов, в нынешнем году главной угрозой корпоративной ИБ станут устройства "Интернета вещей" (IoT). Однако действующие в компаниях программы по обеспечению безопасности не поспевают за новыми угрозами. К таким выводам пришли эксперты Pwnie Express на основании опроса IT-специалистов.
В исследовании под названием "Интернет злых вещей" ("The Internet of Evil Things") приняли участие свыше 800 руководителей корпоративных IT-отделов. По словам 84% из них, появление ботнетов Mirai существенно изменило их представление об угрозе, которую несёт собой IoT, однако 66% опрошенных даже толком не знают, сколько подключенных устройств используется на их предприятиях.
Только 22% специалистов в прошлом году проверяли подключенные устройства на наличие вредоносного ПО. 65% либо вообще не пытались обнаружить Mirai на своих системах, либо не знали, как это сделать.
"Mirai является ярким примером того, что может сделать вредоносное ПО, заразив плохо сконфигурированное или слабо защищённое устройство. Если вы планируете увеличить количество используемых плохо сконфигурированных и незащищённых устройств, а у команд безопасности нет возможности их проверить, (ред. – предприятиям) следует увеличить финансирование программ по обеспечению безопасности", - сообщил глава Pwnie Express Пол Пэджет (Paul Paget).
По словам 20% участников опроса, в прошлом году IoT-устройства в их компаниях подвергались атакам вымогательского ПО. 16% сообщили, что на их системы осуществлялись атаки "человек посередине".
Павел Шалин, аналитик "Доктор Веб"
Мне кажется, подобная оценка опасности IoT для бизнеса несколько преувеличена. Если верить отчёту Pwnie Express, речь в первую очередь идёт о неправильно настроенном сетевом оборудовании, открывающем лазейки для злоумышленников и вредоносного ПО благодаря использованию заводских настроек, слабых паролей и содержащих ошибки прошивок. Но позвольте: следить за настройками маршрутизаторов и точек доступа, внедрять и контролировать политику использования безопасных паролей, поддерживать в актуальном состоянии и своевременно обновлять firmware — это первейшие обязанности системных администраторов. Если компания не в состоянии нанять IT-специалиста, способного решать этот круг несложных, в общем-то, задач, ей не помогут даже парни из Pwnie Express.
Вирусные аналитики компании "Доктор Веб" действительно фиксируют в последнее время значительный рост числа атак на Linux-системы с использованием протоколов SSH и Telnet, целью которых является установка на такие устройства вредоносных программ. Причём опасности подвергаются не только компьютеры с классической архитектурой x86/64, но и девайсы с архитектурами MIPS, ARM, PowerPC. Метод атак — перебор паролей по словарю (брутфорс), цель — внедрение на скомпрометированные устройства троянцев для проведения DDoS-атак, организации прокси-серверов и загрузки по команде злоумышленников другого вредоносного ПО.
Но все же наибольшую опасность на мой взгляд для корпоративного сектора (по крайней мере, в России) сегодня по-прежнему представляют массированные DDoS-атаки, в том числе – организованные с использованием инфицированного троянцами сетевого оборудования. Кроме того, заметный финансовый ущерб способны принести банковские троянцы и шифровальщики. Однако массированное использование киберпреступниками IoT в нашей стране для проведения таргетированных атак на бизнес — это пока ещё экзотика. Андрей Крупин, редактор Software-Expert.ru
Действительно, активно развивающийся в настоящий момент сегмент "Интернета вещей" (Internet of Things, IoT) оставляет желать лучшего в плане информационной безопасности. Виной всему — посредственное отношение производителей IoT-решений к вопросу обновления задействованного в них системного программного обеспечения (ПО) и оперативного устранения обнаруженных в нём уязвимостей. В свете повсеместного распространения таких "умных" устройств, всё чаще используемых для развёртывания интеллектуальных производств, мониторинга и управления состоянием промышленного оборудования, а также создания продукции в сфере Smart City, улучшающей продуктивность бизнеса, качество и безопасность жизни людей, эта проблема выходит на первый план.
Не залатанные в ПО IoT-систем бреши открывают большой простор для злоумышленников, позволяют им эксплуатировать содержащиеся в устройствах уязвимости, использовать их для создания ботнетов и выполнения преступных действий в глобальной сети, например, для осуществления распределённых атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS).
О серьёзности проблемы можно судить по масштабам ежегодно подключаемых к глобальной сети IoT-устройств. По прогнозам Gartner, к концу нынешнего года их количество достигнет 8,4 млрд в мире против 6,4 млрд в 2016-м, а к 2020 году этот показатель увеличится до 20,4 млрд. При этом, по данным Intel, все эти устройства, сенсоры, датчики будут генерировать 44 зеттабайт данных в год. Такой огромный объем трафика вкупе с внушительным числом устройств "Интернета вещей" потребует реализации новых подходов к передаче информации и аналитике данных, а также кардинального пересмотра концепции и механизмов обеспечения защиты устройств сферы IoT.
Дмитрий Петерсон, директор компании mobile.SimbirSoft
Станут ли проблемы безопасности IoT главной угрозой корпоративной ИБ в этом году?
В общем-то практически всем интересующимся информационной безопасностью очевидна острота и актуальность данной проблемы. Особое внимание следует уделить проблемам ransomware и IoT-ботнетам. Если раньше средством получения выкупа являлся, образно выражаясь, захват в заложники ценной информации, то сегодня злоумышленники дополнили свои методы аналогичными по смыслу атаками на корпоративную инфраструктуру.
Набившие оскомину проблемы наплевательского отношения к таким простым вещам, как смена стандартных паролей и обновление программного обеспечения сетевых устройств, в свою очередь, предсказуемо породили новый тип ботнетов, характерными особенностями которых являются огромное количество потенциально уязвимых устройств и сложность обнаружения заражения рядовыми пользователями, которые, кстати говоря, работают в корпорациях и не прочь принести с собой на работу умные устройства.
Почему многие пренебрегают безопасностью умных устройств?
Умные устройства призваны заменить устройства "обычные". У большинства людей и мысли не возникнет о том, что неплохо бы обновить прошивку на телевизоре, дверном замке или фитнес-трекере.
Производители, в свою очередь, хотят сократить издержки производства и разработки устройств, сроки гарантийных обязательств и конечную стоимость устройства для того, чтобы успешно конкурировать на рынке, что существенно сказывается на защищённости устройств.
Дмитрий Блинов, технический директор LogistiX
Мы абсолютно согласны с утверждением, что устройства интернета вещей одна из главных угроз – причём это касается как бытовой сферы, так и промышленного сегмента. Источник проблемы в полном отсутствии стандартов подключения устройств к интернету и определения конечных точек подключения, не существует и однородной инфраструктуры. Каждое устройство настраивается совершенно произвольно.
Причины такого бездумного отношения на поверхности – это как общий уровень цифровой безграмотности, даже в профессиональной среде ИТ-безопасность может находиться в руках плохого профи, так же немаловажный фактор – это экономия на профессиональных услугах при подключении даже дорогостоящего многомиллионного оборудования.
Одна из самых уязвимых сфер – это настройка промышленного WiFi и файерволов. У меня есть пример из жизни, когда человек, живущий рядом с промышленным предприятием просто взломал сеть в поисках бесплатного интернета. При этом человек не был профессиональным хакером.
Именно из-за того, что сегодня количество устройств, подключаемых к интернету, растёт в геометрической прогрессии, соответственно возрастает и общий уровень угроз. Активная политика продвижения промышленного интернета вещей также становится катализатором – в погоне за новейшими технологиями и трендами, промышленное предприятие может серьёзно "подставить" свою ИБ-безопасность.
Выход из этой ситуации можно назвать простым и сложным одновременно – мы до сих пор воспринимаем цифровые технологии как фан, даже если речь идёт о профессиональных устройствах, до сих пор верим в волшебного человека с бубном, который настроит систему, мы не стремимся изучать цифровую грамотность (хотя сегодня ей надо учить с начальной школы) , хотя уже сегодня ИТ безопасность должна быть положена в основу "цифровой гигиены".
Андрей Врублевский, руководитель направления оптимизации и контроля сети компании КРОК
Количество IoT-устройств растёт с огромной скоростью, и они действительно могут стать серьёзной угрозой корпоративной ИБ. После компрометации этих устройств (когда злоумышленники получают доступ к ним на уровне администратора) сценарии атаки могут быть самыми разными: от объединения большого количества устройств в единый ботнет с целью организации DDoS-атаки до нарушения работы корпоративной сети изнутри. Интересный случай недавно произошёл в одном из университетов США. Периодически студенты жаловались на медленную работу сети. В ходе расследования выяснилось, что проблема была в том, что каждые 15 минут в сети появлялось гигантское количество DNS-запросов. Анализ инцидента выявил, что источником этих запросов были обычные вендинговые автоматы, почему-то обращавшиеся к определённым доменам с категорией морепродукты.
Безопасностью пренебрегают как при разработке самих IoT-устройств, стараясь максимально сократить затраты на производство (что приводит к появлению закладок ПО, таких как мастер-пароли), так и при их установке ввиду низкой квалификации персонала (не меняют пароль администратора).
Яков Гродзенский, руководитель направления информационной безопасности компании "Системный софт"
Взломы устройств "интернета вещей" неизбежно будут одной из актуальных тем информационной безопасности в ближайшие 3-5 лет. Это связано с тем, что и разработчики, и пользователи пока воспринимают IoT как удобную, красивую и интересную, но все же игрушку. Пользователи часто не задумываются о том, что оборудование из "интернета вещей", как и обычный ПК – это вычислительный ресурс, который можно использовать в любых целях.
Базы уязвимостей крупнейших производителей средств для их анализа таких как Tenable, содержат огромное число записей с обнаруженными уязвимостями в системном и прикладном ПО, и патчами, которые эти уязвимости закрывают. И оборудование из мира "интернета вещей" не исключение. При этом, в случае, если речь идёт о рабочей станции, то есть вероятность, что пользователь – опытный, и распознает попытку включить его компьютер в ботнет, то у кофеварки или холодильника это точно не получится, пока производители не начнут встраивать самообучающиеся системы распознавания атак. Этим хакеры и пользуются.
Если говорить о нелегальной деятельности, то киберпреступники могут использовать их для рассылки спама и фишинговых писем, подбора паролей к интересующим серверам или рабочим станциям, брутфорсных атак на пароли удалённых систем и для многих других целей. Критически важных данных из холодильника похитить не получится – поэтому их безопасность меньше заботит домашних пользователей, чем безопасность ПК. Другое дело – промышленный интернет вещей, где проникновение может обернуться чрезвычайно серьёзными последствиями для компании. Можно ожидать, что именно Industrial IoT станет основным драйвером развития протоколов и систем безопасности в области "интернета вещей".
Алексей Парфентьев, ведущий аналитик "СёрчИнформ"
Действительно безопасность в IoT – слабое место. При этом личные устройства мы используем в рабочей деятельности, к примеру, устанавливаем корпоративную почту на смартафон, защита которого от действий злоумышленников остаётся задачей обычного пользователя, а не ИБ-специалиста.
При этом производители умных вещей решают проблемы безопасности далеко не в первую очередь по нескольким причинам:
- Дешевле и проще реализовать простейшую защиту. Пример – масса "околокитайских" randomname-устройств, где производитель заранее задаёт login\password, а пользователь после приобретения их просто не меняет. Результат: возможность массового взлома устройств, как в новости "Интернет вещей атаковал Америку". Кроме того, о некоторых уязвимостях производитель знает, но не исправляет их и выпускает продукт на рынок с проблемами в защите.
- Производитель считает уязвимость не проблемой, а фичей. Пример – история с Xiaomi, где в одном из продуктов оказалось предустановленное приложение, которое поддерживало связь с сервером без шифрования, а это возможность для любого желающего произвести MitM-атаку. После обнаружения такой странности в продукте, Xiaomi дала официальный комментарий: "AnalyticsCore (то самое приложение) является встроенным компонентом MIUI-системы и используется MIUI для анализа данных, чтобы помочь разработчикам компании улучшить UI продуктов".
- Производитель изначально встраивает в продукт опасную функциональность. Тут выбор за покупателем, но только если он знает обо всех возможностях потенциального приобретения. Однако, нередко понимание приходит с опозданием и тогда случаются истории, как с телевизорами LG. "Умная вещь" не реагировала на запрет пользователя на сбор информации и продолжала отправляла трафик в Сеть. Производитель на претензию пользователя предложил лишь смириться с ситуацией.
IoT обычный пользователь встраивает с свою повседневную жизнь и по сути сам несёт ответственность, насколько выстроенная инфраструктура защищена. Корпоративные специалисты по безопасности не имеют доступа к личным устройствам, поэтому, без полной блокировки их подключения в корпоративной среде не могут гарантировать, что через них злоумышленник не доберётся до корпоративных данных.
Олег Левенков, руководитель отдела управления проектами, компания "Аладдин Р.Д."
О серьёзности проблемы говорит не только широкое распространение электронных устройств, увеличение объёма трафика, генерируемое этими устройствами, в том числе и из корпоративных сетей, но и пристальное внимание злоумышленников именно к этому сегменту. Об этом можно судить по увеличению числа зафиксированных атак на сегменты IoT, особенно применительно к объектам критической инфраструктуры, промышленным и муниципальным системам.
Специалисты в области информационной безопасности уже давно обратили внимание на рост угроз вследствие использования собственных устройств на рабочем месте. Помимо этого, появляется всё большее количество интеллектуальных устройств, взаимодействующих с человеком при посредничестве других электронных устройств. Например, умные часы, которые выполняют функцию мониторинга здоровья, могут пересылать свои данные в другие информационное системы. Мало того, что эти информационные системы могут быть незащищены, мало того, что умные часы могут реализовывать целый набор дополнительных функций, недекларируемых для их владельца, так ещё и программное обеспечение для этих часов, устанавливаемое на смартфоне для удобства управления дополнительными функциями, может несанкционированно получать доступ к корпоративным данным, которые проходят через смартфон.
В итоге получаем расширение ландшафта потенциальных угроз, которое в большинстве случаев выходит за рамки корпоративных моделей угроз. А если эти угрозы не анализируются, не оцениваются, и не принимается решение о реагировании на возможные атаки, то эта область просто остаётся в тени. Поэтому тенденцию увеличения числа угроз для корпоративных специалистов по информационной безопасности я связываю не только с распространением IoT, но и с тем, что будут учтены угрозы, которые не принимались к рассмотрению и оценке ранее.
Почему ранее этому не уделялось внимание? Зачастую бюджеты на информационную безопасность обосновываются только на основе статистических данных (т.е. когда ком с горы уже покатился) и в построении корпоративной системы защиты информации недостаточно применяется проактивный подход.
Андрей Янкин, руководитель отдела консалтинга Центра информационной безопасности компании "Инфосистемы Джет"
О проблемах с безопасностью IoT говорили давно, но сейчас проблема действительно стала понятна для широкого круга специалистов по ИБ. Однако действенных подходов к противостоянию таким угрозам до сих пор нет. Безопасностью IoT по сути некому заняться. Пользователи зачастую не знают, что система взломана. Устройство работает без сбоев, об этом злоумышленники заботятся отдельно, чтобы подольше контролировать систему. Соответственно, владельцы устройств не мотивированы на обновление или защиту устройств и не предъявляют претензий производителям. Те, в свою очередь, как правило далеки от мира ИБ и, не имея потока претензий от покупателей и давления со стороны регуляторов, занимаются ИБ в последнюю очередь.
Ситуация уже начинает меняться. Операторы связи ограничивают доступ в интернет для пользователей, чьи устройства являются частью ботнетов, рассылающих спам или проводящих DDoS-атаки. Постепенно подключаются регуляторы, корпоративные службы ИБ. Однако ситуация в целом абсолютно классическая для ИТ: все знали о возможной проблеме безопасности, но пока не грянул гром, никто ничего не предпринимал. Эта история повторяется вновь и вновь с каждой новой технологией (персональные компьютеры, сети, интернет, wi-fi, электронная коммерция и т.д. и т.п.). Мы, к сожалению, ничему не учимся.
Михаил Пиняев, аналитик "МФИ Софт"
В конце 2016 произошло несколько крупных инцидентов – DDoS-атаки на DNS-оператора Dyn DNS и французского хостинг-провайдера OVH и другие громкие случаи. Особенными их делает рекордная мощность атак, достигающая 1Тб/c. Результатом такой атаки становится не только недоступность ресурсов жертвы атаки, но и замедление работы самих сетей в результате необходимости пропускать большое количество трафика. Возможности организовывать такие атаки появились благодаря развитию отрасли интернета вещей. В силу того, что технологии относительно новые, их разработчики не сильно обеспокоены решением проблем безопасности, фокусируясь на функциональности. Как следствие, очень много устройств поступает на рынок с незакрытыми уязвимостями в программном обеспечении и операционных системах, благодаря чему злоумышленники заражают их вредоносным ПО и объединяют в ботнеты. Могут быть и другие сценарии взлома IoT-устройств, например, smart-TV можно использовать для прослушки его хозяина, или краже его учётных данных от различных приложений.
С другой стороны, в этом есть вина и самих пользователей, не меняющих стандартные учётные записи, оставляющие устройства в открытом доступе напрямую через интернет и совершающие другие оплошности при настройке.
Говорить об IoT как об угрозе не очень корректно, сами технологии существенно повышают качество жизни во многих её аспектах – от управления климатом в домах до дистанционного мониторинга здоровья.
А вот уязвимости в IoT-устройствах – другое дело. Чем сильнее технология проникает в нашу жизнь, тем сильнее эти риски обостряются. Рассмотрим на простом примере – в случае выхода из строя "умного" цветочного горшка, казалось бы, никто особо не пострадает. С другой же стороны, вмешательство в работу медицинских устройств может стоить пациенту жизни. При этом в обоих случаях решения могут использовать одинаковые методы дозирования.
Проблема безопасности интернета вещей в ближайшие годы будет крайне актуальной. В парадигме информационной безопасности незащищённость IoT может создать дополнительный пласт проблем. Тем более, что, по подсчётам Gartner https://www.rtinsights.com/gartner-iot-services-and-devices-2017/, к концу года по всему миру будет насчитываться 8,4 млрд. подключенных к Сети устройств.
При этом к решению проблемы безопасности IoT можно подходить с разных сторон – в случае корпоративной безопасности, выявить нарушение в работе интернетизированных устройств могут решения по анализу IP-трафика по отклонениям в поведении устройств. А в случае потребительской техники, - устранение уязвимостей. Сейчас эта задача лежит на плечах производителей самих устройств.