| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Экстенсивное развитие микроэлектронной промышленности и сетей передачи данных, а также разработка и внедрение новых специализированных и энергоэффективных сетевых технологий и протоколов, таких как 5G, Bluetooth Low Energy, LoRa, Zigbee и Z-Wave, в течение последних 10 лет привели к формированию целого класса недорогих и высокопроизводительных устройств - так называемых устройств «Интернета Вещей» (англ. IoT, Internet of Things).
Применение IoT-концепции и сопутствующих технологий «Промышленный Интернет Вещей» (англ. IIoT, Industrial Internet of Things) и «Интернет Всего» (англ. IoE, Internet of Everything), в том числе и в промышленности, в медицине, на транспорте, в инфраструктурах крупных компаний от ритейла и логистики до шеринговых сервисов и коммунальных услуг, предоставляет фантастические бизнес-возможности и создает новые вызовы, в том числе в области рисков информационной безопасности. Кибербезопасности IoT-устройств посвящены публикации NIST SP 800-213 "IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements" («Руководство по кибербезопасности IoT-устройств для федерального правительства: Разработка требований по кибербезопасности IoT-устройств») и NIST SP 800-213A "IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog" («Руководство по кибербезопасности IoT-устройств для федерального правительства: Каталог требований по кибербезопасности IoT-устройств»), анализу которых и будет посвящена настоящая статья.
Итак, в публикации NIST SP 800-213 поддерживается логическая связь с фреймворком управления киберрисками NIST (NIST RMF, т.е. Risk Management Framework), и прежде всего с публикациями NIST SP 800-39, 800-37, 800-30. При этом публикация NIST SP 800-213A содержит каталог требований ИБ к возможностям защиты информации IoT-устройств и их производителей, логически связанный с положениями стандарта NIST SP 800-53, описывающего требования к мерам обеспечения безопасности и конфиденциальности. В соответствии с фреймворком RMF, IoT-устройства являются элементами информационных систем, которые могут быть частью как IT-, так и OT-сетей (англ. Operations Technology). В OT-сетях применяются разнообразные устройства: датчики, преобразователи, актюаторы (исполнительные устройства), которые посредством IoT-устройств связаны с IT-инфраструктурой для обработки поступающей информации. Примером IoT-устройства может быть LPWAN-модем, который передает информацию с датчика давления из труднодоступного участка газопровода в диспетчерский пункт, где на основании данной телеметрии ведется аналитика эффективности прокачки газа и выполнения контрактных обязательств.
Одной из особенностей IoT-устройств является их внедрение в зачастую уже функционирующую IT/OT-инфраструктуру, из которой потребовалось получать больше телеметрии, представляющей бизнес-ценность (аналитика, прогнозирование, контроль). Можно привести банальный пример: руководитель службы безопасности принимает решение об установке «умных» камер видеонаблюдения на территории компании, с подключением их к Интернет для возможности удаленного контроля; при этом уже после закупки выясняется, что в устройствах отсутствует функционал ограничения сетевых подключений и защиты от брутфорс-атак, а производитель данного оборудования не предоставляет инструкцию по настройке прав доступа пользователей и обновленную версию прошивки. Для подобных ситуаций публикация NIST SP 800-213 предлагает подход, заключающийся в предъявлении требований к функциональным возможностям IoT-устройств с точки зрения кибербезопасности с одновременным анализом способности вендора/поставщика решить организационные и технические ИБ-вопросы, что в свою очередь должно помочь сохранить уровень киберрисков на заранее оговоренном приемлемом уровне после внедрения IoT-устройств.
Выявление и предъявление требований информационной безопасности к IoT-устройствам в соответствии с NIST SP 800-213 состоит из 3 этапов:
1. Выявление сценариев использования IoT-устройств и характеристики свойств защиты информации в них:
1.1. Сценарии использования (use cases) и преимущества, которые дают бизнесу IoT-устройства, с применением cost-benefit анализа и с учетом того, что IoT-устройства могут стать брешью в защите компании и послужить входной точкой в ИТ-инфраструктуру для атакующих.
1.2. Воздействие IoT-устройств при сборе, хранении, передаче защищаемой информации (например, персональные данные, коммерческая тайна, данные о состоянии объекта критической информационной инфраструктуры, служебная информация о среде функционирования устройства и т.д.) с учетом особенностей обработки данных: использование облачных инфраструктур, сетей вендора или его подрядчиков, взаимодействие с веб-приложениями, передача данных в другие юрисдикции.
1.3. Взаимодействие с другими компонентами информационных систем в компании, с учетом влияния IoT-устройств на физическую среду функционирования и на другие IT/OT-элементы: например, могут ли повлиять IoT-устройства на конфиденциальность персональных данных сотрудников при использовании систем видеонаблюдения или на безопасность самих сотрудников, если речь идет о датчиках дыма или носимой электронике. Кроме того, нужно учитывать архитектурные особенности работы IoT-устройств, такие как приоритет надежности функционирования над кибербезопасностью, невозможность переопределить свойства микропрограммы устройства, использование проприетарных протоколов и форматов данных. Следует также учитывать наличие уязвимостей, которые нужно либо пропатчить (изменением настроек или перепрошивкой), либо применить компенсирующие меры для смягчения данного риска.
1.4. Методы обеспечения ИБ со стороны производителей IoT-устройств: руководствуется ли вендор фреймворком безопасной разработки ПО (SSDF, Secure Software Development Framework), следует ли рекомендациям по управлению рисками цепочек поставок (в соответствии с NIST SP 800-161), каким образом вендор устраняет уязвимости и раскрывает информацию о них, каким образом производитель предоставляет обновления прошивок для устранения уязвимостей в своих IoT-устройствах.
2. Выявление влияния IoT-устройств на оценку уровня киберрисков компании:
2.1. Влияние IoT-устройств как источников новых киберугроз и причину новых инцидентов ИБ.
2.2. Влияние уязвимостей IoT-устройств на состояние защищенности компании и её инфраструктуры (например, установленный по умолчанию и неизменяемый пароль суперпользователя может стать точкой входа атакующих в компанию или, как минимум, сделать IoT-устройство частью бот-сети для осуществления DDoS-атак по команде хакера).
2.3. Влияние вероятности реализации угроз ИБ устройствами IoT: например, наличие в IoT-устройстве постоянного интернет-подключения к сотовой сети может означать повышение вероятности эксплуатации атакующим сетевых уязвимостей устройства. При этом следует учитывать специфику работы IoT-устройств и их взаимодействие с защищаемыми активами: например, IoT-устройства (за исключением обработки по модели Edge Computing), как правило, не хранят у себя данные, что снимает необходимость обеспечивать защиту "data at rest", однако при передаче ими информации следует применять меры защиты "data in transit".
2.4. Оценка ущерба/влияния при реализации угроз ИБ устройствами IoT: например, сбой критически важного инфраструктурного IoT-устройства или медицинского IoT-оборудования может привести к значительному увеличению потенциального ущерба для компании.
3. Выявление требуемых характеристик ИБ, предъявляемых к IoT-устройствам:
3.1. Выбор применимых требований ИБ и свойств защиты информации устройств IoT для сохранения приемлемого уровня киберрисков.
3.2. Выбор применимых мер обеспечения ИБ из авторитетных источников (каталог защитных мер их публикации NIST SP 800-213A, контроли ИБ из NIST SP 800-53, применимые нормы NIST Cybersecurity Framework).
В документе указано, что требования к кибербезопасности IoT-устройств могут быть ключевыми и иными. Ключевые требования (англ. key device cybersecurity requirement) - это те характеристики ИБ, которые должно иметь IoT-устройство или которые должен предоставлять производитель устройств; без выполнения данных требований IoT-устройство не может быть интегрировано в информационные системы компании. Неключевые (иные) требования могут быть закрыты компенсирующими мерами и наложенными средствами защиты информации. В документе также подчеркивается, что сведения о функциях и характеристиках ИБ IoT-устройства следует получить до его приобретения и эксплуатации, что в свою очередь означает необходимость плотного взаимодействия с производителем/поставщиком устройства перед принятием решения о закупке. Кроме того, подчеркивается, что зачастую производители IoT-устройств в целях экономической эффективности и сохранения ценовой конкурентоспособности пренебрегают внедрением функций информационной безопасности и устранением уязвимостей.
Далее вкратце опишем публикацию NIST SP 800-213A "IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog" ( «Руководство по кибербезопасности IoT-устройств для федерального правительства: Каталог требований по кибербезопасности IoT-устройств»). Данный документ содержит перечень требований информационной безопасности, которые можно предъявлять к IoT-устройствам как с технической точки зрения (функционал программной и аппаратной части устройства), так и с организационной (документация, работа вендора с уязвимостями, обучение потребителей представителями вендора или поставщика).
Технические требования представлены следующими группами:
1. Идентификация устройства: наличие уникальных идентификаторов устройств и возможность устройства аутентифицироваться с их помощью.
2. Конфигурирование устройств: логическое разграничение доступа к настройкам устройства, настройка интерфейсов и отображаемой на экране устройства информации.
3. Защита данных: криптографические методы защиты обрабатываемой информации для обеспечения конфиденциальности и целостности, включая выполнение криптографических операций, управление ключами шифрования, шифрование данных на устройстве, обеспечение зашифрованного канала передачи данных.
4. Логический доступ к интерфейсам: поддержка механизмов аутентификации и авторизации, поддержка ролевой модели разграничения доступа, управление учетными записями пользователей на устройстве, обеспечение безопасного подключения к внешним сервисам, управление удаленным доступом к устройству.
5. Обновление программного обеспечения: управление установкой обновлений только из надежных источников, возможность отката установленных обновлений, установка обновлений из удаленных и локальных источников.
6. Предоставление информации о состоянии информационной безопасности устройства: ведение журналов безопасности требуемой детальности с необходимой глубиной хранения, установка временных меток событий, реагирование устройства на события ИБ, защита журналов безопасности.
7. Безопасность устройства: защита исполняемого кода, защита взаимодействия с другим устройствами, безопасное использование системных ресурсов, обеспечение целостности программного и аппаратного обеспечения устройства, безопасное подключение к сетям, физическая защита устройства.
Организационные (нетехнические) требования представлены следующими группами:
1. Документирование: описание работы устройства в различных сценариях и средах, соответствие законодательным и иным нормам, описание функций информационной безопасности устройства, описание процесса технической поддержки и обслуживания устройства, описание процесса проверки подлинности устройства покупателем.
2. Получение обратной связи и вопросов от покупателей: обмен информацией о найденных уязвимостях и способах их устранения, ответы на вопросы покупателей в части функций ИБ устройства.
3. Распространение производителем информации о кибербезопасности IoT-устсройства.
4. Обучение покупателей по вопросам кибербезопасности IoT-устройства.
Наконец, в приложении "B" приведена таблица соответствия требований публикации NIST SP 800-213A с требованиями публикации NIST SP 800-53 Rev. 5 "Security and Privacy Controls for Information Systems and Organizations" («Меры обеспечения безопасности и конфиденциальности для информационных систем и организаций»).