| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
В предыдущей статье, посвященной трендам современной информационной безопасности, мы обсудили атаки на цепочки поставок (Supply chain attacks) и атаки на третьих лиц (3rd parties attacks). Не менее актуальными темами-трендами можно назвать атаки на элементы «интернета вещей» и вопросы защиты облачных инфраструктур, которым посвящена данная статья.
Термин «Интернет вещей» (IoT - internet of things) подразумевает большое количество элементов электроники потребительского уровня, непрерывно подключенных к разнообразным сетями, в т.ч. к интернет, для взаимодействия между собой, с владельцем и с разнообразными интернет-сервисами. Примерами IoT-устройств могут быть: смарт-телевизоры, «умные колонки», фитнес-трекеры, элементы «умного дома» (датчики, бытовая техника, системы безопасности), веб-камеры, автомобильные и транспортные системы и т.д. С развитием сетей 5G количество устройств «интернета вещей» будет лишь расти, поскольку сети нового поколения поддерживают высокоскоростную передачу данных с малым расходом электроэнергии и взаимодействие устройств непосредственно друг с другом.
С точки зрения кибербезопасности особую озабоченность вызывают IoT-элементы, обладающие функциональными возможностями доступа в интернет и допускающими внешнее подключение к ним, микропрограммы («прошивка», англ. firmware) которых не получают обновлений безопасности от производителя. Примером такого уязвимого устройства может стать веб-камера нижнего ценового диапазона, разработанная, например, в Китае, и используемая, скажем, для контроля обстановки на садовом участке: к ней можно подключаться из интернета для просмотра изображения, в ней установлен некий упрощенный веб-сервер для контроля самой камеры (например, для поворота камеры или приближения). Производитель, скорее всего, не балует покупателей частыми обновлениями «прошивки», а если эта модель больше не производится, то обновления ПО можно и вообще не дождаться. Поиск уязвимостей в установленном на камере веб-сервере с большой долей вероятности не будет затруднительным, поскольку аппаратная «начинка» бытовой техники, как правило, не самая производительная и поддерживает установку лишь самого простого софта с урезанным функционалом, а производители в высококонкурентной среде вынуждены экономить буквально на всем для формирования самой привлекательной цены, в т.ч. на качестве встроенного ПО, процессах безопасной разработки софта и на работах по устранению в нем уязвимостей.
Итак, в случае, если в программном коде веб-сервера, установленного в камере, найдут уязвимость, то владелец сможет защитить себя единственным способом - отключив камеру от интернета или полностью выключив своё устройство. В случае с простой домашней электроникой это несложно, но как быть, например, владельцам большого парка таких камер, которые необходимы для выполнения определенной бизнес-функции, например, контроля важного объекта? Скорее всего, такая камера так и останется подключенной к интернету, и через некоторое время она окажется взломана через найденную уязвимость. Дальше работа камеры будет контролироваться уже злоумышленником - он может как безнаказанно просматривать изображение с камеры или просто выключить её, так и использовать устройство в своих целях - например, сделать его частью бот-сети, которая осуществляет DDoS-атаки по указанию злоумышленника, или банально начать майнить криптовалюту, расходуя электроэнергию своего ничего не подозревающего владельца.
Следует учесть, что вся ответственность за последствия вредоносной активности устройства ляжет на владельца устройства, даже если заражение произошло без его ведома. Картина становится еще драматичнее, если представить себе, что заражено, например, устройство класса «носимая электроника»: портативный глюкометр (прибор для измерения уровня глюкозы в крови) или пульсоксиметр (прибор для измерения уровня насыщения крови кислородом).Таким образом, вопрос защиты устройств «интернета вещей» уже выходит за рамки стандартных бизнес-рисков и затрагивает жизнь и здоровье людей, что является абсолютным императивным приоритетом.
Для защиты IoT-устройств от кибератак в общем случае внимание стоит обратить на следующее:
1. Страна производства устройства и производитель: чем известнее производитель, тем выше вероятность своевременного обновления ПО и ниже вероятность наличия неустраненных уязвимостей, о которых известно вендору.
2. Наличие юридических документов на официальном сайте: положения о конфиденциальности обрабатываемых данных, политики обработки персональных данных, заявления о соответствии тем или иным законодательным нормам и т.д.
3. Возможность настройки встроенного ПО для отключения внешних интернет-подключений к устройству - удаленного управления, администрирования, просмотра состояния и т.д.
4. Наличие обновлений встроенного ПО на официальном сайте производителя, периодичность их выпуска, дата выпуска последнего обновления.
5. Наличие сообщества энтузиастов-любителей, которые выпускают неофициальные, «кастомизированные» прошивки для данного устройства.
В случае применения устройств «интернета вещей» для выполнения бизнес-задач следует внимательно отнестись к выбору производителя, отдавая предпочтение тому, кто регулярно выпускает обновления встроенного ПО, предлагает расширенную техническую поддержку и выезд своих специалистов on-site, предоставляет продолжительную гарантию и рекомендации по защищенной настройке устройства, а также имеющему актуальные документы с описанием реализуемых мер информационной безопасности и принятым методикам безопасной разработки.
В случае применения IoT-устройств в личных целях следует оценить, насколько тот или иной функционал удаленной работы с устройством действительно требуется, насколько простой будет защищенная настройка устройства конечным пользователем (например, ребенком или пожилым человеком), дает ли производитель подробные рекомендации и инструкции по настройке девайса для ограничения и контроля его «опасного» функционала.
Вопросы защиты облачных инфраструктур также являются крайне актуальными на текущий момент, и это несомненно связано с популярностью облачных платформ и решений, которые привлекают заказчиков легкостью горизонтального масштабирования, прозрачным планированием затрат, возможностями переложить часть задач по обслуживанию инфраструктуры на специалистов Cloud-провайдеров. Кроме того, в последнее время на отечественный рынок облачных инфраструктур вышли многие известные игроки, которые предлагают Cloud-решения и сервисы, предназначенные в том числе для обработки персональных данных, работы в составе ГИС (государственной информационной системы), а также для обработки конфиденциальной информации, защищенной от несанкционированного доступа. Такие предложения позволяют пользоваться услугами облачных сервисов даже государственным учреждениям, но при этом для многих компаний возможность работы с облачными инфраструктурами до сих пор остается под вопросом. Главными челленджами являются вопросы соответствия законодательству, конфиденциальности корпоративной информации как для провайдера услуги, так и для «соседей» по инфраструктуре, сложности миграции из on-prem-инфраструктуры, тонкости настройки облачных систем обеспечения кибербезопасности.
Облачные инфраструктуры можно разделить по принципу работы на следующие типы:
Public cloud (публичные облака) - провайдер облачных услуг предоставляет заказчику свою инфраструктуру и сервисы на коммерческой основе, как правило, по подписке.
Private cloud (частные облака) - организация размещает часть своей инфраструктуры в некотором своем или арендуемом ЦОД (центре обработки данных) и полностью контролирует все аппаратные и программные компоненты.
Hybrid cloud (гибридные облака) - организация совмещает работу с публичным и частным облаком, размещая свои приложения и данные в зависимости от удобства и потребностей в той или иной инфраструктуре.
Multi-cloud (мультиоблако) - организация пользуется услугами нескольких провайдеров облачных сервисов для надежности и повышения отказоустойчивости, например, размещая основную инфраструктуру в одном публичном облаке, а бекапы и резервные сервисы - в другом.
Для работы с облачными инфраструктурами, как правило, предоставляются следующие варианты:
IaaS (infrastructure as a service) - предоставление услуги по модели «инфраструктура как сервис», когда облачный провайдер предоставляет только своё аппаратное обеспечение, сетевой доступ и гипервизор системы виртуализации, а заказчикам дается возможность установить свои операционные системы, прикладное и системное ПО, бизнес-приложения.
PaaS (platform as a service) - предоставление услуги по модели «платформа как сервис», когда облачный провайдер предоставляет установленную операционную систему (как правило, давая на выбор несколько вариантов ОС на базе Winows и Linux), а заказчики уже устанавливают только свое программное обеспечение.
SaaS (software as a service) - предоставление услуги по модели «программное обеспечение как сервис», когда облачный провайдер предоставляет конечному заказчику предварительно установленное бизнес-приложение с некоторыми возможностями по его настройке и модификации.
Также в контексте информационной безопасности можно выделить такие термины:
SECaaS (security as a service, «безопасность как сервис») - предоставление заказчикам услуги в области кибербезопасности по подписке, с размещением самих СЗИ в облаке провайдера, например, систем резервного копирования, сканеров уязвимостей, систем аутентификации и управления доступом, решений для сбора и анализа событий ИБ.
FWaaS (firewall as a service, «фаирволл как сервис») - предоставление межсетевого экрана в облачной инфраструктуре по подписке.
MaaS (malware as a service, «вредоносное ПО как сервис») - термин, введенный злоумышленниками, который означает, что одни атакующие разрабатывают некий вредоносный инструмент (например, вирус-вымогатель, англ. ransomware) и предоставляют доступ по подписке другим атакующим, которые затем используют его в своих атаках.
Для обеспечения кибербезопасности в различных облачных инфраструктурах на рынке предлагаются специализированные решения:
CASB (cloud access security broker) - брокеры безопасности облачного доступа, обеспечивающие ИБ в облаке путем аутентификации пользователей (в т.ч. мультифакторной), контролем предоставления доступа к данным, логированием действий, предоставлением отчетности, а также путем контроля программного API-доступа со стороны приложений и сервисов.
CSPM (cloud security posture management) - системы управления состоянием облачной безопасности, помогающие проанализировать киберриски на основе данных о настройках облачной инфраструктуры, проводящие оценку соответствия текущих настроек облачных систем требованиям законодательства и рекомендациям вендоров, помогающие визуализировать состояние ИБ в Cloud-инфраструктуре.
CWPP (cloud workload protection platform) - облачные системы защиты сервисов, осуществляющие контроль настроек размещенных в облаке элементов (серверов, контейнеров, приложений), анализ их уязвимостей, сегментацию на сетевом уровне, контроль активности, устранение угроз.
SASE (secure access service edge) - пограничные сервисы безопасного доступа, предоставляющие пользователям удобный и безопасный доступ к корпоративным облачным ресурсам с использованием средств мультифакторной аутентификации, с проверкой подключающегося устройства на соответствие требованиям компании (т.н. posturing), с применением функционала систем обнаружения/предотвращения вторжений и контролем сетевого трафика.
