Постоянные атаки на системы интернет вещей (IoT) у многих на слуху. Хотя использование IoT растет беспрецедентно, системы безопасности для этих уязвимых устройств болезненно и неоправданно отстают. После больших финансовых затрат от DDOS-атак и выявления кражи данных, понимание проблемы, наконец, растет. Исследования с использованием системных приемов ICS показали, что подключенные к Интернету устройства ICS были атакованы в течение 24 часов после их подключения.
Промышленные группы разрабатывают стандарты, требующие сертификации, и инициируют создание законодательной базы для этого. Тем не менее, многие производители продолжают поставлять продукты с алгоритмом «оно же работает».
Компании, занимающиеся разработкой интернет вещей и других подключаемых устройств, должны обеспечить защиту своих устройств от хакерских атак. Но с чего они начинаются? Какие шаги могут предпринять разработчики и производители оборудования для обеспечения защиты их устройств?
Компании, развертывающие решения интернет вещей (IoT) и строящие сети IoT, должны обеспечить защиту своих сетей. Снова, с чего они начинаются? Какие шаги необходимы и какие решения следует внедрять? Могут ли они полагаться на надежную защиту, встроенную в устройства, которые они развертывают? Или они предполагают, что все конечные точки имеют ограниченную встроенную защиту и интегрируют защитные меры в сеть, опираясь на использование устройств защиты?
У каждого подхода есть свои плюсы и минусы, но есть компромиссы между «ориентированными на устройства» и «ориентированными на устройство» подходами к кибербезопасности IoT.
Создание безопасности в устройстве
Одним из подходов к защите IoT является создание защиты непосредственно в устройстве. Это обеспечивает критический уровень безопасности — устройства больше не зависят от корпоративного брандмауэра в качестве единственной защиты. Это особенно важно для мобильных устройств и конечных точек IoT, развернутых в удаленных местах.
Решение безопасности для устройств IoT должно обеспечивать защиту от широкого спектра кибератак. Она должна гарантировать, что прошивка девайса не будет изменена, чтобы обеспечить сохранность данных, хранящихся на устройстве, защищенных и исходящих сообщений, и она должна обнаруживать и сообщать о попытках кибератак. Это может быть достигнуто только за счет обеспечения безопасности на ранних этапах проектирования.
Несмотря на отсутствие единого решения для всех встроенных устройств, доступны решения, обеспечивающие основу для OEM производителей. Рамка безопасности обеспечивает OEM производителям основные возможности, необходимые для защиты своих приборов, и гибкость, необходимую для настройки решения конкретных требований к приборам, при обеспечении включения критически важных функций безопасности.
Требования к безопасности устройства
Прежде чем выбрать инфраструктуру безопасности IoT, важно сделать шаг назад и посмотреть требования на уровне устройства и системы. Требования безопасности для устройств IoT должны учитывать стоимость сбоя (экономическую, экологическую, социальную и так далее), вероятность атаки, возможные атаки и затраты на реализацию решений по безопасности.
Необходимые средства обеспечения безопасности:
- Безопасная загрузка
- Безопасные обновления прошивки
- Безопасная связь
- Защита данных в режиме ожидания
- Встроенный брандмауэр и обнаружение несанкционированных подключений
- Управление ключами и сертификатами
- Аутентификация
- Интеграция с системами управления безопасностью
- Управление политикой безопасности
Отчеты по безопасности
Фреймворки безопасности, такие как Floodgate Security Framework, предоставляют интегрированный набор блоков (рисунок ниже):
Безопасное соединение
Когда большинство инженеров задумывается о безопасности, они имеют в виду коммуникационные протоколы, такие как SSL / TLS, SSH и IPSec. В последние годы поддержка безопасной связи была добавлена во многие встроенные приложения и устройства. Хотя эти протоколы и обеспечивают первый уровень защиты от кибератак, основанных на протоколах связи, они оставляют другие объекты атаки незащищенными.
Протоколы безопасности предназначены для защиты от сниффер атак, атак типа «человек по середине» (man-in-the-middle), атак повторного воспроизведения и несанкционированных попыток связи с устройством, что является хорошей отправной точкой для создания защищенных устройств.
Небольшие периферийные устройства IoT используют беспроводные протоколы, такие как zigbee, Bluetooth Low Energy (BLE) и другие. Эти протоколы имеют встроенную защиту. Однако она относительно слаба и принцип ее работы очень часто содержится в открытых источниках. Небольшие устройства IoT обычно работают на дешевых процессорах с более низкой мощностью, не поддерживающих TLS или IPSec. Для небольших периферийных устройств DTLS, с TLS через UDP, может использоваться для безопасной связи.
Безопасная загрузка и защита обновлений прошивки
Безопасная загрузка и безопасное обновления прошивки гарантируют, что устройство IoT запускают разрешенный код от производителя устройства, предотвращая тем самым установку вредоносного программного обеспечения или кода, измененного хакерами.
Безопасная загрузка начинается с загрузчика первого этапа, запрограммированного в защищенном или не записываемом хранилище на устройстве. Загрузчик первого этапа проверяет подлинность загрузчика второго этапа. Второй загрузчик, который может иметь более сложное устройство и может быть сохранен в перепрограммируемой флэш-памяти, повторяет процесс проверки работоспособности операционной системы и приложений.
Безопасная загрузка основана на подписанных изображениях кода, чтобы включить проверку во время безопасного процесса загрузки. Изображения кода подписываются OEM производителем с использованием личного ключа OEM. Соответствующий открытый ключ OEM используется устройством для проверки подписи прошивки.
Безопасное обновление прошивки, например, безопасная загрузка, проверяет новые изображения кода, подписанные OEM во время процесса обновления. Если загруженные изображения недействительны, они блокируются, и обновление не выполняется. Только допустимые изображения принимаются и сохраняются на устройстве.
Защита данных в режиме «покоя» (DAR)
Устройства интернет вещей, в отличии от коммерческих серверов, не заперты в специальных помещениях центров обработки данных. Большинство из них работают в открытых конструкциях и системах с риском кражи или физического повреждения. Любые конфиденциальные данные, которые хранятся в IoT устройстве, должны быть зашифрованы для гарантии того, что информация будет защищена при попытках несанкционированного подключения и чтения, попыток копирования данных с устройства или же попыток похищения флеш-накопителя и чтения данных напрямую с другого девайса.
Защита (DAR) шифрует данные, хранящиеся на устройстве, обеспечивая защиту от этих атак. Многие устройства интернет вещей не имеют вычислительных мощностей для поддержки полного шифрования диска, но конфиденциальные данные, такие как номера кредитных карт или информация о пациенте, всегда должны быть зашифрованы. Необходимо соблюдать осторожность и хранить ключ шифрования в защищенной памяти на устройстве или в безопасном месте, таком как USB-накопитель или сетевой сервер.
Решение DAR должно гарантировать, что незашифрованные данные никогда не будут сохранены на жестком диске. Защищенная информация должна быть зашифрована до того, как будет записана в файл. Важные файлы должны быть зашифрованы в памяти и оставаться в ОЗУ, никогда не записываться в файловую систему без применения алгоритмов шифрования, чтобы данные не были утеряны при сбое питания.
Обнаружение несанкционированных подключений
Многим встраиваемым устройствам не хватает базовых функций безопасности, что делает их легкой добычей для хакеров. Как результат — хакеры специально нацелены на них. Очень часто атаки идут на такие устройства, как системы продажи товаров, системы ОВК и медицинские приборы.
Большинство кибератак происходят поэтапно, начиная с атак, исследующих сеть, которые ищут и находят в ней наиболее уязвимое устройство. Как только этот начальный этап пройден, хакеры используют наиболее слабый девайс для более глубокого проникновения в сеть. Цикл повторяется, тогда хакеры постепенно расширяют свои возможности в сети. Остановка атаки начинается с раннего обнаружения. Системы обнаружения вторжений и программное обеспечения для обнаружения вторжений (IDS) являются обычным явлением в корпоративных сетях и ПК. IDS, как следует из названия, определяет, когда система подвергается атаке или сканированию. Эти решения могут принимать различные формы и обнаруживать множество различных типов атак, но независимо от формы, в основном, отсутствуют для встроенных устройств.
Добавление возможностей IDS во встроенные устройства имеет решающее значение для обеспечения раннего предупреждения о кибератаке. Возможность обнаруживать и сообщать о потенциально вредоносных действиях позволяет системным администраторам принимать меры по блокированию атак, карантину «подозрительных» систем и защите своих сетей. Если встроенные устройства смогут поддерживать базовую IDS, они больше не будут легкими целями для хакеров.
PKI и аутентификация на основе сертификатов
Хорошо известные и проверенные временем решения в области безопасности начали активно продвигаться в область интернет вещей IoT последнее время. PKI (инфраструктура открытых ключей, ИОК) представляет собой набор технологий и услуг для управления аутентификацией компьютерных систем. Сертификаты PKI очень полезны в ситуациях, когда необходима повышенная безопасность. Например, предположим, что вам необходимо безопасно передавать данные между двумя сетевыми устройствами. Как вы узнаете, что вы передаете информацию нужному устройству, а не самозванцу? Одним из способов обеспечения целостности транзакции является использование цифровых сертификатов для подтверждения идентичности обеих машин. Не вдаваясь в подробности криптографической технологии открытого / закрытого ключа, которая делает это возможным, устройство IoT может проверить, что владельцем сертификата является объект, определенный сертификатом. Эти службы включают использование криптографии с открытым / закрытым ключом, предоставляющей технические основы PKI. Результатом, который действительно имеет значение, является то, что устройство может проверить, с криптографической определенностью, обладатель сертификата PKI действительно тот, с кем он обменивается информацией, а не самозванец.
Криптография и ключ безопасности
Защищенные протоколы связи, защита данных в режиме ожидания, безопасная загрузка и защищенные обновления прошивки зависят от шифрования и проверки подлинности на основе сертификатов. Структура безопасности должна обеспечивать поддержку криптографических алгоритмов, используемых этими функциями. Он также должен обеспечивать возможность безопасного хранения ключей и сертификатов шифрования, используемых для шифрования данных, проверки подлинности прошивки и поддержки аутентификации между машинами. Ключ безопасности и хранилище сертификатов являются критическим требованием. Если хакер сможет обнаружить ключи шифрования, они могут полностью обойти самые надежные решения в безопасности.
Поддержка аппаратного модуля безопасности
Многие новые современные платформы интернет вещей включают в себя модуль аппаратной безопасности, обеспечивающий безопасное хранение ключей, области защищенной памяти и криптографическое ускорение. Фреймворк должен быть разработан для обеспечения простой интеграции с аппаратными средствами безопасности.
Вероятно, кандидаты на поддержку аппаратного обеспечения безопасности включают PUF (физически не клонируемые функции), сопроцессоры безопасности, такие как TPM (Trusted Platform Modules) и Trusted Execution Environments и как TrustZone от ARM.
PUF использует случайные шаблоны для разделения микросхем друг от друга и создает уникальное случайное число. Сгенерированное случайное число используется для определения надежного идентификатора устройства и криптографических ключей, создающих корневой узел «доверия».
Сопроцессоры безопасности — это физически отдельные микросхемы, которые обеспечивают изоляцию закрытых ключей. TPM — это защищенный чип, основанный на отраслевых стандартах, который обеспечивает изоляцию и возможности для безопасной генерации криптографических ключей и ограничения их использования и генерации подлинных случайных чисел. Он также включает в себя такие возможности, как удаленная аттестация и герметизация хранилища. Его возможности ощутимы в цене, что обычно приводит к реализации таких систем на более дорогих устройствах интернет вещей IoT.
Модуль аппаратной безопасности (HSM) — это еще один физически отдельный чип и, как правило, имеющий меньшую стоимость, чем TPM. Подобно TPM, он защищает и управляет цифровыми ключами для надежной аутентификации и обеспечивает криптографическую обработку. HSM традиционно поставляется в виде плагина или внешнего устройства, прикрепленного к устройству подлежащему защите, что делает его несколько менее подходящим для устройства IoT. В зависимости от воспринимаемых и вероятных векторов угроз, HSM может обеспечить эффективное решение.
Trust Zone — это односхемное решение, разделяющее пространство выполнения на безопасные и небезопасные. Небезопасные приложения не могут получить доступ к критически важным данным. Та же самая критически важная информация изолирована от несанкционированного доступа.
Безопасность IoT: подходы к обеспечению безопасности
Устройства безопасности также играют центральную роль в защите сетей IoT от кибератак. Сетевые архитектуры IoT разнообразны и включают в себя ряд устройств и вычислительных ресурсов. Неудивительно, что в сетях IoT существуют одинаково разнообразные устройства безопасности. Большинство этих подходов относятся к трем основным категориям: защита сети и облака, обнаружение вторжений, специфичных для IoT, и защита устаревших девайсов.
Сетевая и облачная защита
Как и в традиционных ИТ-сетях, устройства безопасности обеспечивают критический уровень защиты по периметру сети и центра обработки данных. Частота и изощренность кибератак, нацеленных на центры обработки данных и облачные вычислительные ресурсы, продолжает увеличиваться, и многие новые службы и соединения IoT открывают новые возможности атак для хакеров, нацеленных на эти системы. Сетевые устройства безопасности не только должны быть развернуты для защиты этих устройств, но также должны постоянно обновляться для защиты новых протоколов и служб IoT.
Системы обнаружения вторжений (IDS) для сетей IoT
Развертывание новых протоколов и служб для удовлетворения требований рынка интернет вещей IoT приводит к новым атакам, которые активно используют хакеры. Компании разрабатывают новые сетевые решения IDS для обнаружения атак на новые сервисы и протоколы.
В некоторых случаях существующие сетевые решения IDS могут быть улучшены для обнаружения новых атак. Эти решения хорошо работают для обнаружения атак, возникающих на границе сети или центра обработки данных, где развертываются существующие решения IDS сети.
Однако для мобильных или удаленных IoT эти решения мало эффективны. Для обнаружения атак, нацеленных на удаленные конечные точки IoT, требуются новые типы решений IDS.
Существует несколько проблем для обнаружения атак, нацеленных на конечные точки IoT. Само устройство IDS должно быть сконструировано так, чтобы работать в том же месте, где размещено IoT. Во многих случаях это требует физического упрочнения устройства для работы в неблагоприятных условиях.
Устройство IDS должно обнаруживать новые атаки, многие из которых появляются или появятся в ближайшие годы. Они также должны поддерживать новые протоколы IoT. Любое устройство, разработанное сегодня, должно быть достаточно гибким, чтобы обеспечить защиту от новых атак по мере их появления.
Наконец, необходимо учитывать экономические факторы. Физический след сети IoT может потребовать развертывания большого количества устройств IDS. К сожалению, модель затрат для многих решений делает их непомерно высокими.
Защита устаревших устройств
Многие устаревшие устройства и системы подключаются к IoT через шлюзы и прокси-сервисы, или с использованием существующего сетевого подключения. Большинство из них были изготовлены с недостаточной по нынешним меркам защитой.
К сожалению, процесс обновления может быть сложным, дорогостоящим или вообще невозможным. Некоторые девайсы не могут быть обновлены без возврата на завод. В некоторых случаях производитель может больше не поддерживать устройство или вовсе прекратить выпуск. Замена устаревших моделей часто бывает слишком дорогостоящей, чтобы быть панацеей, и более новые модели могут быть пока недоступны с более высоким уровнем безопасности.
Для устройств и систем, которые не могут быть легко заменены или модернизированы, решение прибора «Bump-in-the-wire»( «узел на проводе») может обеспечить требуемую безопасность. Этот тип решения может защитить устаревшие девайсы, которые довольно часто уязвимы. Устройство «bump-in-the-wire» обеспечивает безопасность, применяя курс коммуникации, обеспечивая только допустимое общение с защищенным устройством.
Устройство безопасности должно обеспечивать возможность настройки политики связи, набор правил, определяющих, какие пакеты обрабатываются и какие блокируются. Устройства «умных сетей» могут нуждаться только в общении с небольшим количеством других приборов. Это может быть реализовано с использованием коммуникационных связей, которые ограничивают связь только с тем, с кем необходимо. Политика связи определяет, кому разрешено «говорить», какие протоколы разрешены и какие порты открыты. Правила могут быть настроены так, чтобы блокировать или разрешать пакеты по IP-адресу, порту, протоколу или другим критериям. Некоторые брандмауэры поддерживают расширенные правила, позволяющие осуществлять дополнительное мелкомасштабное управление процессом фильтрации. Затем устройство безопасности фильтрует сообщения до того, как устройство обработает его, что позволяет только общаться с известными проверенными устройствами.
В системе без устройства безопасности хакер может попытаться удаленно получить доступ к устройству, используя подбор паролей или украденные пароли. Такие атаки часто автоматизированы, что позволяет совершать огромное количество попыток в единицу времени и таки сломать систему безопасности. Та же система может быть защищена брандмауэром, настроенным с помощью белого списка проверенных хостов. Фильтры брандмауэра блокируют атаки хакера перед попыткой входа в систему, поскольку IP-адрес или MAC-адрес не входят в белый список, тем самым блокируя атаку до ее начала.
Многие атаки блокируются до того, как соединение было установлено, потому что каждый пакет, полученный устройствами, должен пройти через брандмауэр для фильтрации до его обработки. Это обеспечивает простой, но эффективный уровень защиты, который в настоящее время отсутствует у большинства устаревших IoT.
Подход к обеспечению безопасности
Двумя важными компромиссами при рассмотрении аппаратного и программного подхода к безопасности IoT являются экономическое обоснование и защита, которая может быть встроена в недорогие датчики.
По мере расширения интернет вещей количество необходимых систем безопасности может разрастись очень сильно. Добавление той или иной системы безопасности на систему IoT должно быть строго обосновано, а не добавляться на все подряд девайсы.
Хотя это можно решить с помощью обеспечения безопасности программного обеспечения, встроенного непосредственно в аппаратную часть, но не без затрат. Программное обеспечение требует дополнительной памяти и вычислительных мощностей и накладывает дополнительные расходы на сетевые ресурсы, которые могут значительно повлиять на срок службы батареи для приборов с низким энергопотреблением. В результате возникает новое ограничение в том, насколько легко может быть добавлено решение по безопасности к устройствам нижнего уровня, таким как датчики.
Выводы
Одной из уникальных задач IoT является то, что периметр сети часто размыт. Сетевые устройства безопасности могут защищать облачные вычислительные ресурсы и любые IoT-устройства, которые находятся в пределах периметра сети, но мало эффективны для защиты мобильных систем или конечных точек IoT, расположенных в полевых условиях. Поэтому, системы безопасности играют критическую роль в защите IoT, но они не предоставляют полного решения.
В конечном итоге потребуется некоторая комбинация аппаратного и программного обеспечения, но создание программного обеспечения в IoT девайсах является критическим недостающим элементом, который необходимо решить.