Эталонная архитектура безопасности интернета вещей (IoT). Часть 2

Эталонная архитектура безопасности интернета вещей (IoT). Часть 2

В первой части статьи о защите интернета вещей мы обрисовали общие тенденции и подробно рассмотрели два из четырех главных принципов этой самой защиты. В завершающей части статьи обратимся к двум оставшимся — контроль устройств и контроль взаимодействий в сети. Статья является авторским переводом документа от Symantec — An Internet of Things Reference Architecture.

 

 

 

 

  1. Введение
  2. Контроль устройств
  3. Аналитика безопасности как реакция на угрозы за рамками контрмер
  4. Контроль взаимодействий в сети
  5. Почему безопасность IoT должна быть комплексной
  6. Выводы

 

Введение

Эталонная архитектура защиты IoT, рассмотренная нами в обеих частях статьи (читайте первую часть здесь), основана на проверенных временем фундаментальных принципах и обеспечивает минималистичный, «необходимый и достаточный» уровень безопасности. Мы не включали в обзор множество полезных технологий и средств защиты. Их тоже здорово было бы иметь в своем распоряжении, даже если они не требуются в той же степени, что и описанные в статье элементы. Мы затронули только основополагающие принципы защиты по нескольким причинам. Как профессиональным инженерам, нам необходимо установить адекватный и легкодостижимый минимальный уровень безопасности для любой системы IoT, где важна безопасность. Также будет полезно для всех, если одна удачно спроектированная архитектура защиты сможет применяться во многих разных областях. Однако некоторые компании могут выбрать уровень безопасности «выше и дальше», который мы здесь тоже описали. Мы очень надеемся, что ведущие производители и провайдеры услуг выйдут за пределы обозначенного минимума. И хотелось бы подчеркнуть, что экономия на любом из четырех краеугольных камней наносит вред, выражающийся в возможности неправильного использования вашей системы.

 

Контроль устройств

Безопасное и эффективное управление IoT

Итак, мы знаем, что реверс-инжиниринг устройств рано или поздно будет проведен, уязвимости будут обнаружены, а для устройств необходимо будет предоставлять обновления OTA (удаленно). Конечно, механизмы обновления OTA добавляют сложность архитектуре устройства IoT, поэтому многие инженеры стараются избегать их на свой страх и риск. К счастью, хороший механизм OTA может использоваться для многих целей, не только для исправлений программного обеспечения и функциональных обновлений, но также:

  • Обновления конфигурации
  • Управления телеметрией безопасности для аналитики защищенности
  • Управления телеметрией для контроля правильности функционирования устройства
  • Диагностики и восстановления
  • Управления учетными данными доступа к сети (NAC)
  • Управления правами/привилегиями и множества других задач

Конечно, все вышеперечисленное должно исполняться безопасно и надежно, здесь потребуется наиболее тщательный подход к подписанию кода и организации передачи файлов. Здорово, что существуют стандарты управления окружением software и firmware на каждом устройстве, включая конфигурацию, и многие производители, в частности, Open Mobile Alliance (OMA), поддерживают такие стандарты. Некоторые из решений масштабируются для управления миллиардами устройств.

Управление безопасностью каждого устройства может предполагать управление конфигурацией с помощью хостовой защиты, которую мы рассмотрели в предыдущем разделе. Естественно, некоторые технологии безопасности предусматривают обновления OTA для контента безопасности, например, черные и белые списки, эвристика, сигнатуры IPS и данные о репутации. Также существуют технологии безопасности, основанные на политиках, которым обновления нужны только при переустановке на устройстве программного обеспечения для каких-то целей, например, для добавления функциональных возможностей. Тем не менее оба типа технологий могут генерировать телеметрию безопасности, которая имеет большое значение при столкновении с целенаправленными атаками. Поэтому телеметрические данные безопасности всегда должны собираться от этих host-based (device-based) технологий для централизованного анализа.

Разумеется, компоненты безопасности не единственные в устройстве IoT, которыми необходимо управлять безопасно и надежно. Большинство устройств генерируют телеметрию или данные с датчиков, которые нужно также безопасно и надежно собирать и передавать в места хранения и анализа. Многие устройства уже содержат в себе функции контроля, которыми нужно аккуратно управлять через конфигурационные параметры, а те в свою очередь безопасно и надежно хранить и обновлять. К счастью, инфраструктуры управления устройствами, которые используют общепринятые безопасные протоколы, могут применяться и для защищенного управления основными функциями устройства, контентом безопасности и телеметрией устройства. Фактически подобные модели адаптируются для OTA-управления автомобилями и используются для безопасного и надежного управления торговыми автоматами. Некоторые из инфраструктур управления комбинируют агентские и безагентские протоколы управления IoT, тогда как устройства выпускаются с поддержкой стандартизированного управления для упрощения функций контроля. А отдельные инфраструктуры управления могут дополнительно сочетать все эти методы управления с понимаем информации, полученной от сетевых снифферов.

В сложившейся ситуации системы IoT должны изначально иметь встроенные возможности обновления OTA. Отсутствие этих возможностей оставит устройства подверженными угрозам и уязвимостям в течение всего срока их службы. Разумеется, обновление OTA может применяться еще для управления конфигурациями устройств, контентом безопасности, учетными данными, а также для расширения функциональных возможностей устройств, сбора телеметрии и данных программного окружения, для доставки патчей безопасности и многого другого. Однако с дополнительной функциональностью или без нее базовые возможности обновления и управления защищенностью должны быть предусмотрены еще на этапе проектирования устройств IoT.

 

Аналитика безопасности как реакция на угрозы за рамками контрмер

Независимо от того, насколько хорошо вы защитили устройство, код, связь, и не имеет значения, насколько хорошо вы управляете безопасностью, даже применяя лучшую из возможных инфраструктур управления OTA, в распоряжении некоторых злоумышленников вполне достаточно ресурсов и возможностей для преодоления защиты. Таким образом, стратегические угрозы требуют стратегических технологий для минимизации негативных последствий. Аналитика безопасности может использовать телеметрию безопасности с устройств и сетевого оборудования, чтобы давать четкое представление о том, что происходит в вычислительной среде, включая обнаружение скрытых угроз. Эти же данные используются в аналитических системах в рамках решения задач оптимизации работы систем IoT.

Не менее важно, что мониторинг и аналитика часто могут быть развернуты в качестве временного решения в средах, где развертывание других средств защиты займет несколько лет. Давайте рассмотрим примеры. Legacy-приборы в промышленных системах управления (производство, нефть и газ, коммунальные услуги) нельзя модифицировать до замены системы целиком. Автоматизированные автомобили, чьи микроконтроллеры глубоко встроены, уже находятся на дороге, и очевидно, их нельзя просто демонтировать и заменить на новые. В среде здравоохранения производители вовсе запрещают больницам модифицировать оборудование для добавления защитных функций. В таких случаях решения для обнаружения аномалий могут быть чрезвычайно полезными. Многие сети IoT характеризуются четко определенными шаблонами поведения, а отклонения в таких системах легко идентифицируются. Широкое разнообразие промышленных протоколов и протоколов IoT усложняет ситуацию, но новые технические решения, использующие продвинутое машинное обучение, успешно решают аналитические задачи. Учитывая, что многие системы IoT предъявляют высокие требования к доступности, средства защиты в пассивном режиме «обнаружения» будут вести себя менее агрессивно, чем в активном режиме «предотвращения», так как ложные срабатывания не будут влиять на работу системы IoT.

Другим вариантом защиты являются шлюзы, например, между устаревшими и более современными защищенными средами, поскольку атака в одной части окружения может передаваться по всей сети, если ее не остановить раньше. Однонаправленные шлюзы/диоды данных используются для гарантированно однонаправленной передачи между открытыми сетями и сетями с ограниченным доступом. Столь же высокоприоритетными объектами распределенного мониторинга и централизованной аналитики являются шлюзы между промышленными и общими IT-сетями, между головным блоком транспортного средства и сотовой сетью, между автомобильной системой привода и информационно-развлекательными системами.

В большинстве случаев заказчики могут сотрудничать с компаниями, которые специализируются на защите информации, для использования их существующей инфраструктуры big data аналитики безопасности и крупномасштабных систем сбора событий безопасности по всему миру для того, чтобы получать, анализировать и обмениваться информацией про всевозможные сети и экосистемы. Довольно активно такая деятельность ведется в различных отраслях, в первую очередь в сфере ритейла и критичной инфраструктуры, так как это дает гарантии быстрого обновления системы целиком для защиты от любых возникающих угроз.

Зачастую экспертные знания в области безопасности, необходимые в аналитике для обнаружения сложных угроз, могут выходить за рамки возможностей компаний, которые не специализируются в области ИТ и ИБ. По этим причинам многие организации обращаются к аутсорсингу, чтобы можно было положиться на экспертов, выполняющих мониторинг и аналитику. В некоторых случаях компании строят свои собственные хранилища телеметрии безопасности IoT и предоставляют доступ к этому репозиторию нескольким партнерам по аналитике для совместного поиска целенаправленных атак. Некоторые аналитические продукты и платформы предоставляют API и SDK для обеспечения совместного доступа, безопасного взаимодействия и обмена данными, например, можно предоставлять права заданному списку партнеров к определенным данным и ограничивать доступ для остальных.

В примере с объединенными промышленными и IT-сетями мы рекомендуем создать единую плоскость данных, охватывающую обе среды, для получения в приоритетном порядке представления о различных угрозах и минимизации рисков проникновения угроз из одной среды в другую. Такие решения должны работать с разными производителями, всевозможными устройствами и протоколами, чтобы клиенты получали целостное представление, без слепых зон о своей сети.

Принцип «обнаружение и реагирование» может дополнять технологии усиленной защиты для отражения подавляющего большинства атак, а также для минимизации рисков ущерба от наиболее грозных противников.

 

Контроль взаимодействий в сети

Чему доверять

Давайте заглянем немного вперед, в будущее. Сегодня бесчисленные технологии и системы IoT представляют из себя не более чем «интранет вещей». Однако поскольку все больше систем должны будут связываться друг с другом, все важнее становится знать, «чему доверять». Сертификаты устройств могут содержать информацию о происхождении и типе устройства. Тем не менее на вопросы о том, нужно ли доверять этому устройству, в конечном итоге должны будут отвечать другие службы, например, основанные на репутации, или «Справочник вещей» (Directory of Things). Такой каталог способен не только отслеживать информацию о безопасности для каждого устройства и систем IoT, но еще отслеживать и управлять привилегиями и полномочиями, которыми устройства и системы наделяют друг друга. Фактически каждый из нас оказывается окруженным все большим количеством устройств IoT, а такие справочники могут помочь разобраться с устройствами с интересующими функциями в интересующих областях. Модель справочника делает возможным быстрый поиск удаленного устройства через каталог и, может быть, будет содействовать ускорению принятия решения об использовании данных с чужого устройства. Даже если вы никогда не видели устройство раньше, информация об устройстве, включая его возможности и репутацию, могут быть указаны в таком каталоге. Если предположить, что устройство захочет узнать, может ли оно доверять пользователю, то «Справочника вещей», возможно, будет недостаточно, и в этом случае скорее потребуется «Справочник всего» (Directory of Everything), который будет включать устройства, системы и пользователей.

Конечно, у многих людей нет умных чайников или умных холодильников… пока нет... Но у многих из нас уже есть автомобиль, который получает информацию для навигатора через интернет, Smart TV или проигрыватели Blu-ray, которые транслируют видео через интернет, фитнес-браслеты, а еще мы используем банкоматы и вендинговые аппараты. Наше взаимодействие с IoT на самом деле чаще, чем мы замечаем. В этой ситуации мы, возможно, захотим иметь наш собственный «Справочник вещей». Защищая устройства и связь, управляя программными обновлениями и выполняя аналитику безопасности для стратегической защиты от угроз, мы понимаем, что все эти меры абсолютно необходимы для защиты IoT. Концепция каталогов «чему доверять» весьма перспективна, но не является сегодня ни основополагающей технологией, ни ключевым ингредиентом в «контроле взаимодействий в сети» для большинства участников. Мы включаем эту перспективную концепцию каталогов только для того, чтобы дать предварительный обзор стоящих перед многими компаниями вызовов, и приводим пример, как можно справиться со сложными масштабными задачами. Некоторые компании уже столкнулись с подобного рода проблемами, поскольку они несут ответственность за защиту более чем миллиарда устройств. Для них это «будущее» уже наступило, и они не одиноки.

 

Почему безопасность IoT должна быть комплексной

Пример

На одном показательном примере мы можем убедиться, что никаким из обозначенных ранее краеугольных камней нельзя пренебрегать — рассмотрим поезд.

В поездах контроллеры электродвигателей зачастую контролируют не только ускорение, но еще и рекуперативное торможение. Если в качестве страховки от неконтролируемого ускорения можно подключить механические тормоза, то от экстренного торможения такой механической защиты нет. Могут пострадать люди, не говоря уже о поезде и транспортной инфраструктуре, если злоумышленники смогут перепрограммировать контроллер двигателя на внезапное торможение. Поэтому очень важно, чтобы весь код, выполняемый в контроллерах, тормозах, переключателях и остальных элементах, был надлежащим образом подписан. Необходимо, чтобы все компоненты были правильно настроены и никогда не запускали неподписанный код.

Аналогично, если нет проверки подлинности при взаимодействии компонентов поезда, а также при взаимодействии поезда с другой инфраструктурой, последствия могут быть серьезными. Нетрудно представить себе, что произойдет, если управляющие сигналы в поезде для ускорения и торможения будут сфальсифицированы, и что будет, если подделают разрешающие сигналы, когда впереди опасность.

Кроме того, без хостовой защиты сами контроллеры легче взломать, злоумышленники могут достичь своей цели без лишних усилий и без преодоления механизмов проверки подлинности и подписи кода.

Вместе с тем, необходимость комплексной безопасности не ограничивается поездами. В автомобили устанавливают системы охраны, позволяющие удаленно выключить двигатель, подключают системы удаленного пуска двигателя для прогрева и навигационные системы. Поскольку подключенных в сотовую сеть и интернет автомобилей становится все больше и больше, для них тоже требуется аналогичная хостовая защита. Такая защита может быть развернута в головном блоке автомобиля, даже если на машине работает операционная система реального времени. Конечно же, по мере удаленного обновления кода политики безопасности тоже могут обновляться удаленно с использованием той же самой системы OTA. Без возможности «подстройки» безопасности удаленно злоумышленники быстро выявят слабые места и ударят по ним.

Тем не менее, даже если все, о чем мы говорили, сделано правильно, самые сильные противники все-таки смогут преодолеть контрмеры. Поэтому аналитика безопасности бэкенд должна минимизировать негативные воздействия стратегических угроз. Эти системы могут в непрерывном режиме собирать данные и формировать «базовые поведенческие показатели» для поездов, самолетов, автомобилей, производств, систем продажи товаров и, наверное, вообще всего чего угодно. Благодаря таким «базовым поведенческим показателям», аналитика безопасности IoT может быстро обнаруживать аномалии, помогать выявлять скрытые угрозы и улучшать корреляцию угроз, выступая частью более широкой аналитики в борьбе со стратегическими угрозами.

Наконец, важно отметить, что безопасность IoT не существует в вакууме. Многие из этих устройств нуждаются в «физической защите», и ее тип будет сильно зависеть от варианта использования. Для домашнего IoT-устройства может быть достаточно ограждения, чтобы, например, горничная не шпионила за работодателями, а IoT на заводе, как правило, надо защищать по нескольким уровням физической защиты — от ключей к помещениям, до требований к расстоянию от забора, определяемое электромагнитными рисками. Необходимость защиты персонала также будет заметно отличаться. Однако физическая безопасность и защита персонала не являются уникальными для IoT. Большинство компаний сегодня хорошо справляются с этой задачей, в том числе в отношении своих традиционных IT-систем.

Исходя из этого, мы сфокусировались исключительно на требованиях для обеспечения безопасности в самих устройствах IoT, защищенного взаимодействия между ними и оставили за рамками этой статьи аспект разработки безопасного программного кода. Конечно, многие из этих устройств часто взаимодействуют с традиционными бэкенд-системами, которые работают в частном центре обработки данных или в облаке. Мы предполагаем, что защищенность этих систем на должном уровне. Однако нужно помнить, что если традиционные IT-системы приводят в действие IoT-устройства либо обрабатывают данные от них, то небезопасное взаимодействие IoT с традиционными IT-системами может полностью подорвать всю безопасность, которую вы встроили в свою систему IoT.

 

Выводы

IoT становится все более распространенным явлением и все чаще появляется в системах, от которых зависит жизнь людей, например, автомобилях, самолетах и промышленном оборудовании, поэтому безопасность должна правильным образом встраиваться в эти системы, чтобы они были «безопасны по архитектуре» с защитой, встроенной изначально. В большинстве случаев ставки слишком высоки для ошибок. Мы надеемся, что эта статья поможет вам повысить безопасность в своих системах и достичь успехов даже при минимальном наборе краеугольных камней, обеспечивающих фундамент адекватной защиты от современных угроз.

В этом документе предлагается простая и эффективная эталонная архитектура защиты IoT, которую легко развернуть и масштабировать

  • Архитектура снижения воздействия вредоносного кода гарантирует, что весь код криптографически подписан и авторизирован для устройства, неподписанный код не разрешен для запуска.
  • Защищена связь посредством взаимной проверки подлинности и шифрования. Применяются проверенные временем центры сертификации и модели доверия, которые уже защищают более миллиарда IoT-устройств. Используются новые алгоритмы ECC для обеспечения высокого уровня безопасности в устройствах IoT с ограниченными вычислительными ресурсами.
  • Эта архитектура дополнительно ослабляет вредоносное воздействие с помощью хостовой защиты и усиливает эффективность минимизацией рисков от всех остальных угроз с помощью аналитики безопасности.
  • При обнаружении уязвимостей и угроз риск их реализации можно снизить с помощью эффективного, надежного и защищенного динамического управления системой.

Остается лишь напомнить, что успешное обеспечение безопасности систем начинается с моделирования рисков. Без понимания, как злоумышленники могут скомпрометировать систему, маловероятно надежно защитить любую IT-систему.

Полезные ссылки: 

Подпишитесь
в Facebook

Я уже с вами
Telegram AMПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru