Ави Рембаум: Самая большая проблема IoT — идентификация устройств в сети

Ави Рембаум: Самая большая проблема IoT — идентификация устройств в сети

Ави Рембаум

Вице-президент компании Check Point, возглавляющий департамент решений кибербезопасности. На этой позиции Ави отвечает за центр решений, команду реагирования на инциденты, программу стратегического партнерства и архитектуру решений кибербезопасности. Ранее он развивал бизнес-отношения с ведущими телекоммуникационными компаниями Северной Америки.

Ави Рембаум работает в индустрии сетевой и информационной безопасности с 1997 года, когда он присоединился к команде маркетинга RADGUARD. Он также занимал позиции менеджера по продукту в компаниях RedCreek и SonicWALL и был менеджером в RedCreek и Getronics (сейчас CompuCom).

...

Ави Рембаум — вице-президент компании Check Point, глава департамента решений кибербезопасности — после конференции CPX 360 в Барселоне рассказал читателям Anti-Malware.ru о будущем и настоящем вопросов безопасности интернета вещей — о том, как сделать его более защищенным для крупных корпораций и обычных пользователей.

Спасибо вам за интересную презентацию. Что вы имели в виду, когда говорили о приближающейся зиме для IoT?

А. Р.: Это игра слов по аналогии с выражением из «Игры престолов». Приближение зимы означает, что скоро должно случиться что-то плохое. Эта метафора применима и к интернету вещей, поскольку он потенциально опасен в будущем. Мы сталкиваемся с чем-то большим, и это требует изобретательности и креативности, а также сплоченных действий, потому что в одиночку изменить ничего нельзя. То же самое происходит и в сериале, когда Старки накануне приближающейся зимы объединяются с другими семействами.

Интернет вещей повлияет как на обычных людей, так и на корпорации и правительственные организации. Он также требует переосмысления того, способна ли архитектура защитных программ учесть эти изменения. То есть надо понять, построено «здание» для одного семейства или оно способно вместить массу людей. Поэтому производители сейчас обеспокоены тем, чтобы разработать архитектуру, которая сможет приспособиться к любым изменениям.

Громкий пример Mirai показал, что устройства интернета вещей уязвимы. Насколько возможно снизить этот риск для корпораций и обычных потребителей?

А. Р.: В случае с Mirai умные устройства использовались для внешних атак на кого-то за периметром домашней или корпоративной сети. Но в будущем возможно, что атаки могут быть направлены и внутрь сетевой инфраструктуры. Например, видеокамера не соединена с интернетом, но может ли она обмениваться пакетами с системой телефонии или системами, контролирующими двери? Если может, то в результате атаки злоумышленники могут проникнуть в офис. Таким образом, вы должны предвидеть атаки, которые не только идут через интернет, но также используют внутренние сетевые ресурсы.

Но все же, как сделать интернет вещей более защищенным в реальной жизни? Что могут сделать корпорации и обычные люди, чтобы чувствовать себя в безопасности?

А. Р.: Прежде всего есть такое прекрасное понятие RTFM («Читайте гребаную инструкцию» — прим. ред.). Это базовый уровень в обращении с IoT-устройствами дома — важно использовать устройство в соответствии с руководством. Например, необходимо использовать сложный пароль вместо заводского. Если производитель выпускает патчи и обновления для этих систем, необходимо их устанавливать. Скажем, сегодня продаются Wi-Fi-контроллеры освещения — я провел эксперимент и купил их для моего дома. Часто приложение говорило, что я должен его обновить, а недавно оно запросило обновление прошивки. Это было довольно утомительно, но я понимаю, что должен это делать. То же самое справедливо, например, для Sonos — подключенной к Wi-Fi аудиосистемы. Вам постоянно приходят обновления, причем для установки вы должны использовать только обычную сеть, а иначе вам нужно будет вводить пароль и менять настройки.

Еще один совет — не покупайте самые дешевые IoT-системы для дома. Если вы хотите использовать что-то, подключенное к интернету, то, наверное, лучше купить продукт премиум-класса. В этом случае больше вероятность того, что производитель придерживался высоких стандартов при производстве.

Что касается корпораций, то тут история намного шире. Надо говорить и о защите цепи поставок, и о защите управления, и о защите физических средств контроля. Нужно помнить о безопасной архитектуре и грамотном сегментировании сети. Полезно иметь средства патч-менеджмента и контроля уязвимостей, которое ищет потенциальные эксплойты и постоянно проверяет сеть, а также идентифицирует объекты в системе и определяет, какие системы коммуницируют друг с другом. Наконец, будет нелишним добавить двустороннюю или двухфакторную аутентификацию.

Одна из самых больших корпоративных проблем — знание идентификационных данных всех устройств интернета вещей. Возникает вопрос, стоит ли определенным устройствам коммуницировать друг с другом не только внутри сети, но и снаружи. Очень важно определить, какой сегмент сети они используют и что для них доступны средства контроля уязвимостей. Встает вопрос о микросегментации сети по этим идентификационным данным.

Правильно ли я понимаю, что крупные компании могут использовать подход, который обычно применим к построению системы безопасности АСУ ТП?

А. Р.: Да, но нельзя сказать, что такие системы полностью защищены. Сегодня для SCADA используются старые версии операционных систем. При этом они так разработаны, что должны быть подключены в сеть. Таким образом открывается возможность, к примеру, атак через сообщения электронной почты, потому что большие производственные системы соединяются с теми же системами, что и мой ноутбук. В связи с этим встает ряд вопросов. Надо ли мне отделить две системы друг от друга? Понимаю ли я, как курсируют пакеты данных? Отрезаны ли внешние коммуникации от технологической сети? И если говорить об интернете вещей, могу ли я установить защитное программное обеспечение на само устройство или же это повлияет на его работу и замедлит его производительность? Мы можем закрыть ноутбук, но промышленное устройство должно работать все время.

Патч-менеджмент на SCADA-системах отличается тем, что для установки обновления вам нужно иметь резервную систему, что зачастую очень дорого.

А. Р.: Да, и мы пытаемся донести до наших клиентов, что патч-менеджмент для производственных линий отличается от обычного и очень сложен, поэтому важно, чтобы весь трафик в системе перемещался в известном направлении. Если мы знаем, что трафик всегда проходит через определенную точку, мы можем установить в этой точке систему защиты от вторжений, которая будет защищать от кибератак. Кроме того, если вам нужно патчить систему, вам необходимо использовать один или два шлюза, чтобы защитить эту часть сети до тех пор, пока вы не закончите установку обновлений.

Возвращаясь обратно к потребительскому рынку. Допустим, нам нужно периодически устанавливать патчи на роутер и другие умные устройства, но будут ли простые домохозяйки или пенсионеры это делать? Есть ли какое-то иное решение для снижения риска для всех пользователей?

А. Р.: Мне кажется, интернет-провайдеры могут быть за это ответственны. Они предоставляют роутер и должны следить, чтобы тот обновлялся, даже если клиент не может этого сделать самостоятельно. Иногда лучше, чтобы ответственность за интернет вещей несли те, кто может это сделать. Вы, конечно, можете сказать клиенту: «Ничего не трогай. Если что, я приду и всю починю». Вы можете установить программное обеспечение на смартфон и компьютер клиента. А можете сказать: «Уважаемый клиент, вот контракт на обслуживание — если что понадобится, то эти люди придут и все сделают».

То есть это должно быть частью сервиса провайдера?

А. Р.: Да, в корпоративном секторе все действует так же: мы знаем, как шить костюмы, но мы не знаем, как работают компьютеры. В этом случае мы нанимаем человека или платим компании, которая знает, как это делать.

На конференции CPX 360 вы говорили о встроенной защите для умных устройств. Идея отличная, но как ее реализовать, когда вокруг огромное количество вендоров, в том числе дешевых китайских, с очень дешевыми продуктами без всяких средств безопасности на борту?

А. Р.: Если мы подумаем об управлении угрозами и рисками, мы должны спросить себя, что с практической точки зрения мы должны делать. Прежде всего, мы должны использовать агенты как можно больше в различных системах, чтобы они следили за всеми процессами. Позитивный эффект от этого подхода мы можем наблюдать сегодня — например, мы запускаем корпоративные приложения на смартфонах в модуле SandBlast. Это защищает телефоны на базе iOS и Android, а мы помним, что множество устройств интернета вещей построены на Android. Точно так же, как телефоны, мы можем защитить эти устройства от несанкционированной перепрошивки, использования небезопасных сетей и прочих угроз. Системы, работающие на промышленном уровне, также могут использовать Android или Windows Embedded. Например, банки используют такие программы в банкоматах.

Хорошо, это справедливо для Android и Windows Embedded, но сегодня большинство устройств интернета вещей используют Linux-системы? Трудно найти решение, которое учитывало бы все версии всех операционных систем и поддерживало их.

А. Р.: Конечно, это сложнее. Но в то же время некоторые функции защиты уже встроены в Linux. Вы можете представить правила, которые созданы, чтобы перед тем как разрешать устройствам подключаться к определенной сети, запускать сканирование системы, к которой они подключаются, проверять конфигурацию, контролировать движение пакетов данных? Пока это не существует, но вполне возможно.

Что вы думаете об идее для потребительского рынка не встраивать в устройства защиту, а контролировать их функции или даже исходный код?

А. Р.: Такой подход начинает находить применение. Вы видите его в United Laboratories — они используют его для электроприборов. В России тем же вопросом начинает заниматься ФСТЭК — они делают это для российского госсектора: проводят сертификации и следят, чтобы не было никакого встроенного кода внутри устройств.

Правительство может сказать, что любые компании, которые делают с ними бизнес и продают устройства или оказывают им какие-то услуги, должны соответствовать их стандартам. Таким образом они могут влиять на рынок вокруг них. И поскольку это крупный заказчик, эффект от их действий повлияет на всю индустрию.

Эта ситуация сравнима с источниками альтернативной энергии. Если 20-25 процентов приходится на возобновляемую энергию, то все вокруг начинает меняться — это учитывается в конструировании, появляется транспорт, вокруг образуются услуги и так далее. В итоге все должны соответствовать тому, что говорят и делают большие организации, и руководствоваться преимуществами для покупателей.

То есть вы верите в комплаенс?

А. Р.: Трудно сказать. Может быть, правительству и не стоит говорить, что вы не должны что-либо делать. Но, возможно, надо больше говорить сообществу: «Следуйте за мной».

С вашей точки зрения, как искусственный интеллект и когнитивные системы могут помочь нам в обеспечении безопасности интернета вещей?

А. Р.: Одна из сложнейших составляющих безопасности интернета вещей — необходимость быстро принимать решения: это атака или нет? Если вы можете использовать нейронные сети и когнитивные системы в интернете вещей, чтобы ускорить принятие решений, то это было бы очень полезно. С одной стороны, это могут быть решения из серии позволить чему-то случиться или нет, с другой — вы можете проверять сотни тысяч подключенных устройств очень быстро и сразу понимать, есть ли проблема.

В своем выступлении вы упомянули платформу безопасности, которая может быть ответом на шестое поколение угроз по вашей классификации.  

А. Р.: Прежде всего надо заглянуть в будущее. Наверняка будущее интернета вещей будет схожим с привычным нам интернетом. Когда-то он был академическим развлечением, а потом появились AltaVista и Yahoo. Интернет вещей может быть столь же значительным, и нам нужно подумать о безопасности концептуально.  Если мы придумаем решение, которое будет его защищать, мы должны подумать и о том, какая архитектура должна быть, какой тип автоматизации, какая динамическая емкость. Словом, мы должны иметь базовые ингредиенты на своих местах, и вот эту возможность важно предусмотреть на уровне пять, чтобы перейти на следующий уровень.

Вообще, представьте себе персональное такси, когда вы выходите во двор и летите на дроне на следующую встречу, или самоуправляемый автомобиль. Потратить 200 долларов на безопасность устройства, которое стоит минимум 15 тысяч долларов — это не такое большое дело.

Благодарим за интервью и желаем успехов!