98 процентов трафика IoT не зашифрованы . Когда я читаю эту статистику — опубликованную Palo Alto Networks в их отчете об угрозе Unit 42 2020 — я должен был быть шокирован, — говорит Майк Нельсон, вице-президент IoT Security в DigiCert .
В прошлом году в отчете Z-Scaler говорилось нечто похожее: 91% трафика IoT был незашифрованным. Хотя вполне возможно, что эти цифры не совсем отражают реальную проблему, одно можно сказать наверняка: слишком много трафика IoT не зашифровано, когда должно быть абсолютно все.
Незашифрованный IoT-трафик, очевидно, означает, что злоумышленники могут выполнять атаки Man in the Middle (MiTM). При подключении к этому незашифрованному потоку данных злоумышленники могут проникнуть между устройствами — или устройством и более крупной сетью — и украсть или изменить данные.
Ошибки системы IoT хорошо документированы. Подключенные устройства часто быстро выводятся на рынок производителями, которые делают болезненно очевидные, но в основном легко предотвратимые ошибки безопасности в процессе проектирования. Затем они охотно скупаются предприятиями, которые часто не учитывают эти неисправности, и внедряются в безопасные в других отношениях сети. Оттуда злоумышленники обнаруживают их с помощью простого поиска в шодане и находят легкую точку проникновения в предприятие.
И все же — независимо от состояния его безопасности — Интернет быстро растет. По оценкам McKinsey, к 2023 году к Интернету будет подключено 43 миллиарда IoT-устройств. Если текущие тенденции сохранятся — а 98% трафика IoT останутся незашифрованными — это станет безумным питанием для киберпреступников.
Часто, когда люди думают о взломе IoT — они думают о уязвимой кукле или дверном звонке — атаки, которые используют функциональность устройства — интересно, но в конечном итоге бесполезно. Реальные угрозы гораздо менее ярки. Корпоративные IoT-развертывания часто состоят из сотен, если не тысяч отдельных устройств, если оставить только одно из этих устройств доступным, то это может легко обеспечить проникновение в безопасную сеть.
Именно такой пример можно увидеть в печально известном нарушении IoT в Лас-Вегасе . В 2017 году хакеры использовали аквариум для разграбления казино. Данный аквариум был подключен к Интернету через датчик, который позволял его операторам удаленно управлять и контролировать аквариум. Однако вскоре после его установки сотрудники службы безопасности заметили, что аквариум отправляет данные на удаленный сервер в Финляндии. Дальнейшее расследование выявило серьезное нарушение — хакеры использовали этот аквариум для отфильтровывания 10 гигабайт данных из базы данных хайроллеров казино.
Взлом выявил три острых момента. Во-первых, украденная информация была зашифрована в системе казино и была доступна злоумышленникам. Во-вторых, в казино было недостаточно проверок доступа и аутентификации, чтобы злоумышленники не могли получить доступ с этого IoT-устройства к наиболее конфиденциальной информации, которую они держали. Наконец, этот аквариум был подключен к более широкой сети казино — и, используя слабые стороны этого продукта, — они могли подключиться и украсть орду конфиденциальных данных.
Последствия таких атак могут варьироваться от утечки финансовых или клиентских данных до атак на критически важную инфраструктуру. Подумайте об ущербе, вызванном крупномасштабными перебоями в электросетях, отключениями Интернета, отключением общенациональных систем здравоохранения и доступом к критической помощи. Список можно продолжить.
Получение 100% шифрования
IoT или нет IoT — все конфиденциальные данные должны быть зашифрованы. Все это — что-либо выше 0 процентов недопустимо. Вы могли бы сделать небольшие допуски на ошибки здесь и там — но любые данные, которые не зашифрованы, подвержены риску.
Это не значит, что у него нет своих проблем. Природа современных данных заключается в том, что они постоянно перемещаются — от концентратора к шлюзу, от шлюза к облаку и далее. Это усложняет задачу, поскольку данные должны быть зашифрованы как в покое, так и в полете.
Это особенно верно для корпоративных IoT-сетей, которые обычно состоят из ряда различных конечных точек, датчиков и устройств, постоянно отправляющих данные назад и вперед между его различными частями. Один взлом в этой сети может впустить злоумышленника, сделав его не только особо чувствительной областью, но и особенно важной для исправления.
Инфраструктуры открытых ключей (PKI) с цифровыми сертификатами начинают решать эту проблему. Поскольку PKI может обеспечивать взаимную аутентификацию между различными узлами крупных сетей и шифровать данные, передаваемые повсюду, в огромных масштабах, подходящих для IoT, предприятия начинают использовать ее как способ защиты своих крупных развертываний IoT.
Несмотря на то, что отрасль прогрессирует, и ведущие компании, специалисты-практики и регулирующие органы предпринимают шаги для совместной работы и улучшения состояния безопасности этих устройств, нам еще предстоит пройти долгий путь. Нам нужно больше производителей, чтобы расставить приоритеты в области безопасности и внедрить лучшие методы — шифрование, аутентификация и целостность, и это не может быть постепенным. Это не будет достаточно хорошо.
Шифрование в масштабе — это то, что предприятиям необходимо для защиты трафика IoT. Ведущие производители обращают внимание и внедряют PKI. Будем надеяться, что остальные догонят.
Автор — Майк Нельсон, вице-президент IoT Security в DigiCert .
Источник: iot-now
