Jednou z největších starostí o internet věcí je zajištění bezpečnosti sítí, dat a zařízení. Bezpečnostní incidenty související s IoT už probíhají a obavy manažerů IT, manažerů zabezpečení a správců sítí, že by mohlo dojít k něčemu takovému, jsou oprávněné.
Co se dozvíte v článku
„S výjimkou nejvíce omezených prostředí budou zařízení IoT všude mezi vámi,“ prohlašuje Jason Taule, ředitel zabezpečení informací v pojišťovací společnosti Hitrust. „Otázkou tedy není zda, ale jak – jak dovolíte interakce a připojení takových zařízení k vašim sítím, systémům a datům.“
Co mohou organizace udělat pro zvýšení zabezpečení IoT? Existuje spousta možností, a to včetně řady přístupů, které nemusejí být tak zřejmé.
1. Testy bezpečnosti zdrojového kódu IoT
Při snaze vestavět lepší zabezpečení do IoT mohou organizace začít s nejmenšími součástmi své síťové infrastruktury – s kódem, popisuje Laura DiDio, ředitelka výzkumné a poradenské společnosti ITIC.
„Většina zařízení IoT je velmi malá,“ popisuje DiDio. „Proto se zdrojový kód obvykle píše v jazyce C, C++ nebo C#, což často vede ke známým problémům, jako jsou například zranitelnosti v důsledku úniků paměti a přetečení vyrovnávací paměti. Tyto problémy jsou síťovými ekvivalenty běžného nachlazení.“
Stejně jako běžné nachlazení jsou i tyto problémy otravné a nepolevují, popisuje DiDio. „V prostředí IoT se mohou množit a stát se velkým a často přehlíženým bezpečnostním problémem,“ prohlašuje.
„Nejlepší obranou je testovat, testovat a znovu testovat.“ Na trhu existuje řada dobrých testovacích nástrojů, které se pro zařízení IoT mohou používat, uvádí DiDio.
Správci zabezpečení a IT také mohou používat soubory cookie pro zásobník, radí DiDio. Jsou to náhodné datové řetězce, které aplikace zapíšou do zásobníku na místo, kam přetečou data, pokud dojde k přetečení vyrovnávací paměti.
„Pokud přeteče vyrovnávací paměti, dojde k přepsání souboru cookie,“ vysvětluje. Aplikace je dále naprogramovaná tak, aby ověřovala řetězce cookie, zda odpovídají původnímu kódu. Pokud soubor cookie z paměti neodpovídá, aplikace se ukončí.
2. Nasazení řízení přístupu
Řízení přístupu v prostředí internetu věcí je jedním z větších bezpečnostních problémů, které musejí společnosti řešit při připojování zařízení. Zahrnuje to řízení přístupu do sítě pro samotné připojené objekty.
Organizace by měly nejprve určit chování a aktivity, které považují od věcí připojených v prostředí IoT za přijatelné, a poté zavést odpovídající kontrolu, ale současně neblokovat procesy, radí John Pironti, prezident poradenské společnosti IP Architects a odborník na zabezpečení IoT.
„Namísto použití separátní VLAN (virtuální LAN) nebo síťového segmentu, což může být v případě zařízení IoT omezující a vysilující, implementujte kontext zohledňující řízení přístupu v celé síti, abyste umožnili vhodné akce a chování, a to nejen na úrovni připojení, ale také na úrovních řízení a přenosů dat,“ doporučuje Pironti.
To zajistí, že budou moci zařízení fungovat podle plánu, a přitom bude omezená jejich schopnost vykonávat škodlivé a nepovolené činnosti, popisuje Pironti.
„Tento proces také může stanovit základnu očekávaného chování, které pak může být zaznamenáváno do protokolů a sledováno za účelem identifikace anomálií a aktivit, jež nespadají do očekávaného chování s přijatelnými prahovými hodnotami,“ dodává.
3. Požadujte, aby vybavení IoT splňovalo bezpečnostní standardy
Organizace samozřejmě využívají všechny druhy poskytovatelů služeb, a v některých případech jsou tyto služby poskytovány prostřednictvím zařízení, které je umístěné v infrastruktuře zákazníka.
Ve věku internetu věcí existuje pravděpodobnost, že bude připojené zařízení zranitelné vůči útokům hackerů a dalším způsobům narušení. Záleží jen na zákazníkovi, aby si ošetřil, kdo ponese zodpovědnost v případě problémů.
„Jedním z míst, kde lze začít, jsou samotné smlouvy o poskytování služeb,“ radí Brian Haugli, partner bezpečnostní poradenské společnosti SideChannelSec a bývalý bezpečnostní manažer pojišťovny Hanover Insurance Group.
„Protlačují vaši dodavatelé internet věcí do vašeho podniku v rámci svých služeb a řešení? Pokud ano, měli byste o tom vědět a pohlídat si, aby došlo k odpovídajícímu ošetření v rámci znění smluv o službách či nákupech.“
Zajistěte si, aby bylo jasné, kdo nese zodpovědnost za aktualizace a životní cyklus zařízení, a také zda k němu budete mít přístup v případě incidentu, upozorňuje Haugli. „Viděl jsem společnosti dodávající klimatizační systémy a tiskárny, které neposkytly přístup, a vedlo to k zablokování možnosti řešit incident,“ varuje.
Dodavatelé by také podle něj mohli odmítat svou odpovědnost za pravidelné opravy a upgrady operačních systémů.
V některých případech může chybět specifikace, zda má zákazník nárok na nové zařízení s podporovaným operačním systémem, a dodavatel může odmítat nést náklady, popisuje Haugli.
V důsledku toho se může v síti vyskytovat nepodporované zranitelné zařízení mnohem déle, než je přijatelné.
„Pokud nedokážeme svým dodavatelům specifikovat naše požadavky, nepodnikneme kroky, které by vedly k potvrzení dodržování předpisů, a nepožadujeme po nich, aby nesli odpovědnost, jak bychom potom mohli očekávat vyřešení takovýchto problémů?“ komentuje Taule.
„Stejným způsobem, jak se očekává od společností dodávajících hardware a software, že ponesou odpovědnost za identifikaci a rychlé odstranění zranitelností v jejich produktech, by to mělo platit také pro společnosti dodávající IP kamery, zdravotnické přístroje, tiskárny, bezdrátové přístupové body, ledničky, klimatizační techniku a nevýslovné množství dalších zařízení internetu věcí, na které stále více spoléháme.“
Společnosti by měly používat pro zařízení IoT běžná bezpečnostní opatření a kontroly. Například zahrnout požadavky na funkci zabezpečení do svých smluv, požadovat skenování na nedávné zranitelnosti, vyžadovat právo na skenování vlastními prostředky, zavázat dodavatele k poskytování včasných aktualizací pro odstranění zjištěných slabin a znovu skenovat zařízení po každé aktualizaci firmwaru kvůli ověření, jestli se identifikované problémy odstranily a zda nevznikly žádné nové.
4. Obrana proti podvržení identity IoT
Schopnosti hackerů a jejich metod během let vzrostly, což může představovat pro bezpečnost internetu věcí velkou hrozbu.
„Neustále zdokonalují své metody padělání a podvrhů,“ popisuje DiDio. „Exponenciální růst počtu zařízení IoT znamená, že se prostor pro útoky exponenciálně zvětšuje.“
Je proto naprosto nezbytné, aby firmy a jejich oddělení zabezpečení a IT ověřovaly identitu zařízení IoT, se kterými komunikují, a byla definována a garantována oprávněnost pro kritickou komunikaci, aktualizace softwaru a stahování.
Všechna zařízení internetu věcí musejí mít jedinečnou identitu, prohlašuje DiDio. Při absenci jedinečné identity je organizace vystavena vysokému riziku podvrhů a narušení od úrovně mikrořadiče po zařízení koncových bodů na okraji sítě včetně aplikací a transportní vrstvy, varuje.
5. Zákaz navazování připojení k síti pro IoT
Společnosti by měly omezit schopnost zařízení internetu věcí iniciovat připojení k síti a namísto toho je připojovat jen přes firewall a seznamy řízení přístupu (ACL), prohlašuje Pironti.
„V důsledku zavedení principu jednosměrné důvěryhodnosti nebudou moci zařízení IoT nikdy iniciovat připojení k interním systémům, což může omezit možnosti útočníků využít je jako odrazové body pro průzkum a pro útoky na síťové segmenty,“ popisuje Pironti.
Přestože to nepřátelům nezabrání v útocích na systémy s vytvořenými připojeními, omezí to jejich možnosti bočního pohybu v rámci sítě, vysvětluje Pironti.
Podniky mohou také vynutit připojování k zařízením IoT přes požadované komponenty – například síťové servery proxy, uvádí Pironti.
„Směrováním připojení přes slučovací body mohou organizace zajistit možnost kontroly síťových přenosů pro zařízení IoT a efektivněji prověřovat přenosy,“ vysvětluje. Umožňuje to zjistit, zda příchozí a odchozí přenosy odpovídají účelu daného zařízení IoT.
6. IoT oddělit do vyhrazené sítě
Mnoho typů ovládacích zařízení, jako jsou termostaty a řízení osvětlení, se připojuje přes bezdrátová připojení. Většina podnikových bezdrátových sítí však vyžaduje protokol WPA2-Enterprise/802.1×, připomíná James McGibney, ředitel kybernetické bezpečnosti a dodržování předpisů ve společnosti Rosendin Electric.
„Většina z těchto zařízení ioT ale protokol WPA2-Enterprise nepodporuje,“ uvádí McGibney. „Vytvoření bezpečnějších zařízení by bylo ideální, ale pokud to prostředí podporuje, můžete tato zařízení připojit přes jejich vlastní bezdrátovou síť, která bude oddělená od produkční sítě a bude umožňovat jen nezbytný přístup.“
To by vyžadovalo vytvoření samostatného identifikátoru služby (SSID), síť VLAN a kapacitu směrovat veškeré přenosy přes firewall, popisuje McGibney. Taková oddělená bezdrátová síť se bude poté konfigurovat a spravovat z centrálního místa.
„Použili jsme toto řešení pro některá zařízení jako např. pro prodejní automaty vyžadující přístup k internetu, nad kterými nemáme žádnou kontrolu,“ popisuje McGibney.
„Jsou v síti pro hosty, která je oddělená od produkční infrastruktury.“ Běží na stejném hardwaru, ale na oddělené VLAN, upřesňuje.
7. Zabezpečení již v dodavatelském řetězci
Projekty IoT obvykle zahrnují více partnerů v dodavatelském řetězci včetně dodavatelů technologií a zákazníků, takže to musí zabezpečení zohlednit.
„Pokud jste to ještě neudělali, začněte vše zkoumat s odděleními ve své organizaci, která mají na starost smlouvy, finance a jakoukoli další správu dodavatelského řetězce,“ radí Taule. „Diskuze by měla začít zavedením principů, které zajistí, že nedojde ke schválení žádného pořizování technologií IoT, dokud to neschválí tým zabezpečení.“
Tato oddělení budou velmi ráda souhlasit, pokud se starost o zabezpečení a odpovídající práce přesunou na tým zabezpečení, vysvětluje Taule.
Nejlepší způsob zlepšení procesu výběru dodavatelů v dodavatelském řetězci závisí na individuálních okolnostech každé organizace, konstatuje Taule.
Doporučuje ale vybírat výrobce, kteří nabízejí možnost nezávislého ověřování, a také technická řešení s přepínačem pro ochranu před zápisem přímo v zařízeních, aby nebylo možné měnit firmware zařízení bez vašeho vědomí.
Pořizování výhradně originálních produktů bez rizika padělků je samozřejmostí a nezbytnou zásadou.