Главная Бизнес Как развивается интернет вещей – безопасность, конфиденциальность, приложения и тенденции. Информационная безопасность интернета вещей(Internet of Things) Безопасной экосистемы IoT не существует

Как развивается интернет вещей – безопасность, конфиденциальность, приложения и тенденции. Информационная безопасность интернета вещей(Internet of Things) Безопасной экосистемы IoT не существует

Интернет вещей (IoT) плотно вошел в нашу жизнь и миллиардов людей по всему миру. Однако рост количества подключенных устройств ведет к увеличению рисков безопасности: от причинения физического вреда людям до простоев и повреждения оборудования - это могут быть даже трубопроводы, доменные печи и установки для выработки электроэнергии. Поскольку ряд таких объектов и систем IoT уже подвергались нападению и был причинен внушительный ущерб, обеспечение их защиты выходит на первый план.

Введение

В быту, когда разговор идет про IoT, как правило, имеют в виду лампочки, обогреватели, холодильники и прочую технику для дома, которой можно управлять через интернет. На самом деле, тема IoT намного шире. Под интернетом вещей мы в первую очередь понимаем подключенные к вычислительной сети автомобили, телевизоры, камеры наблюдения, роботизированное производство, умное медицинское оборудование, сеть электроснабжения и бесчисленные промышленные системы управления (турбины, клапаны, сервоприводы и т. д.).

К счастью, безопасность интернета вещей можно построить на фундаменте из четырех краеугольных камней: безопасность связи, защита устройств, контроль устройств и контроль взаимодействий в сети.

На этом фундаменте можно создать мощную и простую в развертывании систему безопасности, которая способна ослабить негативное воздействие большинства угроз безопасности для интернета вещей, включая целенаправленные атаки. В этой статье мы описываем четыре фундаментальных направления, их назначение и стратегии простой эффективной реализации. Конечно, невозможно разобрать все детали в обзоре, но мы попытаемся предоставить базовые рекомендации, применимые ко всем областям, включая автомобильную промышленность, энергетику, производство, здравоохранение, финансовые услуги, государственный сектор, розничную торговлю, логистику, авиацию, товары широкого потребления и другие направления, рассмотрим некоторые примеры. Что представляют собой эти четыре краеугольных камня?

Из чего состоит защита IoT

Безопасность связи

Канал связи должен быть защищен, для этого применяются технологии шифрования и проверки подлинности, чтобы устройства знали, могут ли они доверять удаленной системе. Здорово, что новые криптографические технологии, такие как ECC (Elliptic Curve Cryptography), работают в десять раз лучше предшественников в слабомощных чипах IoT 8-bit 8MHz. Не менее важной задачей здесь является управление ключами для проверки подлинности данных и достоверности каналов их получения. Ведущие центры сертификации (CA) уже встроили «сертификаты устройств» в более чем миллиард устройств IoT, предоставив возможность выполнять проверку подлинности широкого спектра устройств, включая сотовые базовые станции, телевизоры и многое другое.

Защита устройств

Защита устройств - это в первую очередь обеспечение безопасности и целостности программного кода. Тема безопасности кода выходит за рамки этой статьи, заострим внимание на целостности. Подписание кода требуется для подтверждения правомерности его запуска, также необходима защита во время выполнения кода, чтобы атакующие не перезаписали его во время загрузки. Подписание кода криптографически гарантирует, что он не был взломан после подписания и безопасен для устройства. Это может быть реализовано на уровнях application и firmware и даже на устройствах с монолитным образом прошивки. Все критически важные устройства, будь то датчики, контроллеры или что-то еще, должны быть настроены на запуск только подписанного кода.

Устройства должны быть защищены и на последующих этапах, уже после запуска кода. Здесь поможет защита на основе хоста, которая обеспечивает харденинг, разграничение доступа к системным ресурсам и файлам, контроль подключений, песочницу, защиту от вторжений, защиту на основе поведения и репутации. Также в этот длинный список возможностей хостовой защиты входят блокирование, протоколирование и оповещение для различных операционных систем IoT. В последнее время многие средства хостовой защиты были адаптированы для IoT и теперь хорошо проработаны и отлажены, не требуют доступа к облаку и бережно расходуют вычислительные ресурсы IoT-устройств.

Контроль устройств

Печально, но уязвимости в устройствах IoT все равно будут, их нужно будет патчить, и это может происходить в течение длительного времени после передачи оборудования потребителю. Даже код с применением обфускации в критичных системах в конце концов реконструируется, и злоумышленники находят в нем уязвимости. Никто не хочет, а зачастую и не может отправлять своих сотрудников для очного визита к каждому устройству IoT для обновления прошивки, особенно, если речь идет, например, о парке грузовиков или о сети датчиков контроля, распределенных на сотни километров. По этой причине «управляемость по воздуху» (over-the air, OTA), должна быть встроена в устройства до того, как они попадут к покупателям.

Контроль взаимодействий в сети

Некоторые угрозы смогут преодолеть любые предпринятые меры, независимо от того, насколько хорошо все защищено. Поэтому крайне важно иметь возможности аналитики безопасности в IoT. Системы для аналитики безопасности помогут вам лучше понять вашу сеть, заметить подозрительные, опасные или злонамеренные аномалии.

Эволюция парадигмы

Большинство устройств IoT представляют из себя «закрытые системы». Покупатели не смогут добавлять программное обеспечение безопасности после того, как устройства покинут завод. Такое вмешательство аннулирует гарантию, а зачастую попросту не представляется возможным. По этой причине, защитные функции должны быть изначально встроены в устройства IoT, чтобы они были безопасными по своей архитектуре. Для большей части индустрии ИБ такая «безопасность внутри», то есть встроенная при изготовлении устройства на заводе - это новый способ обеспечения защиты, это касается и классических технологий безопасности, таких как шифрование, проверка подлинности, проверка целостности, предотвращение вторжений и возможности безопасного обновления. Учитывая тесную связь аппаратного и программного обеспечения в модели IoT, иногда проще, чтобы программы для защиты использовали расширение функций аппаратной части и создавали «внешние» уровни безопасности. Здорово, что многие производители чипов уже встроили функции безопасности в оборудование. Но аппаратный уровень - это всего лишь первый слой, необходимый для комплексной защиты связи и устройств. Комплексная защита требует интеграции функций управления ключами, защиты на основе хоста, инфраструктуры OTA и аналитики безопасности, о чем мы упоминали прежде. Отсутствие даже одного из краеугольных камней в фундаменте безопасности оставит широкий простор действиям злоумышленников.

Поскольку промышленный интернет и IoT привносят сетевой интеллект в физические вещи вокруг нас, мы должны внимательно относиться к вопросам их безопасности. Наша жизнь зависит от самолетов, поездов и автомобилей, которые перевозят нас, от инфраструктуры здравоохранения и гражданской инфраструктуры, которая позволяет нам жить и работать. Нетрудно представить, как незаконное манипулирование светофорами, медицинским оборудованием или бесчисленными другими устройствами может привести к плачевным последствиям. Также ясно, что простые граждане и покупатели IoT не хотят, чтобы незнакомые люди взламывали их дома или машины, чтобы кто-то причинял им вред, устраивая сбои на автоматизированных промышленных объектах. В этой ситуации мы попытаемся предложить такие рекомендации, которые сформируют целостную безопасность для IoT, одновременно сделав ее эффективной и простой в реализации.

Безопасность связи. Усиленная модель доверия для IoT

Шифрование, проверка подлинности и управляемость неизменно являются основой устойчивой безопасности. Есть отличные библиотеки с открытым исходным кодом, которые выполняют шифрование даже в устройствах IoT с ограниченными вычислительными ресурсами. Но, к сожалению, большинство компаний по-прежнему подвергаются опасным рискам, допуская ошибки при управлении ключами для IoT.

Транзакции на 4 млрд долларов в день электронной торговли защищены простой и надежной моделью доверия, обслуживающей миллиарды пользователей и более миллиона компаний по всему миру. Эта модель доверия помогает системам безопасно проводить проверку подлинности систем других компаний и взаимодействовать с ними по зашифрованным каналам связи. Модель доверия сегодня является критичным фактором безопасного взаимодействия в компьютерных средах и основывается на очень кратком списке надежных центров сертификации (CA). Эти же CA устанавливают сертификаты в миллиарды устройств каждый год. Сертификаты устройств позволяют, например, проверять подлинность мобильных телефонов для безопасного подключения к базовым станциям, проверять подлинность интеллектуальных счетчиков для электроэнергетики, а также приставок в индустрии кабельного телевидения. Надежные CA позволяют легко и безопасно генерировать, выдавать, регистрировать, контролировать и отзывать сертификаты, ключи и учетные данные, которые имеют решающее значение для надежной проверки подлинности. Учитывая реализуемые объемы сертификатов безопасности для IoT, большинство сертификатов устройств продаются большими партиями за весьма скромную сумму денег за единицу (в долларовом выражении речь идет о десятках центов за сертификат).

Почему проверка подлинности имеет значение? Опасно принимать данные от непроверенных устройств или непроверенных сервисов. Такие данные могут повредить или скомпрометировать систему, передать контроль над оборудованием злоумышленникам. Использование надежной проверки подлинности для ограничения нежелательных подключений помогает уберечь системы IoT от подобных опасностей и сохранить контроль над вашими устройствами и сервисами. Независимо от того, соединяется ли устройство с каким-то другим устройством или происходит обмен данными с удаленным сервисом, например, облачным, связь всегда должна быть защищена. Все взаимодействия требуют надежной проверки подлинности и взаимного доверия. Исходя из этих соображений, экономия на сертификатах устройств представляется спорной.

К счастью, множество стандартов было разработано для упрощения нам с вами развертывания надежной проверки подлинности всех звеньев цепи обмена данными. Стандарты существуют для форматов сертификатов, и надежные центры сертификации поддерживают как стандартные, так и кастомные форматы. В большинстве случаев сертификатами можно легко управлять удаленно (OTA) с помощью стандартных протоколов, таких как Simple Certificate Enrollment Protocol (SCEP), Enrollment over Secure Transport (EST) и Online Certificate Status Protocol (OCSP). Благодаря надежному центру сертификации, который предоставляет возможность обрабатывать сертификаты, ключи и учетные данные, фактическую проверку подлинности можно делать с помощью мощных стандартов Transport Layer Security (TLS) и Datagram TLS (DTLS) - родственных SSL. Взаимная проверка подлинности, когда обе конечные точки проверяют друг друга, имеет решающее значение для качественной защиты систем IoT. В качестве дополнительного бонуса, однажды выполнив проверку подлинности по TLS или DTLS, две конечные точки могут обмениваться ключами шифрования или получать их для обмена данными, которые невозможно расшифровать подслушивающими устройствами. Для многих приложений IoT требуется абсолютная конфиденциальность данных, это требование легко выполняется использованием сертификатов и протоколов TLS/DTLS. Однако когда конфиденциальность не является обязательным требованием, подлинность передаваемых данных может проверяться любой стороной, если они были подписаны во время их появления на датчике - такой подход не отягощает канал шифрованием, что предпочтительно в архитектурах multi-hop.

Часто возникают вопросы касательно стоимости и производительности чипов IoT для криптографических операций. Здесь нужно принять во внимание, что Elliptic Curve Cryptography (ECC) в 10 раз быстрее и эффективнее, чем традиционное шифрование даже в ограниченных вычислительными ресурсами устройствах. Такая скорость и эффективность достигаются без снижения уровня безопасности. ECC даже продемонстрировал уровень защиты industry best practice, эквивалентный RSA 2048, в том числе на чрезвычайно ограниченных в ресурсах чипах - на 8-bit 1-MHz процессорах и 32-bit 1-KHz процессорах, при потреблении лишь микроватт энергии. DTLS, вариант TLS был разработан специально для маломощных устройств, которые периодически работают между циклами сна. И наконец, цена таких 32-разрядных чипов составляет всего несколько десятков центов (при расчете в долларах), поэтому цену или мощность чипов не получится использовать в качестве аргумента для снижения требований по защите ниже разумных пороговых значений, когда безопасность имеет значение. В силу описанных факторов предлагаются следующие рекомендации по длине ключа для проверки подлинности устройства IoT, где безопасность имеет значение:

минимум 224-bit ECC для сертификатов конечных объектов с предпочтением 256-bit и 384-bit;
минимум 256-bit ECC для корневых сертификатов с предпочтением 384-bit.

Сегодня мы не можем представить себе такое неудобство, как ручную установку сертификатов в наши браузеры для каждого веб-сервера, в то же время, мы не можем представить себе, какой будет ущерб, если слепо верить любому сертификату. Вот почему каждый браузер имеет несколько корней доверия, по которым верифицируются все сертификаты. Встраивание этих корней в браузеры дало возможность масштабировать защиту на миллионы серверов в Интернете. Поскольку миллиарды устройств становятся онлайн ежегодно, в равной степени важно, чтобы в устройства встраивались и корни доверия, и сертификат устройства.

Данные, связанные с IoT, должны храниться в безопасности все время. Наша жизнь зачастую зависит от правильности, целостности и надлежащего функционирования этих систем больше, чем от конфиденциальности данных. Проверка подлинности информации, устройств и происхождения информации могут иметь решающее значение. Данные зачастую хранятся, кэшируются и обрабатываются несколькими узлами, а не просто передаются из точки А в точку Б. По этим причинам данные всегда должны быть подписаны в тот момент, когда они были впервые зафиксированы и сохранены. Это помогает снизить риски любого вмешательства в информацию. Подписание объектов данных, как только они были зафиксированы, и ретрансляция подписи с данными даже после их дешифрации является все более распространенной и успешной практикой.

Защита устройств. Защита программного кода IoT

При включении каждое устройство загружается и запускает определенный исполняемый код. Нам крайне важно быть уверенными в том, что устройства будут делать только то, на что мы их запрограммировали, а посторонние не смогут перепрограммировать на злонамеренное поведение. То есть первым шагом в защите устройств является защита кода, чтобы гарантированно загружался и запускался только нужный нам код. К счастью, многие производители уже встроили возможности безопасной загрузки в свои чипы. Похожим образом дела обстоят и с высокоуровневым кодом - различные проверенные временем клиентские библиотеки с открытым исходным кодом, вроде OpenSSL, могут использоваться для проверки подписи и разрешения кода только из авторизованного источника. Вследствие этого все большее распространение получают подписанные прошивки, загрузочные образы и более высокоуровневый встроенный код, в том числе подписанные базовые программные компоненты, куда входят любые операционные системы. Все чаще встречаются не просто подписанные прикладные программы, а вообще весь код на устройстве. Такой подход гарантирует, что все критичные компоненты систем IoT: датчики, механизмы, контроллеры и реле сконфигурированы правильно - на запуск только подписанного кода и никогда не запустят неподписанный код.

Хорошей манерой было бы придерживаться принципа «никогда не доверять неподписанному коду». Логичным продолжением было бы «никогда не доверять неподписанным данным и, тем более, неподписанным конфигурационным данным». Использование современных средств проверки подписи и распространение аппаратной реализации безопасной загрузки, ставят серьезную задачу перед многими компаниями - управление ключами и контроль доступа к ключам для подписи кода и защиты встроенного программного обеспечения. К счастью, некоторые центры сертификации предлагают облачные сервисы, которые делают проще, безопаснее и надежнее администрирование программ для подписывания кода и гарантируют строгий контроль, кто может подписывать код, отзывать подписи, и как ключи для подписания и отзыва защищены.

Возникают ситуации, когда программное обеспечение нужно обновить, например, в целях безопасности, но при этом необходимо учесть влияние обновлений на заряд батареи. Операции перезаписи данных увеличивают потребление энергии и сокращают период автономной работы устройства.

Появляется необходимость подписать и обновить отдельные блоки или фрагменты таких обновлений, а не монолитные образы целиком или бинарные файлы. Тогда программное обеспечение, подписанное на уровне блоков или фрагментов, можно обновлять с гораздо более тонкой детализацией, не жертвуя безопасностью или зарядом батареи. Для этого не нужна обязательно аппаратная поддержка, такую гибкость можно достичь от предзагрузочной среды, которая может работать на множестве embedded-устройств.

Если время автономной работы настолько важно, почему бы просто не сконфигурировать устройство с неизменяемой прошивкой, которую никто не может изменить или обновить? К сожалению, мы вынуждены предположить, что устройства в полевых условиях подвержены реверс-инжинирингу для вредоносных целей. После его проведения обнаруживаются и эксплуатируются уязвимости, которые необходимо патчить как можно скорее. Обфускация и шифрование кода могут существенно замедлить процесс реверс-инжиниринга и отбить охоту продолжать атаковать у большинства злоумышленников. Но враждебные спецслужбы или межнациональные деструктивные организации все-таки способны это сделать даже для программ, защищенных с помощью обфускации и шифрования, прежде всего потому, код должен быть дешифрован для запуска. Такие организации найдут и воспользуются уязвимостями, которые не были своевременно пропатчены. В связи с этим возможности удаленного обновления (OTA) имеют решающее значение и должны быть встроены в устройства до того, как они покинут завод. OTA-обновления software и firmware очень важны для поддержания высокого уровня защищенности устройства. Подробнее этот момент мы с вами еще рассмотрим в разделе «Контроль устройств». Тем не менее, обфускация, сегментированное подписание кода и OTA-обновления в конечном счете должны быть плотно объединены между собой для эффективной работы.

Кстати, и сегментированное, и монолитное подписание кода используют модель доверия на основе сертификатов, описанную в предыдущем разделе «Безопасность связи», а использование ECC при подписании кода может обеспечить те же самые преимущества высокого уровня безопасности в сочетании с высокой производительностью и низким энергопотреблением. В этой ситуации предлагаются следующие рекомендации по длине ключа для подписи кода IoT, где безопасность имеет значение:

минимум 224-bit ECC для сертификатов конечных объектов с предпочтительным 256-bit и 384-bit;
минимум 521-bit ECC для корневых сертификатов, поскольку, как правило, ожидается, что подписанный код будет использоваться годами или даже десятилетиями после подписания, а подписи должны быть достаточно сильными, чтобы оставаться надежными в течение столь длительного времени.

Защита устройств. Эффективная хостовая защита для IoT

В предыдущей главе мы рассмотрели первый аспект защиты устройств, который определяет основные принципы управления ключами, проверки подлинности для IoT, подписание кода и конфигурации для защиты целостности устройства, основы OTA-управления таким кодом и конфигурацией. Однако, после защиты связи и реализации безопасной загрузки хорошо управляемого устройства, необходима защита на этапе эксплуатации. Хостовая защита решает эту задачу.

IoT-устройства сталкиваются со многими угрозами, в том числе вредоносным кодом, который может распространяться через проверенные соединения, воспользовавшись уязвимостями или ошибками в конфигурации. В таких атаках часто эксплуатируются несколько слабых мест, включая, но не ограничиваясь:

неиспользование проверки подписи кода и безопасную загрузку;
плохо реализованные модели проверки, которые можно обойти.

Атакующие часто используют эти недостатки для установки бэкдоров, снифферов, программного обеспечения для сбора данных, возможности передачи файлов для извлечения конфиденциальной информации из системы, а иногда даже для инфраструктуры command & control (C&C) для манипулирования поведением системы. Особо тревожит способность некоторых злоумышленников эксплуатировать уязвимости для установки вредоносных программ прямо в память уже работающих систем IoT. Причем иногда выбирается такой способ заражения, при котором вредоносная программа исчезает после перезагрузки устройства, но успевает наносить огромный ущерб. Это работает, потому что некоторые системы IoT и многие промышленные системы почти никогда не перезагружаются. Для отдела безопасности в этом случае затрудняется возможность обнаружения использованной уязвимости в системе и расследование происхождения атаки. Иногда такие атаки происходят через IT-сеть, подключенную к промышленной сети или к сети IoT, в других случаях атака происходит через интернет или через прямой физический доступ к устройству. Как вы понимаете, не важно, какой был исходный вектор инфекции, но если он не обнаружен, то первое скомпрометированное устройство по-прежнему остается доверенным и становится проводником для заражения остальной сети, будь то автомобильная сеть транспортного средства или целая производственная сеть завода. Таким образом, безопасность IoT должна быть комплексной. Закрывая окна, оставлять дверь открытой – неприемлемо. Все векторы угроз должны подавляться.

К счастью, в сочетании с надежной подписью кода и моделью проверки, хостовая защита может помочь защитить устройство от множества опасностей. В хостовой защите используется ряд технологий защиты, в том числе харденинг, разграничение доступа к системным ресурсам, песочница, защита на основе репутации и поведения, защита от вредоносных программ и, наконец, шифрование. В зависимости от потребностей конкретной системы IoT комбинация этих технологий может обеспечить наивысший уровень защиты для каждого устройства.

Харденинг, разграничение доступа к ресурсам и песочница защитят все «двери» в систему. Они ограничивают сетевые подключения к приложениям и регламентируют входящий и исходящий поток трафика, защищают от различных эксплойтов, переполнения буфера, целенаправленных атак, регулируют поведение приложений, при этом позволяют сохранить контроль над устройством. Такие решения еще могут использоваться для предотвращения несанкционированного использования съемных носителей, блокировки конфигурации и настроек устройства и даже для деэскалации пользовательских привилегий, если нужно. Хостовая защита обладает возможностями аудита и оповещения, помогая отслеживать журналы и события безопасности. Технологии на основе политик могут работать даже в средах без подключения к информационной сети или при ограниченной вычислительной мощности, необходимой для использования традиционных технологий.

Технология защиты на основе репутации может использоваться для определения сущности файлов по их возрасту, распространенности, местоположению и прочему для выявления опасностей, не обнаруживаемых иными средствами, а также давать представление о том, следует ли доверять новому устройству даже при успешной проверке подлинности. Таким способом можно идентифицировать угрозы, которые используют мутирующий код или адаптируют свою схему шифрования, просто отделяя файлы с высоким риском от безопасных, быстро и точно обнаруживая вредоносные программы, несмотря на все их ухищрения.

Разумеется, сочетание применяемых технологий будет зависеть от конкретной ситуации, но приведенные выше средства могут объединяться для защиты устройств, даже в средах с ограниченными вычислительными ресурсами.

Выводы

Как можно защитить IoT? Системы IoT бывают очень сложными, им требуются комплексные меры защиты, покрывающие уровни облаков и подключений, также необходима поддержка устройств IoT с ограниченными вычислительными ресурсами, которых недостаточно для поддержки традиционных решений безопасности. Простого универсального решения не существует, и для обеспечения безопасности недостаточно запереть двери, оставив окна открытыми. Безопасность должна быть всесторонней, иначе атакующие просто воспользуются самым слабым звеном. Конечно, традиционные IT-системы как правило передают и обрабатывают данные из систем IoT, но сами системы IoT обладают своими уникальными потребностями в защите.

В первой части статьи мы обозначили четыре базовых и самых важным принципа защиты IoT и подробно рассмотрели два из них: безопасность связи и защиту устройств. Продолжение статьи читайте в следующей части.

Хотя мы наблюдаем мощную вспышку интереса к интернету вещей именно в последние несколько лет, концепция технологии существует с 1999 года, и уже тогда ощущалась масштабность ее характера. И действительно, агрегирование данных с подключенных устройств и датчиков помогает как оптимизировать процессы бизнесу, так и получать более персонализированные и качественные услуги/инфраструктуру потребителю.

Важно осознавать, что эффективное развитие IoT должно сводиться не только к проникновению «подключенных» устройств во все аспекты жизни, но к созданию технологической экосистемы, иначе говоря, к объединению решений для сбора, передачи, агрегации данных на платформе, позволяющей обработать данные и использовать их для реализации эффективных решений.

Интернет вещей скрывает в себе колоссальный потенциал, но он раскроется только при взаимодействии обособленных сетей, развернутых для решения отдельных задач.

Хотя исторически IoT-решения использовались в основном как элементы разрозненных систем, сейчас на рынке появляется все больше комплексных решений. И это неудивительно: по данным IDC, общий мировой объем капиталовложений в решения, в основу которых лег интернет вещей, в 2016 году составил $737 миллиардов, в 2017 - более $800 миллиардов, а к 2021 году инвестиции вырастут приблизительно до $1,4 триллиона.

Технологические тренды в основе интернета вещей

Для беспроводной передачи данных, а, значит, эффективности внедрения интернета вещей, первостепенны такие факторы, как продуктивность в условиях низких скоростей, отказоустойчивость, адаптивность. Тут катализаторами в первую очередь стали высокий уровень и стандарт NB-IoT для построения интернета вещей, принятый мировым сообществом, чье развитие и распространение привели к увеличению количества и снижению стоимости IoT-устройств.

В 2019 году эксперты PWC определили , что в целом развитие IoT стало реальным благодаря технологическим трендам, драйверами которых выступили как государство, так и бизнес:

быстрое увеличение количества сенсоров и подключенных устройств;
снижение стоимости передачи данных, что позволило перенаправить инвестиции в большие процессинговые системы;
развитие облачных технологий и , которые обеспечивают гибкую систему хранения и анализа данных в условиях постоянного увеличения объема данных;
снижение стоимости вычислительных мощностей: процессоров, памяти и систем хранения данных.

Внедрение IoT на уровне государства

Сейчас популярны различные государственно-частные партнерства, связанные, например, с энергосервисными решениями по умным счетчикам ЖКХ, системами безопасности, интеллектуальной транспортной системой, - иначе говоря, со всеми проявлениями Smart City.

Например, в электроэнергетике интернет вещей может способствовать значительным изменениям, диджитализируя традиционную электромеханическую систему. Такой подход особенно актуален для России, обладающей исторически сложившейся масштабной централизованной системой энергоснабжения, которая связывает более 2,5 миллиона километров линий электропередач, около 500 тысяч подстанций, а также 700 электростанций мощностью более 5 МВт.

Хотя на сегодняшний день проникновение IoT-технологии в российскую энергетику только в самом начале пути, у нас уже есть успешные примеры ее внедрения.

Например, Московская объединенная энергетическая компания совместно с МТС с 2019 года реализует проект мониторинга расхода энергоресурсов на 23 тысячах объектов, а «Т Плюс», «Мосэнерго» и «Татэнерго» активно внедряют системы прогностики состояния оборудования.

Или возьмем ЖКХ, казалось бы, достаточно консервативную сферу. Однако тут смарт-датчики успешно решают главные задачи - мониторят потребление ресурсов и предупреждают аварийные ситуации, причем позволяют снимать показания в любое время.

На нашем рынке работает единая комплексная система ГИС ЖКХ, запущенная по всем регионам России с 2016 года, при этом с начала 2018 года все организации по сбору данных законодательно обязаны передавать в нее информацию. Поэтому граждане могут отслеживать информацию по расходам энергии в режиме реального времени и корректировать потребление.

Сегмент IoT быстро растет и в сфере здравоохранения, особенно в том, что касается онлайн-мониторинга здоровья, помощи в реабилитации, отслеживания сохранности медикаментов. Теперь, когда компактные и не требующие на протяжении многих месяцев подзарядки нательные сенсоры способны замерять активность, продолжительность и качество сна, дыхание, давление, пульс, отслеживание физического состояния в режиме реального времени станет фундаментом для качественных программ лечения и поддержания здоровья, а к 2020 году приведет к росту общей рыночной стоимости интеллектуальной медико-санитарной помощи до $169,3 миллиарда.

По данным аналитиков компании Vodafone, интеграция таких технологий, как облачные сервисы и IoT, позволит сделать отрасль здравоохранения более эффективной и сэкономить до $290 миллиардов. в среднесрочной перспективе только благодаря тому факту, что рекомендации врачей будут соблюдаться пациентами намного тщательнее.

Умные решения, автоматизация и роботизация процессов постепенно изменяют и нишу транспорта, да и в целом логистики. И немудрено: в сфере, где протяженность различных видов транспортных путей переваливает за 1,6 миллиона километров, а количество грузового транспорта составляет уже 7 миллионов единиц, просто невозможно обойтись без систем удаленного мониторинга.

Отслеживание загруженности дорог, контроль перемещения и сохранности грузов, оптимизация навигационных операций, предотвращение износа деталей… На отечественном рынке развивается уже довольно много производителей устройств дистанционного мониторинга транспорта (Omnicom, GALILEO, Naviset, Меркурий, M2M Cyber), а также разрабатывается целый пакет программных продуктов, позволяющих анализировать получаемые данные и оптимизировать затраты и процессы.

Достижения каждой отдельной сферы, ставшие возможными благодаря интеграции интернета вещей, можно рассматривать бесконечно, но именно комплексные IoT-решения позволят дать гражданам по-настоящему умный город, в котором будет оптимизировано все: от видеонаблюдения и управления транспортом до мониторинга экологии и здравоохранения.

Внедрение IoT по инициативе бизнеса

Процесс диджитализации крупных предприятий, функционирующих еще с советских времен, в большинстве случаев не проходит легко: нужно привести всю ИТ-инфраструктуру, стратегию и расходы ресурсов к одному знаменателю. И тут именно IoT позволяет получить всю необходимую для этого информацию, снизить затраты и развить новые источники дохода, то есть получить конкурентное преимущество. Например, снизить задержку отклика системы или повысить ее производительность.

Помимо использования умных датчиков для оптимизации собственной деятельности, бизнес наполняет IoT-устройствами потребительский рынок, который, по прогнозу аналитиков MarketsandMarkets, вырастет до 104,4 миллиарда долларов к 2023 году.

Такой рост обусловлен тем, что благодаря высокой степени проникновения услуг мобильной связи и фиксированного широкополосного доступа в интернет, появилось колоссальное количество потребительских устройств с возможностью подключения к сети и удаленного управления ими.

С развитием таких технологий человечество получило новое качество жизни, избавилось от сомнений в духе «кажется, я что-то не закрыл/не выключил», от ненужных трат, неприятных ситуаций вроде внезапно закончившихся топлива в автомобиле и еды в холодильнике - теперь заботу о вашем ежедневном комфорте можно поручить технологическому прогрессу.

В целом среди всего многообразия потребительских устройств с выходом в интернет аналитики J’son & Partners обозначили четыре группы, предназначенных для оптимального решения повседневных задач:

управление IoT-приборами (смартфоны, планшеты, Smart TV и так далее),
умный дом (смарт-системы управления расходованием ресурсов, системы безопасности, интеллектуальная бытовая техника и другое),
высокотехнологичные носимые устройства (медицинские девайсы, фитнес-гаджеты, носимые камеры с подключением к сети),
потребительские устройства для личного автомобиля (датчики страховой телематики, транспондеры для бесконтактной оплаты проезда).

Как обезопасить интернет вещей

На сегодняшний день нормативное регулирование использования технологий интернета вещей сводится к соблюдению минимальных требований к безопасности. В России сильнее всего законодательные ограничения, связанные с промышленной автоматизацией (закон о критической инфраструктуре, приказ ФСТЭК, ГосСОПКА ФСБ), спровоцированные частыми атаками на промышленный IoT.

Потребительские устройства интернета вещей пока не представляют слишком большой интерес для злоумышленников и, как следствие, защита в этой сфере недостаточно сильна.

В целом IoT-безопасность состоит из четырех компонентов.

Безопасность удаленной связи. Канал связи должен быть защищен шифрованием, двухфакторной аутентификацией и проверкой подлинности, чтобы устройства знали, кому можно доверять, а кто - мошенник.
Защита устройств. Помимо изначальных целостности и надежности программного кода, важно обеспечить защищенность подключенных устройств и в дальнейшем, то есть контроль подключений, защиту от вторжений, анализ потенциальных угроз и так далее.
Контроль функционирования. Следует контролировать устройство даже после прошествия длительного времени с его запуска: своевременно обновлять ПО, контролировать угрозы и учитывать их в новых прошивках.
Контроль взаимодействий в сети. Системы аналитики помогут избежать угроз, поскольку дадут возможность изучить поведение потребителя в сети и вовремя отслеживать аномалии или подозрительную активность.

Из таких «кирпичиков» можно выстроить надежную систему безопасности, которая способна предотвратить или, по крайней мере, ослабить угрозы интернету вещей, будь то непредвиденные нагрузки или же целенаправленные атаки.

Перспективы развития интернета вещей в России

Российские тенденции в сфере IoT в основном отражают международные тренды, но только с некоторым запозданием. Хотя интернет вещей на отечественном рынке проник уже практически во все отрасли, на текущий момент в нашей стране наиболее развит потребительский сегмент рынка IoT (доставка товаров и еды, каршеринг, smart-устройства).

Аналитики J"son & Partners Consulting подсчитали , что к 2022 году объем российского рынка интернета вещей составит около 90 миллиардов рублей (при среднегодовых темпах роста в 12,5%). А вот компания IDC определила основные факторы, сказывающиеся на развитии рынка IoT в России:

формирование государством стратегических инициатив по построению цифровых предприятий,
оптимизация бизнес-процессов,
интеграция информационных технологий с операционной деятельностью компаний,
рост конкуренции внутри индустрий.

Что и говорить, интернет вещей стал важной частью будничной реальности. С его помощью взаимодействие объектов, систем и людей по-настоящему налаживается, ведь именно устройства IoT становятся отправной точкой для внедрения множества других технологий, таких как AI или ML, которые позволяют глубже проанализировать данные и использовать их для повышения качества жизни и формирования умной экосистемы, все более и более благоустроенной для человека.

В соответствии с многоуровневой , можно выделить следующие 3 участка, на которых необходимо обеспечить информационную безопасность:

smart -устройства - «умные» датчики, сенсоры и другими приборы, которые собирают информацию с оборудования и отправляют ее в облако, передавая обратно управляющие сигналы по изменению состояния вещей;
сетевые шлюзы и каналы передачи данных (проводные и беспроводные протоколы);
программные IoT -платформы - облачные сервисы хранения и обработки информации.

Для всех этих компонентов в частности и в целом для IoT-системы актуальны следующие меры обеспечения кибербезопасности:

организационные мероприятия

создание и внедрение единой политики информационной безопасности предприятия с учетом всех приложений и систем Industrial ;
разработка правил безопасного использования IoT-приборов и сетей;
совершенствование законодательного обеспечения неприкосновенности частной жизни и промышленной тайны;
государственная и частная стандартизация и сертификация устройств, каналов передачи данных, хранилищ информации и прикладного ПО по обработке и анализу ;

технические инструменты защиты данных от утечек, потерь и перехвата управления:

шифрование и другие криптографические методы, в т.ч. персонализация IoT-устройств с использованием уникальных идентификаторов ID, MAC-адресов, ключей и сертификатов, обеспечивающих достаточно высокий уровень кибербезопасности без дополнительных затрат ;
гибкие политики управления доступом с многофакторными авторизациями;
резервирование, реплицирование, организация защищенного периметра и другие средства информационной безопасности для , о которых мы уже рассматривали .

Малые данные интернета вещей и потоки в облачной IoT-платформе

Ответственность сторон за кибербезопасность IoT-систем

Разработчики IoT-решений, включая производителей оборудования, могут обеспечить следующие меры кибербезопасности :

использовать современные и надежные инструменты программной разработки (API, библиотеки, фреймворки, протоколы и т.д.) и аппаратные решения (платы, контроллеры и пр.);
сократить количество компонентов, необходимых для работы оборудования, поскольку каждый дополнительный элемент является потенциальным источником различных уязвимостей, в т.ч. физических поломок. Например, добавлять USB-порты следует, только если они действительно нужны для работы smart-устройства.
реализовать безопасную аутентификацию, согласование зашифрованных сеансов и проверку подлинности пользователей;
обеспечить регулярный выпуск обновлений ПО для устранения найденных и потенциально возможных уязвимостей.

Однако, за обеспечение информационной безопасности интернета вещей отвечают не только разработчики его программных и аппаратных компонентов. Поскольку от взлома или потери данных, в первую очередь, страдают пользователи IoT-систем, именно им следует позаботиться о защите своих устройств и приложений . Для этого необходимо выполнить следующие довольно простые манипуляции:

не использовать предустановленные производителем логины и пароли в качестве рабочих - стоит создать новую учетную запись пользователя с ограниченными правами доступа;
установить «сложный» пароль на домашнюю/корпоративную сеть и включить шифрование сетевого трафика;
регулярно обновлять ПО smart-устройств из надежных источников.

Обеспечение информационной безопасности и защиты данных в IoT-системах — ответственность пользователей

Технические средства обеспечения кибербезопасности Big Data в IoT -системах

Создаются и внедряются новые протоколы передачи данных , в частности, становится популярным стандарт 6LoWPAN (IPv6 over Low-Power Wireless Personal Area Networks). Эта сетевая технология позволяет эффективно передавать пакеты IPv6 в небольших фреймах канального уровня (маломощных беспроводных сетях), определенных в беспроводном стандарте IEEE 802.15.4 . Как именно этот протокол и другие сетевые технологии с криптографическими средствами обеспечивают защищенную передачу данных в IoT-системах, мы рассказываем .

Криптографические методы защиты данных успешно работают и в сфере

Стандартизация и сертификация IoT -систем

Несмотря на то, что данная область деятельности неподконтрольна отдельному пользователю IoT-системы, а регулируется отраслевыми гигантами или целыми государствами, она очень важна для конечного клиента — предприятия или физического лица.

В 2016 году Еврокомиссия начала подготовку к вводу обязательной сертификации IoT-устройств. Данное решение было поддержано некоторыми производителями популярных микросхем (Infineon, NXP, Qualcomm, STMicroelectronics), используемых в smart-приборах. Было предложено разработать и внедрить базовые стандарты кибербезопасности интернета вещей . В рамках этой инициативы с мая 2019 года ведется разработка международного стандарта по безопасности интернета вещей - ISO/IEC 30149 (IoT) - Trustworthiness frameworks. Отечественный 194-ый технический комитет Росстандарта «Кибер-физические системы» получил статус соредактора.

Стандарт регулирует доверенность информационной и физической компонентов IoT-систем: надежность, функциональная безопасность, информационная безопасность, безопасность персональных данных, устойчивое функционирование в условиях атаки. Утверждение международного стандарта ISO/IEC 30149 планируется в 2021 году. Параллельно специалисты 194-го комитета Росстандарта также разрабатывают национальный эквивалент международного стандарта, который также планируется утвердить в 2021 году .

Однако, вопросы кибербезопасности интернета вещей волнуют не только государственных чиновников. Вопросами сертификации IoT-систем занимаются и частные компании, а также независимые экспертные сообщества. Например, Online Trust Alliance выпустило IoT Trust Framework — перечень критериев для разработчиков, производителей устройств и поставщиков услуг, который направлен на улучшение безопасности, конфиденциальности и жизненного цикла их IoT-продуктов. Данный документ, прежде всего, ориентирован на бытовые, офисные и носимые IoT-устройства и является основой для нескольких программ сертификации и оценки рисков [ 4 ] .

В 2018 году ICSA Labs, независимое подразделение компании Verizon, запустило программу тестирования безопасности и сертификации интернета вещей. Она проверяет и оценивает следующие компоненты IoT-систем: уведомление/протоколирование, криптография, аутентификация, связь, физическая безопасность и безопасность платформы. Устройства, прошедшие сертификацию, будут отмечены специальным знаком одобрения ICSA Labs, который свидетельствует о том, что они были протестированы, а обнаруженные уязвимости устранены. Также прошедшие сертификацию устройства будут наблюдаться и периодически тестироваться на протяжении всего их жизненного цикла для обеспечения их безопасности [ 4 ] .

Аналогичную программу тестирования и сертификации IoT-продуктов запустила компания UL Cybersecurity Assurance (). Сертификация удостоверяет, что решение обеспечивает разумный уровень защиты от рисков, которые могут привести к непреднамеренному или несанкционированному доступу, изменению или сбою. Также подтверждает, что обновления или новые версии ПО для сертифицированного продукта или системы не снизят уровень его защиты, существующий на момент оценки. Эксперты по IoT-безопасности считают, что наибольшая польза от таких программ сертификации будет достигнута в случае тестирования не отдельного smart-устройства, а всей экосистемы, инфраструктуры, каналов передачи данных, приложений и т.д. [ 4 ] .

Тем не менее, даже наличие сертификатов, подтверждающих соответствие IoT-системы требованиям частных программ, общественных инициатив или международных стандартов информационной безопасности не гарантирует 100%-ную защиту интернета вещей. Также стоит отметить некоторые негативные последствия мероприятий по повышению уровня защиты интернета вещей от взлома и потери данных [ 6 ] :

многофакторные системы аутентификации вводят дополнительные и зачастую неудобные действия для пользователей, что вызывает их раздражение;
сложные криптографические операции и необходимость безопасного хранения данных значительно увеличивают стоимость микросхем;
работы по обеспечению кибербезопасности существенно увеличивают сроки и стоимость создания каждого компоненты IoT-системы.

Сделать безопасным — комплексная задача, нужная всем, от государства до конечного пользователя

О методах и средствах сетевой безопасности интернета вещей читайте в нашей , а современные инструменты защиты больших данных осваивайте на наших практических курсах в специализированном учебном центре для руководителей, аналитиков, архитекторов, инженеров и исследователей в Москве:

DSEC:

HADM:

Источники

, , ,

Навигация по записям

Новое на сайте

Отзывы на Google

Учился на курсе Администрирование Hadoop. Курс вёл Николай Комиссаренко. Отлично подготовленная, продуманная, системная программа курса. Практические занятия организованы так, что у студентов есть возможность познакомиться с реальными особенностями изучаемого продукта. Отключил голову и прощёлкал лабы по книжке - здесь не работает. Преподаватель легко и развёрнуто отвечает на возникающие вопросы не только по теме предмета, но и по смежным. read more

Прошёл курс по администрированию Apache Kafka. Очень понравилась как подача материала, так и структура курса. Только вот времени маловато оказалось... не всё успел доделать, но это уже не к курсу претензии:). Практики было довольно много, и это хорошо read more

Прошёл курс "Hadoop для инженеров данных" у Николая Комиссаренко. Информация очень актуальна и полезна, заставляет задуматься о текущих методах работы с большими данными в нашей компании и, возможно, что-то поменять. Занятия с большим количеством практики, поэтому материал хорошо усваивается. Отдельное спасибо Николаю за то, что некоторые вещи объяснял простым языком, понятным даже для "чайников" в области Hadoop. read more

AWS IoT Device Defender is a fully managed service that helps you secure your fleet of IoT devices. AWS IoT Device Defender continuously audits your IoT configurations to make sure that they aren’t deviating from security best practices. A configuration is a set of technical controls you set to help keep information secure when devices are communicating with each other and the cloud. AWS IoT Device Defender makes it easy to maintain and enforce IoT configurations, such as ensuring device identity, authenticating and authorizing devices, and encrypting device data. AWS IoT Device Defender continuously audits the IoT configurations on your devices against a set of predefined security best practices. AWS IoT Device Defender sends an alert if there are any gaps in your IoT configuration that might create a security risk, such as identity certificates being shared across multiple devices or a device with a revoked identity certificate trying to connect to AWS IoT Core .

AWS IoT Device Defender also lets you continuously monitor security metrics from devices and AWS IoT Core for deviations from what you have defined as appropriate behavior for each device. If something doesn’t look right, AWS IoT Device Defender sends out an alert so you can take action to remediate the issue. For example, traffic spikes in outbound traffic might indicate that a device is participating in a DDoS attack. AWS IoT Greengrass and Amazon FreeRTOS automatically integrate with AWS IoT Device Defender to provide security metrics from the devices for evaluation.

AWS IoT Device Defender can send alerts to the AWS IoT Console, Amazon CloudWatch, and Amazon SNS. If you determine that you need to take an action based on an alert, you can use AWS IoT Device Management to take mitigating actions such as pushing security fixes.

Keeping Connected Devices Secure

Why is IoT security important

Connected devices are constantly communicating with each other and the cloud using different kinds of wireless communication protocols. While communication creates responsive IoT applications, it can also expose IoT security vulnerabilities and open up channels for malicious actors or accidental data leaks. To protect users, devices, and companies, IoT devices must be secured and protected. The foundation of IoT security exists within the control, management, and set up of connections between devices. Proper protection helps keep data private, restricts access to devices and cloud resources, offers secure ways to connect to the cloud, and audits device usage. An IoT security strategy reduces vulnerabilities using policies like device identity management, encryption, and access control.

What are the challenges with IoT security

A security vulnerability is a weakness which can be exploited to compromise the integrity or availability of your IoT application. IoT devices by nature, are vulnerable. IoT fleets consist of devices that have diverse capabilities, are long-lived, and are geographically distributed. These characteristics, coupled with the growing number of devices, raise questions about how to address security risks posed by IoT devices. To further amplify security risks, many devices have a low-level of compute, memory, and storage capabilities, which limits opportunities for implementing security on devices. Even if you have implemented best practices for security, new attack vectors are constantly emerging. To detect and mitigate vulnerabilities, organizations should consistently audit device settings and health.

AWS IoT Device Defender helps you manage IoT security

Audit device configurations for security vulnerabilities

AWS IoT Device Defender audits IoT configurations associated with your devices against a set of defined IoT security best practices so you know exactly where you have security gaps. You can run audits on a continuous or ad-hoc basis. AWS IoT Device Defender comes with security best practices that you can select and run as part of the audit. For example, you can create an audit to check for identity certificates that are inactive, revoked, expiring, or pending transfer in less than 7 days. Audits make it possible for you to receive alerts as your IoT configuration is updated.

Continuously monitor device behavior to identify anomalies

AWS IoT Device Defender detects anomalies in device behavior that may indicate a compromised device by monitoring high-value security metrics from the cloud and AWS IoT Core and comparing them against expected device behavior that you define. For example, AWS IoT Device Defender lets you define how many ports are open on the device, who the device can talk to, where it is connecting from, and how much data it sends or receives. Then it monitors the device traffic and alerts you if something looks wrong, like traffic from devices to a known malicious IP or unauthorized endpoints.

Receive alerts and take action

AWS IoT Device Defender publishes security alerts to the AWS IoT Console, Amazon CloudWatch, and Amazon SNS when an audit fails or when behavior anomalies are detected so you can investigate and determine the root cause. For example, AWS IoT Device Defender can alert you when device identities are accessing sensitive APIs. AWS IoT Device Defender also recommends actions you can take to minimize the impact of security issues such as revoking permissions, rebooting a device, resetting factory defaults, or pushing security fixes to any of your connected devices.

How does AWS IoT Device Defender work

AWS IoT Core provides the security building blocks for you to securely connect devices to the cloud and to other devices. The building blocks allow enforcing security controls such as authentication, authorization, audit logging and end-to-end encryption. However, human or systemic errors and authorized actors with bad intentions can introduce configurations with negative security impacts.

AWS IoT Device Defender helps you to continuously audit security configurations for compliance with security best practices and your own organizational security policies. For example, cryptographic algorithms once known to provide secure digital signatures for device certificates can be weakened by advances in the computing and cryptanalysis methods. Continual auditing allows you to push new firmware updates and redefine certificates to ensure your devices stay ahead of malicious actors.

Continuous compliance and adoption of security best practices

The AWS IoT security team is continuously updating a knowledge base of security best practices. AWS IoT Device Defender makes this expertise available in a service and simplifies the process of establishing and auditing best practices within your AWS IoT environment. AWS IoT Device Defender helps you reduce the risk of introducing security issues during the development and deployment of your IoT application by automating the security assessment of your cloud configurations and device fleets so you can proactively manage security issues before they impact production.

Attack surface evaluation

With AWS IoT Device Defender, you can identify attack vectors applicable to your specific IoT devices. Having this visibility allows you to prioritize eliminating or hardening the relevant system components based on the operational requirements. For example, you can configure AWS IoT Device Defender to detect use of insecure network services and protocols with known security weaknesses. Upon detection, you can plan the appropriate remediation to prevent unauthorized device access or possible data disclosure.

Threat impact analysis

AWS IoT Device Defender can facilitate impact analysis of publicly or privately disclosed attack campaigns on your IoT devices. You can define detection rules in AWS IoT Device Defender based on known indicators of compromise to identify vulnerable devices or devices already compromised. For example, the detection rules can monitor IoT devices for indicators such as network connections to known malicious command and control servers and backdoor service ports open on devices.

Customers

Устройств, подключенных к Интернету вещей, становится все больше. Мировой бизнес находится на пороге всеобщей цифровизации, что делает его более уязвимым для современных угроз безопасности. Воспользуйтесь новейшими технологиями, чтобы оценить уязвимость и риски для компании. Изучите и выберите стратегию по снижению рисков, связанных с угрозами безопасности для IoT-систем.

Миру нужно больше опытных специалистов по кибербезопасности. Навык работы с системами обеспечения безопасности Интернета вещей станет вашим преимуществом. Пройдите курс и станьте специалистом в области сетевой безопасности Интернета вещей в дополнение к имеющимся сертификациям CCENT/CCNA Routing & Switching и CCNA Security. Если вы уже обладаете сертификацией CCNA Cybersecurity Operations, данный курс сделает вас более востребованным специалистом на рынке труда. Вы будете знать, как устроены атаки и как их нейтрализовать.