Пастки безпеки: старі та забуті пристрої Інтернету речей у промисловому використанні. Уразливості семирічної давності все ще актуальні та не виправлені. Коментар експерта з безпеки Томаса Улеманна, ESET.
Інтернет речей (IoT) давно запроваджений у промисловості Німеччини. Згідно з опитуванням Statista, дві третини всіх опитаних компаній вже використовують програми Industry 4.0. Але оператори, схоже, не так серйозно ставляться до ІТ-безпеки пристроїв: у експерта з безпеки Томаса Улеманна немає іншого пояснення того факту, що хакери досягають успіху, використовуючи прогалини в безпеці, які відомі протягом семи або більше років. Насправді всі 10 найпоширеніших уразливостей ESET для пристроїв IoT є витоками з 2015-2012 років.
Без виправлень: давні витоки в IoT
«Інтернет речей пропонує компаніям неймовірні нові можливості. Але якщо ви роками не виправлятимете відомі вразливості, ви ризикуєте втратити більше, ніж хотіли б», — каже Улеманн, фахівець із безпеки ESET Germany. «Крім того, застарілі ІТ-ветерани, такі як Fritz!Fax, все ще використовуються, ймовірно, без виправлень. Тільки в Німеччині більше 3 мільйонів все ще активно використовуються».
Але захист пристроїв часто залишає бажати кращого. Доступ до них можна отримати за допомогою комбінації імені користувача та пароля - немає жодних слідів сучасної багатофакторної автентифікації. Стає справді тривожним, коли ви зустрічаєте тут найгіршу автентифікацію, хто є хто:
«З огляду на поточні успіхи хакерських атак у всьому світі, безпека з нульовою довірою має бути на порядку денному. Ось чому кожну вразливість слід негайно закрити, особливо в пристроях IoT», — рекомендує Томас Улеманн.
Спеціальні групи помилок
В основному експерт бачить чотири серйозні групи помилок, які роблять використання Інтернету речей настільки проблематичним:
- Проблеми безпеки вже в дизайні пристроїв IoT
- Неправильна експлуатація або встановлення людьми
- Використання додатків, які є сумнівними з точки зору закону про безпеку та захист даних
- Небажана або непомічена передача даних із пристрою в Інтернет
«Крім можливих витоків безпеки, багато промислових пристроїв IoT з часом стають небезпечними. Тому що термін їх служби розрахований на роки чи десятиліття – а в плані безпеки, на жаль, багато чого буває. У зв’язку з цим кожна компанія повинна добре подумати, чи під’єднувати ці пристрої до Інтернету в активній мережі і як саме», – каже ІТ-експерт. Його улюбленим прикладом цього є широко використовувана веб-камера. Хоча це не використовується у великих продуктивних операціях, це символ пристрою з тривалим терміном служби. Багато хто досі передає в Інтернет відео з компанії в реальному часі – можливо, навіть забули про це. Натиснувши на нього, ви часто потрапляєте в інтерфейс адміністратора камер. Навіть якщо ви не хочете входити в систему, зловмисник дізнається цінну інформацію, таку як загальнодоступна IP-адреса або чи знаходиться камера та в якому сегменті мережі.
Забуті пристрої становлять загрозу безпеці
Коротко: забуті або неінвентаризовані пристрої становлять серйозну загрозу безпеці. До речі, це дуже часто трапляється, коли згортаються проекти або продаються компанії. Потім це обладнання відходить на другий план і лише потім стає бомбою безпеки.
Компанії повинні враховувати це, коли мають справу з пристроями IoT:
- Використовуйте програмне забезпечення для інвентаризації
- Використовуйте сегменти мережі
- Використовуйте безпечний доступ
- Датчики, виконавчі механізми тощо такі ж важливі, як сервери та ПК
- Оновлення, оновлення, оновлення
- Безпека в дизайні
- Використовуйте додаткове програмне забезпечення захисту
У блозі безпеки експерт також описує, які небезпеки все ще підстерігають, про що слід знати компаніям і як вони можуть допомогти собі.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.