Апаратне забезпечення, підключене до Інтернету речей (IoT), може отримувати та пересилати не лише дані, але й команди чи шкідливий код під зовнішнім контролем. Існуючі датчики не повинні бути сліпими плямами в ІТ-безпеці. Шість порад щодо виявлення та аналізу атак з Інтернету речей.
Менеджерам з ІТ-безпеки потрібні методи захисту, які можуть виявляти, аналізувати та відбивати атаку, наприклад, за допомогою IP-камери чи інших датчиків. Будь-хто, хто бачить результуючий мережевий трафік, може блокувати атаки на ранній стадії або швидко стримати їх у надзвичайних ситуаціях. Network Detection and Response (NDR) є частиною комплексної системи кіберзахисту, також для компаній середнього розміру.
Велика кількість мережевих пристроїв IoT є небезпекою
Мережа через пристрої IoT постійно зростає. У грудні 2021 року експерти IoT Analytics припустили, що до кінця року кількість активних кінцевих точок у всьому світі зросте на дев’ять відсотків до 12,3 мільярда пристроїв. Таким чином, у 2025 році загальна кількість підключень перевищить 27 мільярдів. Промислові та медичні компанії все частіше впроваджують пристрої, підключені до центральної корпоративної мережі. Навіть малі та середні компанії дедалі більше відкриваються для Інтернету – часто без відповідного плану ІТ-безпеки та лише з невеликими ресурсами захисту.
Шлюз до Інтернету речей
Обладнання IoT є привабливою мішенню для хакерів: вони захоплюють IP-камери, підключені до мережі компанії, для створення ботнетів, а потім використовують їх для здійснення атак типу «відмова в обслуговуванні». Широко поширеною небезпекою є приватний маршрутизатор або інші пристрої IoT у домашньому офісі. Зловмисники можуть використовувати їх для отримання доступу до центральної ІТ-інфраструктури компанії. Зрештою, навіть невеликі прогалини відкривають двері та ворота для далекосяжних хакерських дій.
Існують різні причини, чому датчики та апаратне забезпечення IoT є слабким місцем захисту ІТ: багато адміністраторів часто не знають, які пристрої є частиною їхньої мережі. Крім того, компанії використовують пристрої до тих пір, поки вони якось працюють - довше, ніж задумав виробник. Якщо виробники більше не підтримують такі системи, ці пристрої стають прогалиною в безпеці, особливо тому, що користувачі часто не оновлюють пристрої. Якщо взагалі є якісь оновлення.
Перевірте трафік на наявність аномалій
Негайний доступ до пристроїв Інтернету речей потрібен для виявлення та захисту від обміну командами між датчиком і командно-контрольним сервером або бічних рухів зі зловмисними цілями на ранній стадії. Якщо пристрої мають IP-адресу та є частиною мережі компанії, NDR може бачити та оцінювати трафік IP-відеокамери, датчика у виробництві або інтелектуального дверного замка.
Відбиток ненормального зв’язку з керованими IP-пристроями IoT чітко виділяється серед звичайного трафіку даних: датчики у виробництві, наприклад, регулярно доставляють невеликі пакети до центральних систем і додатків у безпечній стандартній роботі та майже ніколи не отримують пакети даних назад – від оновити крім цього. З іншого боку, жодні дані не повинні передаватись назовні, якщо постачальник не хоче надіслати дані партнеру. Однак аналіз мережевого трафіку, навчений штучним інтелектом і машинним навчанням, розпізнає непередбачені процеси та подає тривогу.
Шість порад щодо захисту від атак з боку Інтернету речей
1. Сегментувати корпоративні мережі
Пристрої IoT повинні рухатися у власній мережі. Гостьової мережі достатньо для збору та пересилання даних на місці. Доступ до такої мережі або явні шаблони трафіку даних між IoT і центральною мережею можна буде ефективно побачити та відстежувати.
2. Нульова довіра як основний захист
Доступ до пристрою IoT не можна дозволяти без прапорця. Цей контроль доступу за замовчуванням забезпечує негайну безпеку та запобігає неконтрольованому зростанню обладнання IoT із доступом до мережі.
3. Віртуальний патч
Віртуальний патч у брандмауері програми допомагає контролювати трафік до мережі неоновлюваних або керованих пристроїв IoT. Вони вирішують існуючі проблеми безпеки шляхом блокування на рівні брандмауера.
4. Тривога повинна супроводжуватися негайними діями
Аномальні шаблони трафіку даних у мережі повинні викликати контрзаходи через брандмауери, антивірус, виявлення кінцевих точок і реагування або керування ідентифікацією. Системи блокування або автоматичне резервне копіювання моментального знімка, коли підозрювана атака виникає вперше та під час підготовки, є автоматизованими негайними заходами для запобігання збитку.
5. Побудуйте комплексну стратегію захисту
Виявлення мережі та реагування: так стають видимими атаки, які починаються через Інтернет речей (Зображення: ForeNova).
Якщо ІТ-системи не є частиною мережі компанії, ІТ-адміністратори теоретично можуть інсталювати датчик NDR локально, що спричиняє великі витрати та адміністративні зусилля. Тому інші технології безпеки відіграють важливу роль, наприклад, для некерованого домашнього маршрутизатора: клієнт EDR забезпечує негайний захист цієї кінцевої точки.
6. Аналізуйте події, щоб запобігти завтрашнім атакам
Якщо NDR відбив атаку за допомогою інших технологій, аналіз інциденту відіграє важливу роль у ліквідації розриву та запобіганні наступним атакам. Шляхи атаки, які мережеве виявлення та реакція фіксує на часовій шкалі до та ззовні та всередині системи у дзеркалі всього трафіку даних, залишаються видимими. Штучний інтелект і машинне навчання також створюють нові шаблони атак трафіку, які можуть вказувати на атаку IoT і допомагати в майбутньому пом’якшити наслідки.
Розпізнавати сліди в трафіку даних
Небезпека від Інтернету речей швидко долає ІТ-команди з невеликими людськими та технічними ІТ-ресурсами. Але кожного разу, коли IoT є відправною точкою для атаки на центральну ІТ-інфраструктуру з системами, програмами та знаннями компанії, ці події відображаються на трафіку даних. Network Detection and Response, яка розробляє звичайні моделі трафіку на основі штучного інтелекту, машинного навчання та аналізу загроз, сповіщає про аномалії та вживає автоматичних контрзаходів. Такий захист зараз доступний для малих і середніх компаній.
Більше на Forumova.com
Про ForeNova ForeNova — американський спеціаліст із кібербезпеки, який пропонує компаніям середнього розміру доступні та комплексні засоби виявлення та реагування на мережу (NDR) для ефективного пом’якшення збитків від кіберзагроз і мінімізації бізнес-ризиків. ForeNova керує центром обробки даних для європейських клієнтів у Франкфурті. M. і розробляє всі рішення, сумісні з GDPR. Європейська штаб-квартира знаходиться в Амстердамі.