Jak zabezpečit IoT a jak před ním ochránit svou síť

Podle údajů společnosti Kaspersky narostly útoky na IoT zařízení v první polovině roku 2019 meziročně devítinásobně – za 12 milionů na 105 milionů útoků z 276 000 jedinečných IP adres.

Jak zabezpečit IoT a jak před ním ochránit svou síť



Útoky na IoT rostou rychleji než počet samotných připojených zařízení. Jakmile dojde k průniku do zařízení, stane se obvykle součástí botnetu, který lze následně zneužít ke spuštění DDoS nebo jiného typu útoku. Již jsme viděli několik takových malwarových útoků jako Mirai, Gafgyt, Hajime, Amnesia, Persirai, Remaiten, NyaDrop. Alternativně se malware na IoT zařízeních, jako jsou domácí kamery, používá ke shromažďování soukromých informací o spotřebitelích, které se pak zneužívají – například se prodávají na dark webu, nebo slouží k vydírání uživatele atd.

IoT zařízení: Cenný cíl pro hackery

Co dělá z IoT zařízení oblíbený cíl hackerů a dalších útočníků? V první řadě je to prostě jejich počet. Podle některých odhadů je na celém světě již nasazeno asi 10 miliard zařízení internetu věcí, což v příštích pěti letech vzroste na více než 25 miliard. To jsou asi čtyři zařízení na každého člověka na Zemi.

Škála těchto zařízení a nenápadná umístění nebo mód jejich nasazení vede ke stavu „sejde z očí, sejde z mysli.“ To útočníkům poskytuje jedinečnou živnou půdu pro zneužívání. Většinu zařízení používají lidé, kteří nejsou dostatečně informováni o online bezpečnostních hrozbách nebo nemusí být dostatečně opatrní. Jakmile jsou tato zařízení rozmístěna, jsou tak obvykle ponechána, dokud nedojde k nějaké katastrofě.

Jak tedy IoT zařízení ochráníme?

Pro zodpovězení této otázky je důležité nejprve pochopit, jak jsou IoT zařízení ohrožena. Nejjednodušší způsob, jak k nim mohou hackeři získat přístup, je hrubou silou pomocí metody pokus omyl: přihlášení do těchto zařízení pomocí sady nejčastěji používaných výchozích uživatelských jmen a hesel známých mezi výrobci zařízení.

Druhým nejčastějším vstupním bodem jsou pro hackery známé chyby zabezpečení v zařízeních, jejichž firmware nebyl aktualizován.

Třetím nejčastějším vstupním bodem je slabé nebo žádné ověření. Tyto autentizační mechanismy by mohly být jednoduché jasné textové heslo nebo slabé kryptografické algoritmy, které lze snadno rozbít brute-force metodami. Další oblíbenou metodou jsou skrytá zadní vrátka, které výrobci do zařízení obvykle dávají pro účely zákaznické podpory.

Abychom se ujistili, že chráníme zařízení a útoky, které z nich vycházejí, měli bychom na problém nahlížet dvěma způsoby. První zahrnuje to, jak posílíme zabezpečení samotných zařízení internetu věcí. Nejběžnějším ochranným mechanismem proti výše uvedeným zranitelnostem je udržování hygieny:

  1. Před připojením zařízení k síti změňte výchozí uživatelské jméno a heslo.
  2. Sledujte aktualizace firmwaru publikované výrobcem a instalujte je hned, jak jsou dostupné.
  3. Zajistěte, aby všechny aktualizace softwaru/firmwaru IoT zařízení byly zabezpečeny pomocí kombinace kontrolního součtu, šifrování a důvěryhodného zdroje aktualizace.
  4. Pro autentizaci použijte dvoufaktorový autentizační mechanismus se silnými kryptografickými algoritmy.
  5. Buďte si vědomi jakýchkoli skrytých zadních vrátek a zajistěte je pomocí silné autentizace nebo je zcela zavřete.
  6. Nasazujte síťové politiky tak, aby IoT zařízení mohlo komunikovat pouze s omezenou sadou služeb v síti.
  7. Restartujte zařízení, kdykoli máte pocit, že se chová podivně.

Jak zabezpečíte zařízení, zabezpečte síť

Pokud máme IoT zařízení v rámci možností co nejlépe zabezpečené podívejme se na zabezpečení sítě před potenciálními útoky z kompromitovaných IoT zařízení. Bez ohledu na to, jak zařízení zabezpečíme, jejich samotný počet a rozmanitost znamenají, že vždy budou některá zranitelná – ta, která neodpovídají nejnovějšímu bezpečnostnímu postoji/politice. To stačí na to, aby se společně stala větší hrozbou.

Hlavní hrozbou pro síť a služby hostované v síti je škodlivý provoz z IoT zařízení, která jsou součástí botnetů. Pokud dokážeme z kompromitovaných zařízení odfiltrovat škodlivý provoz, máme řešení. Nejjednodušší způsob, jak toho dosáhnout, je vytvořit black list obsahující záznamy, jako jsou IP adresa, URL atd., které potřebujeme sledovat a tyto pakety filtrovat. To v zásadě vytváří na základě historických údajů o útocích tzv. threat intelligence, kterou lze aplikovat na pakety v kritických bodech sítě pomocí zařízení, jako jsou firewally nebo systémy ochrany proti narušení.

Vytváření threat inteligence je však ve srovnání s nárůstem IoT zařízení poněkud pomalý proces. Abychom zůstali před hrozbami o krok napřed, musíme použít strojové učení (např. pomocí klasifikačních algoritmů) k dynamické identifikaci určitých vzorců dat, které mohou být pro síťové služby potenciálně škodlivé.

Pokud například zjistíme, že jedinečný vzorec dat (který obvykle není na našem black listu s informacemi o hrozbách) vychází z více zdrojových IP adres v síti směrem ke konkrétní cílové IP adrese, pak by to mohlo potenciálně ukazovat na koordinovaný DDoS útok, který může vycházet z více IoT zařízení směrem ke konkrétní službě.

Na náhodně vybrané sadě paketů by mohl být použit náhodný klasifikační algoritmus pro identifikaci takového jedinečného vzoru dat. Tento útok může být velmi krátkodobý a dynamický, proto je relativně statický black list nepoužitelný. A10 Networks to řeší pomocí funkce ZAP (Zero-day Automated Protection) v produktové řadě Thunder Threat Protection System (TPS).

Dalším důležitým způsobem, jak omezit potenciální útoky z IoT zařízení, je použití spravovaných připojení. V této metodě využíváme skutečnosti, že zařízení jsou určena pro konkrétní typ služby s předem určenou sadou aplikačních serverů, a omezujeme pakety generované těmito zařízeními na pouze předem určené sady cílových serverů.

Pokud například pomocí IoT zařízení sledujeme všechna veřejná parkovací místa v chytrém městě, pakety z těchto zařízení mají povoleno jít pouze na aplikační server parkovacích zařízení, který poskytuje informace o volném parkovacím místě mobilní aplikaci. Pokud tato IoT zařízení generují jakýkoli druh škodlivého provozu směrem k jakýmkoli jiným službám, bude tento provoz přerušen sítí a poskytovateli parkovacích služeb bude zasláno příslušné upozornění, aby mohl podniknout nápravná opatření. To by mohlo být tak jednoduché, jako je restartování zařízení.

Využití edge computingu

Nově používaná edge computing prostředí nám poskytují další vrstvu ochrany před útoky přicházejícími z IoT zařízení. V posledním desetiletí pokrok výpočetního výkonus kutečně předčil vývoj v propustnosti sítí. Jinými slovy, je levnější poskytovat výpočetní kapacitu tam, kde se data nacházejí než přesouvat kousky dat tam, kde existuje výpočetní kapacita. Většina dat je generována zařízeními nebo uživateli na periferii sítě.

Pokud tedy poskytneme dostatečnou výpočetní kapacitu na okraji sítě, můžeme zpracovat většinu dat tam a přesouvat po síti pouze agregovaná nebo kritická data. Když do edge computingového prostředí přidáme dostatek funkcí ochrany před narušením, dokážeme z něj odfiltrovat většinu škodlivého provozu ze zařízení k němu připojených. To nám umožní poskytovat distribuovanou a vrstvenou ochranu sítě a služeb.

Stručně řečeno, IoT zařízení nám poskytují širokou škálu zajímavých schopností a služeb, což se s příchodem 5G ještě rozšíří. Je však velmi důležité nejen zabezpečit samotná zařízení skrze správnou bezpečnostní hygienu, ale také ochránit síť pomocí threat intelligence, strojového učení a využíváním spravovaných připojení. Nárůst edge computingu nám pak dovolí využít těchto prostředí k rozšíření ochrany před narušením na okraji, kde se všechna tato zařízení připojují.

Autor: Ravi Raj Bhat, CTO A10 Networks
Překlad a úpravy: Jan Mazal, VPGC - www.vpgc.com

Zdroj: A10 Networks – A Strong Security Posture is Critical for IoT - https://www.a10networks.com/blog/strong-security-posture-is-critical-for-iot/


Redakce nenese zodpovědnost za správnost a platnost uvedeného textu. Obsah vkládají distributoři a výrobci.








Úvodní foto: VPGC

Komentáře