You are missing some Flash content that should appear here! Perhaps your browser cannot display it, or maybe it did not initialise correctly.
самые оперативные новости IT и телекоммуникаций
19:16 | 11.10.2018

Автор: Шатилин Илья

Дмитрий Казаков, Cisco: «Простыми средствами можно вывести из строя комплексные сети корпораций»

Интернет вещей все ближе, а вопросы его безопасности становятся все более актуальными. О том, что делается в отрасли в этом направлении, рассказал Дмитрий Казаков, инженер-консультант в области кибербезопасности Cisco.

— Программы-вымогатели WannaCry и Nyetya показали, насколько не защищены сети корпоративного сектора. Как продолжать работать после таких потрясений и уберечься от ИБ-паранойи в дальнейшем?

— Программы-вымогатели WannaCry, Netya, Bad Rabbit, также как и программы класса Destruction of Service, например, Olympic Destroyer, показывают, что иногда простыми средствами можно вывести из строя комплексные сети корпораций, не говоря уже об обеспечении работы критической инфраструктуры. Стоит отметить, что успешная волна атак программ-шифровальщиков выявила множество недостатков в обеспечении информационной безопасности корпораций, а также в самом подходе к защите от данного рода угроз. Так, многие недооценивали необходимость четкой ролевой сегментации, управления уязвимостями, необходимость применять системы не только сигнатурного, но и поведенческого анализа с использованием алгоритмов машинной логики. Отмечу, что зачастую применялись устаревшие подходы к пограничной защите сегментов и полностью игнорировались внутрисетевые активности. Не учитывались механизмы интеграции с сетью не только для обеспечения своевременного обнаружения угроз, но и возможности эффективного оперативного реагирования на них, что могло бы существенно снизить урон от таких атак.

Стоит отметить, что информационная безопасность – это постоянный процесс, который невозможно решить, купив одну-две дорогие «коробки». Только комплексный, архитектурный подход и взвешенный анализ рисков (а не паранойя), а также следование практикам и рекомендациям последовательно для всех элементов инфраструктуры, принятие требований информационной безопасности как нормальной культуры и, что немаловажно, наличие квалифицированных специалистов могут дать реальный результат в борьбе с современными угрозами, защитить бизнес и обеспечить его непрерывность.

— В последние годы активно развивается направление носимых устройств, в том числе очков виртуальной реальности и т.д. Насколько сложно обеспечить безопасность в этом сегменте?

— Безопасность носимых устройств – это тренд, развивающийся уже довольно давно. Он начался с концепции Bring Your Own Device в корпоративном сегменте, когда с целью обеспечения гибкости бизнеса и производительности сотрудников требовалось обеспечить безопасный доступ в корпоративную среду с личных устройств. С развитием BYOD встал вопрос контроля и учета доступа устройств, оценки их состояния и соответствующий ролевой доступ к корпоративным приложениям как по беспроводной сети, так и через VPN для удаленных сотрудников. Ролевой доступ обеспечивается соответствующими системами контроля и учета (например, Cisco Identity Services Engine), которые могут предоставлять различные ролевые права доступа (не все готовы дать личному устройству доступ ко всей корпоративной сети).

Вторым аспектом стала сохранность корпоративных данных, хранимых и обрабатываемых на личных устройствах сотрудников. Для обеспечения безопасности этой информации применяются решения класса MDM,  которые интегрируются с системами контроля доступа в сеть.

Третий аспект – это защита от вредоносного кода и угроз на мобильных платформах, особенно тех, что находятся вне защищаемой сети и не подключены к корпоративному Wi-Fi. Здесь важно иметь глобальную облачную систему защиты, которая работает везде и защищает устройство независимо от того, смартфон это, турникет в метро или очки виртуальной реальности. Защиту на уровне базового и стандартного протокола DNS можно обеспечить облачными системами класса SIG (Secure Internet Gateway) – например, Cisco Umbrella. С точки зрения защиты от вредоносного кода не менее важно иметь систему защиты в облачном исполнении, доступную для мобильных устройств, даже не подключенных к корпоративной сети. Эта система должна иметь не просто классические функции антивируса, но применять возможности машинного обучения, видеть все транзакции и операции на устройствах и обеспечивать быстрое блокирование угроз на всей базе защищаемых устройств вне зависимости от их месторасположения. Примером такого решения является Cisco AMP for Endpoints (в том числе Cisco Clarity для Apple iOS).

— Какие инциденты в сфере кибербезопасности, связанные с IoT,  за последний год можно выделить особенно?

— Одной из самых заметных за последнее время атак в мире IoT, выявленных экспертами по безопасности Cisco Talos, является VPNFilter (май 2018) (https://blog.talosintelligence.com/2018/05/VPNFilter.html). Эта атака использовала модульный код, схожий с BlackEnergy. Данный вредоносный код, по нашим оценкам, поразил более 500 000 IoT- устройств минимум в 54 странах, в том числе домашние маршрутизаторы и сетевые накопители. Вредоносное ПО может красть данные, обеспечивать мониторинг коммуникаций протокола Modbus и выводить пораженные устройства из строя.

Также можно отметить инцидент с обнаруженным вредоносным ПО TRITON, нацеленным на контроллеры Triconex Safety Instrumented System (SIS). Тут масштабных инцидентов удалось избежать ввиду раннего обнаружения данного кода и последовавшей остановки контроллеров. В случае успеха эта атака могла отключить технологические процессы, допустить функционирование устройств за пределами безопасного состояния, привести к работе контроллера за пределами допустимых режимов и привести в конечном счете к выходу из строя оборудования.

— С переходом на технологии 5G насколько увеличиваются риски в сфере IoT?

— В эпоху 5G мы ожидаем многократное расширение ландшафта угроз. К этому приведет значительный рост IoT-устройств, а ввиду дополнительной виртуализации сервисов увеличивается еще и сложность сетевых подсистем 5G (слайсинг и виртуализация). В данных реалиях традиционные системы защиты становятся не только ограниченными в возможностях, но также и избыточно сложными и дорогими. Многие сегодняшние системы безопасности недостаточно сильно связанны с сетью, что приведет к соответствующим ограничениям при переходе на 5G.
Один из наиболее популярных видов атак на IoT – это создание ботнетов, в том числе для дальнейшего запуска мощных DDOS-атак, которые могут влиять на доступность многих популярных сервисов глобальной сети (вспомним тот же Mirai и другие крупнейшие ботнеты, вроде Brickerbot и Hajime). В последнее время злоумышленники сконцентрировались на атаках, направленных на уровень приложений в IoT-устройствах.

— Насколько искусственный интеллект и машинное обучение способны изменить представление о борьбе с киберугрозами в сегменте Интернета вещей?

— Текущие угрозы значительно усложнились по набору используемых векторов проникновения, сокрытия и распространения. В таких условиях использование классических систем сигнатурного анализа становится всё менее эффективным. Сегодня в системах информационной безопасности активно применяются алгоритмы машинной логики, статистического моделирования и искусственного интеллекта. Они дополняют классические методы обнаружения, давая возможность выявлять угрозы и уведомлять операторов ИБ о необычной или неизвестной вредоносной активности. Со временем алгоритмы искусственного интеллекта и машинной логики в ИБ будут совершенствоваться, всё больше задействуя методы облачной аналитики с обработкой больших массивов данных.

— Организации какого уровня эффективнее отражают атаки на устройства IoT — SMB или крупные компании?

— Учитывая специфику организаций, крупные компании имеют больше ресурсов для обеспечения информационной безопасности – финансовых, кадровых и т.д. Предприятиям малого и среднего бизнеса зачастую сложно создать действенный механизм безопасности, поэтому мы предлагаем им возможности ИБ как услуги и т.д.

— Интернет вещей – это еще и умный дом, какие риски могут подстерегать человека в этом пространстве?

— Давайте объединим концепции умного дома или умного офиса в концепцию умного здания. Здесь используются возможности автоматизации, доступных контроллеров, открытых программных интерфейсов и адаптированных аппаратных платформ для повышения бытового комфорта, эффективности работы, экономии воды (электроэнергии), мониторинга, учета, прогнозирования и так далее. Но стоит понимать, что автоматизируя электроснабжение (водоснабжение) и другие важные системы, в случае кибератаки можно столкнуться с внезапным отключением электроэнергии или удаленным контролем кондиционирования, что может привести к самым неприятным последствиям. К сожалению, часто системы автоматизации умного дома не используют зашифрованный обмен данными, при их создании не учитываются практики информационной безопасности.

Это следствие того, что порой производители этих систем, чтобы поскорее занять нишу на рынке, жертвуют информационной безопасностью уже на стадии разработки продуктов. Это делает данные устройства крайне уязвимыми для атак. Таким образом, именно системы IoT (в том числе и умный дом как подкласс) станут одними из наиболее атакуемых в ближайшие годы. Касательно решений потребительского рынка IoT-устройств, основной рекомендацией, не включающей использование специализированных технических средств защиты, может служить установка своевременных обновлений программного обеспечения данных устройств, смена паролей по умолчанию и отключение ненужных учетных записей, помещение этих устройств в закрытый контур с удаленным доступом только через VPN и отсутствие прямого доступа к системам через Интернет. 

— На какой сектор, по прогнозам Cisco, будет больше всего атак в ближайшие годы? Какие отрасли  несут наибольшие финансовые потери?

— Атаки – это в первую очередь бизнес, поэтому злоумышленники выбирают наиболее выгодных в финансовом плане жертв. Наиболее выгодным для злоумышленников является класс атак, который вследствие мошенничества приведет к неавторизованной финансовой транзакции (компрометация бизнес-почты или Business email compromise (BEC). Если же рассматривать организации, которые несут в случае компрометации наибольшие финансовые потери, то тут можно смело называть крупные производственные предприятия, поскольку обыкновенный простой производственной линии мгновенно несёт как прямые, так и косвенные убытки – например, огласка в прессе провоцирует падение акций на рынке и репутационные издержки.

— Сегодня все больше сотрудников имеют возможность работать удаленно, и вне зависимости от того, где сотрудник работает — в корпоративной или домашней сети с личного устройства — необходимо обеспечить безопасность данных.  Возможно ли создать условия для всесторонней защиты?

— Задача защиты удаленных пользователей – комплексная. Она дополнительно усложняется тем, что их устройства, как правило, личные, не постоянно подключены к корпоративной сети и не используют VPN для защиты вне кампуса.

Тем не менее создание безопасного удаленного доступа — задача решаемая. Например, в Cisco удаленная работа является нормой, безопасность информации сотрудников и корпоративных данных обеспечивается комплексом мер и средств, которые я уже описывал: во-первых, это обеспечение ролевого, сегментированного доступа в корпоративную сеть; во-вторых, оценка состояния подключающегося устройства и опциональная защита контейнера данных приложений, содержащих корпоративную конфиденциальную информацию (при использовании MDM); в-третьих, возможности защиты на уровне сети и DNS пользователей от угроз независимо от их подключения к корпоративной сети через VPN с возможностью применения корпоративных правил информационной безопасности (Cisco Umbrella); в-четвертых, защита ноутбуков сотрудников и их мобильных устройств от вредоносного кода с использованием решений облачной модели развертывания для возможности защиты устройств при отсутствии их подключения к корпоративной сети.

Данный список мер можно продолжать довольно долго в зависимости от модели угроз конкретного заказчика и степени возможного проникновения внутрь личного устройства сотрудника.

— Какие технологии в области IoT особенно актуальны в России?

— В производственных секторах, таких как нефтяная промышленность, активно развиваются системы автоматического сбора телеметрии c низким энергопотреблением, в том числе с использованием индустриальных беспроводных технологий, а также технологии LoRA. Очень востребованы в производственной сфере, в горнодобывающей промышленности и на транспорте в рамках решений «умный» город IoT-решения в области обеспечения физической безопасности. 

Источник: "TelecomDaily"

Комментировать Комментировать
Средний рейтинг
Оценить статью
13:01 | 13.08.2018
Резидент фонда «Сколково» — компания Texel — разработала технологию цветного сканирования людей, которая не имеет аналогов. Российские специалисты создали сканер, с помощью кот...
: :
09:29 | 08.08.2018
Развитие рынка телемедицинских услуг за последние пару лет в России резко набрало обороты. Страховые компании держат руку на пульсе и, по аналогии с западными коллегами, запускают все больше услуг для...
: :
10:12 | 01.07.2018
В конце прошлого года на рынке б/у гаджетов появилась чуть ли не первая ритейлерская сеть, основанная владельцами компании СarPrice, сети аукционов по продаже поддержанных машин. Новый ритейлер, Smar...
: :
Популярные новости