Интересное
Врождённый иммунитет. Как защитить промышленный IoT от киберугроз
Максим Карпухин
Генеральный директор НПО «Адаптивные промышленные технологии» («Апротех»), дочерней компании «Лаборатории Касперского»
Интернет вещей стал одним из главных драйверов Индустрии 4.0. Неудивительно: он позволяет повышать эффективность производства, оптимизировать управление ресурсами и выпускать продукцию более высокого качества. С ним можно строить сквозные цифровые сервисы, помогающие создавать новые бизнес-модели, улучшать производственные процессы и избегать простоев. На этом его заманчивые перспективы не заканчиваются: например, в будущем «умные» фабрики на основе интернета вещей можно будет быстро перенастраивать, чтобы выпускать продукцию по индивидуальным заказам.
При всех преимуществах на пути у массового внедрения IoT в промышленности есть преграды: одна из главных — сложность защиты от кибератак. Устройств и ПО в интернете вещей огромное множество, и привычный антивирус на каждую «вещь» не поставить: это либо тяжело и затратно, либо вовсе не возможно.
Что может стать угрозой для IoT? И можно ли всё-таки защитить эти сложные системы?
Желанный объект
Количество кибератак на объекты интернета вещей из года в год растёт более чем двукратными темпами. В первой половине 2021 года «Лаборатория Касперского» зафиксировала 1,5 млрд попыток взлома своих ресурсов-приманок. В 2020 году таких попыток насчитывалось 639 млн. Лакомой целью злоумышленников при этом становится промышленная инфраструктура. В 2021 году они попытались напасть почти на 40% компьютеров АСУ по всему миру и на 42,3% — в России.
Значительная часть нападений проводится с помощью вредоносного ПО, использующего слабые места систем. Плацдармом для проникновения в информационную сеть предприятия злоумышленники могут сделать уязвимости IoT-устройств. Так, в 2018 году хакеры смогли получить доступ к конфиденциальным данным одного из казино Лас-Вегаса. Точкой входа послужил беспроводной термостат в аквариуме, подключённый к корпоративной сети.
Последствия атак на промышленный интернет вещей (Industrial IoT, IIoT) могут быть гораздо серьёзнее, чем утечка данных. Здесь цифровые инфраструктуры тоже становятся киберфизическими (то есть имеющими выход в реальный мир), и поэтому через них злоумышленники могут получить контроль над системами, управляющими реальными объектами: насосами, реле, двигателями и т. д. В лучшем случае последствием станет снижение производительности, в худшем — авария на производстве.
Способы защиты
Архитектуру интернета вещей можно разбить на несколько составляющих:
.png)
На уровне корпоративных сетей и облачных платформ существуют собственные средства безопасности — межсетевые экраны, EDR, SIEM-системы. Самой уязвимой составляющей IoT становятся устройства. Важно предотвратить проникновение в корпоративную сеть и утечку данных, обеспечить защиту оборудования от кибератак и сделать безопасной передачу данных по каналам связи.
Точкой, в которой оптимальнее всего обезопасить IoT-инфраструктуру от большого количества угроз, является шлюз, соединяющий мир OT (операционных систем) с миром IT (информационных систем). На уровне шлюза можно защитить канал передачи данных от атак типа Man-in-the-Middle, предотвратить взлом подключённых устройств и обнаружить несанкционированные новые подключения.
IoT-инфраструктура подвержена различным видам кибератак, и многие из них можно отразить на уровне шлюза
Надёжный шлюз
Чтобы эффективно защищать IoT-инфраструктуру, шлюз прежде всего должен быть надёжно защищён сам.
Большинство вендоров используют в подобных устройствах операционные системы общего назначения, в которых из-за огромной кодовой базы нельзя вовремя отслеживать уязвимости. Также в традиционных операционках все программы работают в едином адресном пространстве и могут влиять друг на друга. Использовав уязвимости в одном из компонентов, злоумышленник может получить контроль над всей системой. Проектировать максимально защищённые решения на базе подобных ОС очень затратно, а иногда и попросту невозможно.
Решением может стать кардинально новый подход, который позволяет наделять IoT-шлюзы (и другие специализированные устройства) защищённостью на уровне операционной системы. Именно такой кибериммунный подход разработали в «Лаборатории Касперского» с использованием собственной, созданной с нуля операционной системы — KasperskyOS.
Кибериммунитет — подход «Лаборатории Касперского» к разработке IT-продуктов, обладающих «врождённой» защищённостью — способностью противостоять кибератакам без использования дополнительных средств безопасности. Большинство видов атак (как существующих, так и ещё неизвестных) на кибериммунную систему неэффективно и не может повлиять на выполнение ею критических функций. Кибериммунные IT-продукты практически невозможно взломать, в них минимизировано число возможных уязвимостей.
KasperskyOS — операционная система «Лаборатории Касперского», платформа для разработки кибериммунных IT-продуктов. Её исходная безопасность заложена в архитектуре и философии: запускаться и работать может только то, что напрямую разрешено администраторами системы и разработчиками приложений. Уже на этапе проектирования IT-продукта на базе KasperskyOS задаются политики безопасности, которые описывают каждое разрешённое действие. Любое действие, не разрешённое политикой безопасности напрямую, будет заблокировано ещё до выполнения. Продукты на базе KasperskyOS востребованы в отраслях с повышенными требованиями к кибербезопасности, надёжности и предсказуемости работы IT-систем — от индустриального интернета вещей до транспорта, «умных» городов и промышленности.
На базе KasperskyOS в «Апротех» вместе с «Лабораторией Касперского» разработали кибериммунные шлюзы Kaspersky IoT Secure Gateway (KISG) для цифровой трансформации компаний из разных отраслей и направлений — от промышленности до «умных» городов и ЖКХ. Они собирают данные с оборудования, датчиков, различных IoT-устройств и безопасно передают их для обработки и анализа в облачные и локальные платформы.
Оба устройства не только защищены сами, но также защищают данные и инфраструктуру. Шлюз KISG 100 работает как программный дата-диод: передавая информацию лишь в одном направлении (к облаку), он не даёт злоумышленникам подключиться к оборудованию извне. А KISG 1000 обладает функциями защиты всей IoT-инфраструктуры и позволяет удобно управлять всеми своими событиями из единого центра.
С Kaspersky IoT Secure Gateway также можно строить сквозные цифровые сервисы, чтобы лучше анализировать информацию о производстве и повышать его эффективность, не опасаясь при этом за кибербезопасность инфраструктуры и её данных — они защищены на уровне шлюза.
Актуальность киберзащиты промышленности и других отраслей со временем будет только расти. Эффективно отвечать на новые вызовы в области информационной безопасности помогут передовые подходы. Кибериммунитет позволит компаниям брать от технологий максимум и не переживать за их надёжность: они будут выполнять то, что должны, в любых обстоятельствах.