Top.Mail.Ru
СБЕР Про | Медиа
  • ТМТ

Щит и меч. Как защитить промышленный IoT от киберугроз?

Григорий Сизов

Григорий Сизов

директор по развитию бизнеса KasperskyOS
  • 10 мин
  • 3 453

Интернет вещей стал одним из главных драйверов индустрии 4.0. Неудивительно: он позволяет повышать эффективность производства, оптимизировать управление ресурсами и выпускать продукцию более высокого качества. Непрерывный сбор и обработка данных с оборудования позволяют строить цифровые модели, использовать их для оптимизации производственных процессов и предсказывать риски. А в будущем «умные» фабрики на основе интернета вещей можно будет быстро перенастраивать, чтобы выпускать продукцию по индивидуальным заказам.

IoT открывает заманчивые перспективы, но на пути его массового внедрения в промышленности есть преграды: одна из главных — слабая защита от кибератак. При этом использование стандартных средств защиты в большинстве случаев просто невозможно, ведь не существует антивируса для каждой «вещи», как из-за специфики устройств и ПО, работающего там, так и из-за огромного разнообразия. Поэтому в «Лаборатории Касперского» был разработан кибериммунный подход к защите специализированных устройств, в том числе IoT, включая промышленную IoT-инфраструктуру. В чём же заключается суть подхода и потребность в его применении?

Кибериммунитет — новый подход к разработке исходно безопасных IT-решений на основе КаsperskyOS. Такие решения, созданные по специальной методологии «Лаборатории Касперского», по умолчанию защищены от подавляющего числа кибератак (как существующих, так и ещё неизвестных) и будут выполнять свои критические функции даже в условиях агрессивной среды.

Желанный объект

Промышленная IT-инфраструктура — заманчивая цель для хакеров. Ещё в 2019 году были осуществлены попытки кибератак на половину производственных предприятий по всему миру. Большая часть нападений проводится с помощью вредоносного ПО, использующего уязвимости в IoT-системах. По данным IBM, количество атак вредоносом Echobot на АСУ ТП выросло в 2020 году на 2000% в сравнении с 2019 годом.

Интернет вещей — это среда, в которой работают самые различные устройства, и уровень информационной безопасности у них тоже разный. Вот самые распространённые причины слабой защищённости промышленного IoT:

при разработке устройств не учитываются требования кибербезопасности;

устаревшее ПО и недостаточное внимание к программным обновлениям;

передача данных без шифрования;

стандартные заводские настройки безопасности девайсов;

незащищённые интерфейсы;

недостаточная защита облачной инфраструктуры;

уязвимости в ОС общего назначения;

невозможность оснастить многие устройства наложенными средствами безопасности.

Используя уязвимости IoT-устройств, злоумышленники могут сделать их плацдармом для проникновения в информационную сеть предприятия. Так, в 2018 году хакеры смогли получить доступ к конфиденциальным данным одного из казино Лас-Вегаса. Точкой входа послужил беспроводной термостат в аквариуме, работавший под управлением Linux и подключённый к корпоративной сети.

Последствия атак на промышленный интернет вещей могут быть гораздо серьёзней, чем утечка данных, поскольку информационные системы становятся киберфизическими, то есть имеющими выход в реальный мир. Злоумышленники могут получить контроль над системами, управляющими реальными объектами — насосами, реле, двигателями и т. д. В лучшем случае последствием станет снижение производительности, в худшем — авария на производстве.

Способы защиты

Архитектуру интернета вещей можно разбить на несколько составляющих:

  • IoT-устройства (сенсоры, актуаторы и т. п.);
  • IoT-шлюзы;
  • сети передачи данных;
  • корпоративные сети с пользовательскими устройствами и автоматизированными рабочими местами;
  • облачные платформы.

На уровне корпоративных сетей и облачных платформ существуют собственные средства безопасности — межсетевые экраны, EDR, SIEM-системы. IoT-устройства же становятся самой уязвимой составляющей системы в целом. Важно предотвратить проникновение в корпоративную сеть и утечку данных, обеспечить защиту устройств от кибератак и сделать безопасной передачу данных по каналам связи. Точкой, в которой оптимальнее всего обезопасить IoT-инфраструктуру от большого количества угроз, является шлюз. На его уровне можно защитить канал передачи данных от атак типа man-in-the-middle, предотвратить взлом подключённых устройств и обнаружить несанкционированные новые подключения.

IoT-инфраструктура подвержена многим видам кибератак, и многие из них можно отразить на уровне шлюза

Виды угроз

Доступ к локальной сети:

  • перехват коммуникаций;
  • MITM — перенаправление IP-трафика атаками сетевого уровня (пример — ARP poisoning) или изменением настроек DNS;
  • прямое подключение к устройству или нахождение устройства через SSDP/UPNP;
  • неавторизованный уровень и запуск приложений.

Доступ к устройству:

  • физическое подключение через внешние интерфейсы, перепрошивка;
  • проникновение на этапе производства;
  • изменение конфигурации, смена пароля, подделка сертификата SSL;
  • физическое подключение через внешнее вредоносное ПО;
  • замена SIM-карты.

Удалённый доступ:

  • поиск устройств через открытые порты;
  • поиск уязвимостей устройства;
  • перехват коммуникаций;
  • man-in-the-middle;
  • неавторизованный доступ и исполнение приложений;
  • социальный инжиринг;
  • spear phishing;
  • вредоносное ПО;
  • уязвимости браузера;
  • уязвимости LAN;
  • недоверенные приложения;
  • MITC: Man in the cloud;
  • деперсонализация;
  • закладки в дизайне;
  • переполнение буфера;
  • инъекция SQL;
  • эскалация привелегий;
  • дополнительный канал;
  • DDoS.

Надёжный шлюз

Чтобы эффективно защищать IoT-инфраструктуру, шлюз прежде всего должен быть надёжно защищён сам. Большинство вендоров используют в подобных устройствах операционные системы общего назначения, такие как Linux или Windows. Недостаток этих ОС с точки зрения информационной безопасности — огромная кодовая база, которая не позволяет вовремя отслеживать уязвимости. Также в традиционных операционках все программы работают в едином адресном пространстве и могут влиять друг на друга. Использовав уязвимости в одном из компонентов, злоумышленник может получить контроль над всей системой. Проектировать максимально защищённые решения на базе подобных систем очень затратно, а иногда и попросту невозможно.

Подход «Лаборатории Касперского» заключается в использовании в промышленных шлюзах собственной, написанной с нуля операционной системы. Первым устройством на базе KasperskyOS стал созданный компанией в сотрудничестве с дочерним предприятием «Апротех» кибериммунный шлюз Kaspersky IoT Secure Gateway (KISG) 100. Собранные с промышленного оборудования данные он передаёт для обработки и анализа в облачную платформу Siemens MindSphere. Сейчас проходит стадию пилотирования вторая модель в линейке кибериммунных шлюзов — KISG 1000. Он тестируется не только в промышленности, но и в инфраструктуре «умного» города, также основанной на технологии интернета вещей.

KasperskyOS — это специализированная ОС, при проектировании которой использовались современные архитектурные подходы. Она имеет компактное ядро, что сокращает поверхность атак. Все функциональные компоненты находятся в изолированных доменах, а все взаимодействия между ними контролируются выделенной подсистемой безопасности. ОС может применяться и в телекоме, и в электронных блоках для «умных» автомобилей и в других областях, где важна надёжность и предсказуемость работы.

Актуальность киберзащиты как промышленности, так и других отраслей со временем будет только расти. На новые вызовы в области информационной безопасности можно будет эффективно отвечать, только используя наиболее передовые подходы.

Эта статья была вам полезна?

Читайте ещё