О рисках IoT-устройств и умного дома говорят практически все эксперты ИБ. Но «примерить» и осознать риски для своих гаджетов – задача нетривиальная. Для этого группа экспертов из британской некоммерческой организации Which? совместно с NCC Group и специалистами «Глобального киберальянса» (Global Cyber Alliance, GCA) поставила наглядный эксперимент.
Исследователи создали имитацию системы умного дома, интегрировав в нее телевизоры, термостаты, принтеры, чайники, камеры видеонаблюдения и другие приборы. Все устройства были подключены к сети Интернет и осуществляли мониторинг киберугроз и инцидентов ИБ и фиксацию попыток атак.
Результаты эксперимента оказались впечатляющими:
-
Поток нападений на тестовый умный дом достигал 14 попыток атак в час (включая брутфорс, сканирования и т.д.) и порядка 10 000 атак за неделю. Причем их количество выросло с немногим более 1 тысячи уникальных попыток в первые недели эксперимента до почти 13 тысяч через месяц сетевой видимости устройств.
-
Из наиболее заметных успешными атаками оказались компрометация видеокамеры и попытка шпионажа с ее помощью за домом, включение устройств в ботнет Mirai.
-
Большая часть нападений пришлась на принтеры Epson, систему видеонаблюдения ieGeek.
-
География источников атак была обширна: США, Индия, Нидерланды, Китай, Россия. Но она не ограничивается этим списком с учетом того, что детектируемым источником атаки может являться как VPN-шлюз, так и другое умное устройство.
Эксперимент показал, что любое устройство, подключенное к сети Интернет, подвергается массовой бомбардировке сканирующими и целевыми атаками. Именно понимание основных методов, используемых злоумышленниками, дает представление об уязвимостях в инфраструктуре и настройках с наиболее высокими рисками.
Так, в случае с IoT-оборудованием значительно снизить риски можно через несложные правила цифровой гигиены:
-
изменение простых паролей по умолчанию на более сложные несловарные пароли,
-
регулярное обновление прошивок устройств и ПО,
-
использование и включение всех доступных функций безопасности.
Технологии заманивания хакера в ловушку и анализ его методов, тактик и процедур работает не менее эффективно в корпоративных сетях. Для этого создается система ложных целей, имитирующая реальную инфраструктуру, но не связанная с ней.
«Благодаря качественной имитации злоумышленник при проникновении в систему ловушек не может отличить ее от естественной инфраструктуры. Он производит действия по повышению привилегий, закреплению в системе, горизонтальному распространению и другие манипуляции, которые фиксируются, и, таким образом, потенциальный урон для реальной инфраструктуры снижается. Ввиду отсутствия в системе ложных целей реальных пользователей активность злоумышленника вычисляется и поддается быстрому анализу. Соответственно, эксперты по информационной безопасности могут оперативно получить индикаторы компрометации для детектирования атаки в реальной инфраструктуре», – поясняет менеджер по развитию бизнеса группы компаний Angara Анна Михайлова.
Такие технологии реализуются средствами решений класса Deception. Они предназначены для обнаружения активности злоумышленника в корпоративной сети на базе технологий создания ложных данных (ловушек и приманок), имитирующих данные, приложения, соединения, конечные точки, пользователей, серверы, элементы сети и другие компоненты инфраструктуры. Решения класса Deception позволяют:
-
сдерживать злоумышленника в процессе реализации целевой атаки, нарушить ее нормальный ход и перенаправить вектор атаки в сторону ловушек;
-
обнаружить атаку, задействованные узлы инфраструктуры и техники злоумышленника.
Пытаясь получить доступ к ловушкам, злоумышленник гарантировано детектируется системой задолго до того, как достигнет своей цели.
Эксперты группы компаний Angara рекомендуют следующие решения данного класса:
-
GuardiCore Complete Security Deception and Detection and Incident Response,
-
Illusive Attack Detection System,
-
Trapx Security DeceptionGrid,