Основы безопасности интернета вещей | Четыре основных принципа любой программы безопасности.

  • Главная
  • Основы безопасности интернета вещей | Четыре основных принципа любой программы безопасности.

Понимание программы безопасности Интернета вещей требует тщательного рассмотрения и изучения.

В последние несколько лет в мире наблюдается значительный рост кибератак, направленных на критическую инфраструктуру и продукты безопасности, при этом устройства промышленного Интернета вещей (IIoT), такие как камеры видеонаблюдения, становятся основными целями для хакеров.

Согласно анализу «Лаборатории Касперского» телеметрии из приманок, которыми поделились с Threatpost, только в прошлом году было совершено более 3 миллиардов взломов IoT, и это только зарегистрированное число, реальное число, вероятно, намного выше.

Понятно, что производители IoT и IIoT должны делать больше, чтобы помочь защитить эти устройства и обучить рынок передовым методам обеспечения безопасности.

С этой целью я хотел бы поделиться своими «Основами кибербезопасности Интернета вещей», чтобы помочь всем обучиться безопасности IoT.

Столпы сосредоточены на том, что, по нашему мнению, является четырьмя основными арендаторами, которые должны быть основой любой программы безопасности IoT.

Четыре столпа — отказоустойчивость, кибергигиена, безопасность продукта и правильная конфигурация.

В этой статье мы кратко рассмотрим каждый из этих столпов. Я надеюсь, что вы присоединитесь ко мне в этом путешествии, и вместе мы сможем сделать IIoT более безопасным для всех.

Что такое IoT и IIoT?

Поскольку мы будем часто использовать эти термины в этих статьях, вероятно, лучше пойти дальше и убедиться, что мы все на одной странице.

IoT — это Интернет вещей, который определяется как небольшие вычислительные устройства, датчики или программное обеспечение, которые взаимодействуют и обмениваются данными через Интернет.

Все еще в замешательстве?

Нет проблем, вы взаимодействуете с этими устройствами каждый день и, возможно, даже не осознаете этого.

Это такие устройства, как умные холодильники, пылесосы, сушилки, термостаты, системы домашней безопасности, носимые устройства для отслеживания состояния здоровья и фитнеса, выключатели света и даже медицинские устройства, такие как кардиостимуляторы.

К сожалению, большинство этих устройств не были созданы с учетом требований безопасности, они просто созданы для того, чтобы функционировать и обеспечивать удобство для потребителя.

IIoT похож на IoT, но разработан для промышленного рынка.

IIoT включает в себя устройства, используемые в производстве, отоплении и охлаждении коммерческих объектов, интеллектуальные системы пожаротушения, коммерческие системы безопасности и интеллектуальные сельскохозяйственные устройства.

Эти устройства автоматизируют многие коммерческие процессы, повышая эффективность и часто помогая снизить затраты, но они также представляют для организаций новый набор уязвимостей.

Чтобы избежать путаницы, в остальной части статьи мы будем использовать термины IoT и IIoT как синонимы.

Без лишних слов давайте подробно рассмотрим первые два столпа и посмотрим, что мы можем сделать как команда, чтобы улучшить наши устройства IoT.

Отказоустойчивость

Отказоустойчивость относится к нашей способности противостоять потенциальным проблемам в наших средах, восстанавливаться и готовиться к ним.

Проще говоря, будут ли ваши устройства там, когда они вам больше всего нужны?

Будет ли работать ваша система безопасности при отключении электричества?

Выдержат ли ваши камеры сильный ветер и сильный шторм?

Как быстро вы сможете восстановить работу производства или услуг в случае кибератаки?

Эти вопросы помогут вам определить устойчивость вашей организации.

Современные организации полагаются на устройства промышленного Интернета вещей (IIoT) для управления электропитанием, безопасностью, пожаротушением, отоплением, вентиляцией и кондиционированием воздуха (HVAC), производством и многим другим.

Наш бизнес, наша безопасность, а иногда и наша жизнь зависят от этих устройств для правильной работы.

Как профессионалы в области безопасности, мы должны обеспечить отказоустойчивость и избыточность этих систем и окружающих их сетей.

Один из способов повысить отказоустойчивость наших систем — представить наихудшие сценарии и отработать эти сценарии.

Что такое настольные упражнения?

Кабинетные учения — это когда организация собирает своих ключевых заинтересованных лиц и представляет себе что-то ужасное, например, плохие погодные условия (ураган, торнадо и наводнения), отключение электричества, потеря связи или кибератака.

Например, в кабинетном упражнении могут участвовать ключевые заинтересованные лица из ИТ, отдела кадров, отдела продаж, финансов/бухгалтерского учета, проектирования, разработки, обслуживания клиентов и операционного отдела — все сидят за одним столом.

Затем мы просим эти заинтересованные стороны рассказать нам, что происходит с их клиентами, сотрудниками, оборудованием и т. д. в случае катастрофы.

Регулярное выполнение этих кабинетных упражнений поможет вашей организации выявить пробелы в отказоустойчивости.

Некоторые из действий, которые вы можете предпринять, чтобы сделать устройства IIoT вашей организации более отказоустойчивыми:

Создавайте или покупайте устройства с надежной защитой

  • Покупайте устройства у компаний, которые проводят тестирование на уязвимости и устраняют проблемы в устройствах. Многие устройства IoT/IIoT разрабатываются быстро и дешево, поэтому подумайте, как долго компания существует и какова их репутация в отношении поддержки своих продуктов после их выпуска
  • Ищите устройства IIoT, использующие шифрование для защиты передаваемых данных и данных, хранящихся на устройстве
  •  Устройства должны поддерживать безопасные протоколы и стандарты, такие как интеграция 802.1x.

Создавайте безопасные сетевые топологии для защиты устройств

  • Устройства IIoT должны тщательно контролироваться с помощью физических, технических и административных средств контроля, установленных организацией. NIST — отличный бесплатный ресурс, который поможет вам начать работу
  • Устройства IIoT никогда не должны быть общедоступными и должны быть должным образом сегментированы, чтобы гарантировать их защиту от хакеров.
    Приобретайте устройства, которые созданы для того, чтобы выдерживать ваши уникальные условия (соль, сильный ветер, пыль, взрывобезопасность, молния, высокая температура).
  •  Учитывайте погодные и атмосферные условия при покупке устройств IIoT и убедитесь, что устройство соответствует вашим уникальным условиям. Например, при развертывании устройства в прибрежной Флориде вам может понадобиться что-то, рассчитанное на воздействие соли, сильный ветер и молнию.

Резервное копирование данных конфигурации устройства

  • Наличие резервных копий может гарантировать, что в случае поломки или повреждения устройства вы сможете легко восстановить его или подключить другое устройство.

Рассмотрите резервные устройства с безопасным аварийным переключением

  • Резервные устройства обеспечивают резервное копирование в случае сбоя устройства по какой-либо причине
  •  Аварийное переключение относится к тому, что система делает, когда устройство выходит из строя. При использовании систем аварийного переключения функция, предоставляемая IIoT, будет продолжать работать, пока неисправное устройство заменяется или ремонтируется. Например, что происходит с вашим электромагнитным замком при сбое питания? Дверь останется запертой или откроется?

Подумайте о резервных батареях или генераторах

  •  Устройства, обеспечивающие критически важные функции, должны как минимум иметь источник бесперебойного питания (ИБП) для защиты от кратковременных отключений электроэнергии
  • Генераторы также могут быть хорошей идеей, если устройство должно продолжать функционировать во время длительного отключения электроэнергии.

Таким образом, для обеспечения устойчивости в IoT/IIoT требуется партнерство между производителем устройства, экспертом по физической безопасности в организации и экспертом по кибербезопасности.

Производители несут ответственность за выпуск качественной продукции, соответствующей стандартам безопасности.

Они должны быть готовы своевременно обновлять свои продукты при обнаружении уязвимостей.

Специалисты по физической безопасности должны обеспечить надлежащую установку и защиту устройств.

Специалисты по кибербезопасности должны убедиться, что устройства имеют надлежащий технический контроль для защиты от кибератак.

Когда большинство людей думают о гигиене, они думают о принятии душа или чистке зубов, о том, что мы делаем, чтобы поддерживать себя в чистоте, чтобы предотвратить болезни или другие заболевания.

Кибергигиена — это аналогичная концепция, но применяемая к компьютерам, сетям и безопасности.

Это то, что мы делаем на регулярной основе, чтобы помочь защитить наши сети от злоумышленников.

Продолжение следует…

Мы используем cookie-файлы для наилучшего представления нашего сайта. Продолжая использовать этот сайт, вы соглашаетесь с использованием cookie-файлов.
Принять