На RSA Conference 2021 специалисты по безопасности Итцик Фигелевич (Itzik Feiglevitch) и Джастин Шоудер (Justin Sowder) в своем докладе Into the Mind of an IoT Hacker подняли вопрос уязвимости разнообразных IoT-устройств и необходимости особого отношения к ним со стороны служб кибербезопасности. В частности, они подобрали несколько ярких примеров, демонстрирующих состояние IoT-безопасности в современных компаниях.
Мало кто из безопасников вообще ведет учет используемых компанией IoT-устройств. Умные лифты, всевозможные датчики, IP-телевизоры, принтеры, камеры наблюдения — практически всегда это разрозненная коллекция каких-то нестандартных устройств, каждое из которых работает на своей операционной системе, поддерживает какие-то проприетарные протоколы, зачастую вообще не имеет нормального интерфейса управления и так далее. И таких устройств в компании могут быть тысячи.
Почему IoT-устройства вносят дополнительные риски для кибербезопасности
Одна из причин, по которым IoT-устройства представляют собой повышенную угрозу для безопасности корпоративной сети, кроется в том, что далеко не всегда они воспринимаются как часть соответствующей инфраструктуры. Если какой-нибудь условный сетевой принтер обычно все же признается сетевым устройством, то части «умного здания» или даже система IP-телефонии зачастую уже воспринимаются как некие отдельные структуры. А между тем они нередко оказываются подключенными к той же сети, что и корпоративные рабочие станции.
Иначе говоря, зачастую «умные» устройства в ментальной модели специалистов по информационной безопасности просто не входят в категорию «компьютеры», а пребывают скорее где-то рядом с водопроводом и офисной мебелью.
Еще больше может осложнить ситуацию текучка кадров. Чем чаще в компании меняются безопасники и айтишники, тем больше шансов, что новый человек вообще не будет знать, что за зоопарк IoT-устройств подключен к сети.
Что самое неприятное — иногда подобные устройства доступны извне. Такую возможность могут оставить в разных целях: чтобы вендоры могли контролировать состояние устройства; чтобы его могли использовать люди, работающие на удаленке; чтобы сервисная компания могла заняться обслуживанием устройства до того, как оно начнет причинять неудобства. То есть получается, что устройства, с одной стороны, подключены к корпоративной сети, а с другой — торчат в Интернете. Что может пойти не так?
Как это ни парадоксально это звучит, но еще один фактор риска — высокая конструктивная надежность электроники: если устройство пусть уже и старенькое, но до сих пор выполняет свои функции и не ломается, то менять его вроде как и смысла нет. В результате в современных организациях встречаются древние IoT-девайсы, в которых нет даже базовых функций безопасности — в те времена, когда их разрабатывали и внедряли, о таких вещах просто никто не задумывался.
Эти устройства, к примеру, работают на древних уязвимых операционных системах, которые уже не обновляются. А если и обновляются, то для этого необходим физический доступ (что не всегда просто в случае, например, систем умного здания). Также в них могут быть несменяемые пароли, установленные производителям, какие-нибудь отладочные бэкдоры, по забывчивости оставленные в финальной прошивке, и много всяких других сюрпризов, которые могут сделать жизнь специалиста по ИТ-безопасности крайне увлекательной.
Почему IoT-устройства интересны атакующим
На самом деле причин, по которым злоумышленники могут интересоваться IoT-устройствами, несколько. Причем такие устройства могут использовать как для атак на саму компанию, так и для DDoS-атак третьей стороны. Вот основные варианты использования «умных» устройств в случае успешной атаки:
- Организация ботнета для DDoS-атак.
- Майнинг криптовалюты.
- Кража конфиденциальной информации.
- Саботаж.
- Плацдарм для дальнейших атак и горизонтального распространения по сети.
Кейсы
Среди описанных исследователями кейсов попадаются достаточно нелепые. Касаются они как стандартных подключенных к Интернету устройств, так и достаточно узкоспециализированных. Вот два наиболее показательных примера.
Аппарат для ультразвуковых исследований
В современных организациях, работающих в сфере здравоохранения, всегда много медицинских IoT-устройств. Чтобы проверить, как в них обстоят дела с безопасностью, исследователи приобрели подержанный аппарат для УЗИ и попытались его взломать. На взлом они в итоге потратили примерно пять минут, потому что при ближайшем рассмотрении оказалось, что устройство работает на базе системы Windows 2000, которая ни разу не обновлялась. Более того, они смогли не просто захватить контроль над аппаратом, но и получить доступ к данным пациентов, которые никто не догадался удалить перед продажей аппарата.
Многие медицинские устройства годами, а то и десятилетиями используются медиками без обновления и модернизации. И это понятно: какой смысл менять дорогостоящее оборудование, если все прекрасно работает, а лишних денег, естественно, нет. Причем подобные устройства не просто продолжают работать в той организации, которая их изначально приобрела, — нередко их уже подержанными продают небогатым клиникам, в которых они продолжают трудиться дальше.
Протоколы Zigbee
Сетевые протоколы Zigbee были разработаны в 2003 году для беспроводной связи между устройствами с низким энергопотреблением; они поддерживают возможность выстраивания ячеистой топологии сети. Часто их используют для подключения различных компонентов умного здания. То есть где-то в офисе стоит шлюз, управляющий десятками разных устройств. Например, системой умного освещения.
По словам исследователей, злоумышленнику не составляет никакого труда эмулировать Zigbee-устройство на обычном ноутбуке, подключиться к шлюзу и установить на него вредоносное ПО. Все, что для этого нужно — находиться в зоне действия Zigbee-сети, например в лобби офиса. В свою очередь, управляя шлюзом, можно попытаться саботировать работу в здании — например, отключить все то же умное освещение.
Как обезопасить корпоративную сеть
Безопасники не всегда уверены, следует ли им «защищать IoT девайсы в корпоративной сети» или скорее «защищать корпоративную сеть от IoT девайсов». По-хорошему, нужно решать обе эти задачи. И ключевой момент тут — обеспечить видимость того, что происходит в сети. Для надежной защиты компании в первую очередь нужно выявить все подключенные к сети устройства, правильно классифицировать их, а в идеале — проанализировать степень опасности.
Следующий этап — разумеется, сегментация сети в соответствии с результатами такого анализа. Если устройства имеют уязвимости, не могут быть обновлены, но по какой-то причине от их использования нельзя отказаться, то следует настроить сеть так, чтобы уязвимые устройства не просто не имели выхода в Интернет, но и не были бы доступны из других сегментов сети. Идеальный вариант — сегментация с соблюдением концепции Zero Trust.
На тот случай, если злоумышленникам все же удастся захватить контроль над IoT-устройствами и использовать их для DDoS-атак или майнинга, имеет смысл следить за аномалиями в сетевом трафике в соответствующих сегментах.
Наконец, для раннего выявления сложных атак, в ходе которых IoT используются для закрепления в сети и атак на другие системы, необходимо использовать решение класса EDR.