Пришло время серьезно отнестись к обеспечению безопасности Интернета вещей (IoT)

25.06.2019

Не так давно многие ИТ-лидеры рассматривали IoT как нечто большее, чем интересный научный проект. Сегодня компании в каждой отрасли полагаются на идеи IoT как на часть своей основной бизнес-стратегии. Согласно «Опросу безопасности IoT за 2018 год», проведенному DigiCert, 92% компаний ожидают, что IoT будут важны для их бизнеса к 2020 году. В целом, по прогнозам аналитиков, мировой рынок IoT к 2021 году увеличится более чем вдвое, достигнув примерно 520 миллиардов долларов.

Это множество новых устройств, которые постоянно появляются в мировых сетях. И есть одна группа, которая не может дождаться, когда сможет прибрать их к своим рукам: киберпреступники. По прогнозам, к 2020 году 10 миллиардов IoT-устройств появятся в сети,и злоумышленники увидят миллиарды новых потенциальных векторов атак. Тот факт, что многие подключенные устройства все еще поставляются с недостаточной безопасностью, делает их еще более привлекательными объектами, для мошенников.

«Предприятия вводят небезопасные устройства в свои сети, а затем не обновляют программное обеспечение», - сказал Вик Патель в недавнем разговоре с Forbes. «Отказ от применения исправлений безопасности не является новым явлением, но небезопасные устройства IoT с подключением к открытому Интернету - это катастрофа, ожидающая своего появления».

Для некоторых компаний катастрофа уже наступила. Согласно опросу DigiCert, за последние два года среди организаций, которые пытаются освоить безопасность IoT, 100% испытали сбои в системе безопасности - атак типа «отказ в обслуживании» на основе IoT, несанкционированный доступ к устройствам, утечки данных, вредоносное ПО на основе IoT. Эти проблемы могут создать очень большие расходы. Четверть борющихся с ними организаций сообщили, что в результате неудач безопасности IoT израсходовано более 34 миллиона долларов.

К счастью, проблема безопасности IoT не далека от решения; Есть зрелые, проверенные стратегии, которые организации могут использовать для защиты подключенных устройств. Но основная мысль заключается в том, чтобы предпринять эти шаги до того, как будет выявлена уязвимость или нарушение, а не пытаться дооснастить устройства после свершившегося факта. Наиболее успешные организации применяют индивидуальный подход к обеспечению безопасности, используя инфраструктуру открытых ключей (Public Key Infrastructure - PKI) и цифровые сертификаты. Используя PKI для усиления основ безопасности - аутентификации, шифрования, данных и целостности системы - вы можете сохранить свой IoT в безопасности.

Почему PKI?

Основываясь на том же стандарте PKI, который ежедневно используют миллионы веб-сайтов для обеспечения безопасного подключения, PKI обеспечивает идеальную основу для взаимного доверия и аутентификации в IoT. Помимо шифрования конфиденциального трафика, PKI проверяет, являются ли устройства IoT и также другие пользователи, устройства или системы, взаимодействующие с ними действительно теми, кем они себя называют.

Когда все участники IoT-коммуникаций имеют доверенный цифровой сертификат, подтверждающий их легитимность, злоумышленникам становится намного труднее, например, взломать устройство или внедрить вредоносное ПО в его прошивку.

PKI идеально подходит для сектора IoT, поскольку он может обеспечить доверие и контроль в огромных масштабах так, как это не могут сделать традиционные методы аутентификации, такие как токены и пароли. 

PKI обеспечивает:

  • Надежную защиту данных: PKI может зашифровать все данные, передаваемые на устройства IoT и с них, так что даже если устройство скомпрометировано, злоумышленники ничего не могут сделать с данными.
  • Минимальное взаимодействие с пользователем: с помощью цифровых сертификатов PKI автоматически выполняет тайную аутентификацию пользователей и устройств - без прерываний или взаимодействия с пользователем, требуемых паролями и политиками токенов. Сертификаты также обеспечивают более надежную идентификацию, включая такую информацию, как серийный номер устройства.
  • Безопасный код: Используя сертификаты для подписи кода, компании могут подписывать весь код на прошивке устройства, гарантируя, что на устройстве может работать только доверенный код. Это защищает от вредоносных программ и поддерживает безопасные беспроводные обновления устройства.
  • Масштабируемость без усилий: изначально разработанная для огромных сетей и веб-сервисов с большим количеством пользователей, PKI может легко масштабировать до миллионов устройств IoT.

Компании обычно выбирают один из двух вариантов развертывания PKI: внедрение и использование собственной частной инфраструктуры PKI локально или использование размещенных служб PKI из общедоступного центра сертификации. Какой подход подходит для вашей организации? Давайте оценим четыре “С” (Control, Cost, Crypto-agility, Certificate Management - Контроль, Стоимость, Крипто-ловкость, Управление сертификатами).

Четыре “C” из PKI

№ 1: Контроль

Какой уровень контроля необходим для вашей инфраструктуры сертификатов? Это часто зависит от вашей отрасли. В сильно регулируемых отраслях со сложными, строгими требованиями соответствия многие компании хранят все в своих руках. Это обеспечивает детальный контроль и всесторонние возможности аудита. Но это также требует значительного времени, денег и опыта. 

Кто-то в компании должен «владеть» процессом обеспечения и соответствия структуры отраслевым стандартам, процессом применения политик для установления доверенных ролей, управлением ключевыми церемониями и политиками хранения данных, обеспечением надежных обновлений и отзыва сертификатов и многого другого. 

Ресурсы, необходимые для правильного внутреннего применения PKI, а также потенциальные возможности сделать неправильно и нанести значительный ущерб, зачастую являются гораздо больше нежели компания готова взять на себя.

Это не маленькое усилие, поэтому многие компании в менее регулируемых отраслях, и даже многие в регулируемых, предпочитают хостинговое решение, позволяющее государственным центрам сертификации справляться со всеми сложностями. Если вам нужен контроль над локальной системой, но вам не нужны проблемы с управлением, некоторые поставщики PKI предлагают гибридные модели. Они объединяют локальные системы, которые могут выдавать общедоступные доверенные сертификаты через безопасный шлюз, напрямую связывающийся с платформой масштабируемой облачной выдачи.

№ 2: Стоимость

Когда вы развертываете и управляете своей собственной платформой PKI, вы можете создать именно ту систему, которая вам нужна. Но не ожидайте, что это будет дешево. Поддержание внутреннего центра сертификации влечет за собой первоначальное приобретение оборудования и программного обеспечения, и часто обширные инвестиции в обучение и персонал.

Помимо первоначальной реализации, мы планируем выделить текущие ресурсы для поддержки локальной инфраструктуры PKI: отслеживание аудитов, отслеживание развивающихся отраслевых стандартов, обновление аппаратного и программного обеспечения, а также обеспечение целостности устройств на протяжении всего жизненного цикла. Общая стоимость пользования может быть значительной. Вот  почему большинство компаний, которые имеют возможность выбора, выбирают размещения PKI с более управляемой и предсказуемой экономикой.

№ 3: Крипто-ловкость

Если ваша PKI действительно будет защищать ваше устройство IoT и данные ваших заинтересованных сторон или клиентов - она должна использовать современную криптографию. Это не происходит автоматически. Кто бы ни владел структурой PKI, он должен следить за группами стандартов и участвовать в них, чтобы опережать угрозы и внедрять постоянно развивающиеся протоколы. Если у вас есть собственный локальный центр сертификации, убедитесь в том что вы достаточно вкладываете в бюджет PKI.

И здесь компании по всему миру все чаще выбирают облачную PKI. Когда стандарты меняются или криптографические свойства изменяются, хост-провайдер PKI, основной бизнес которого подразумевает инвестиции в персонал и архитектуру PKI, готов к этому. Ведущие публичные центры сертификации обычно ожидают изменения кривых, алгоритмов и хешей задолго до того, как они станут широко известны или внедрены. 

№ 4: Управление сертификатами

Управление полным жизненным циклом сертификатов на большом количестве устройств - миллионах или миллиардах - непростая задача для самостоятельного запуска. Для этого требуется технологический стек и строгие политики и процедуры для выпуска, установки, обновления и отзыва сертификатов. Многие поставщики обращаются к доверенной третьей стороне с автоматическими предложениями по обнаружению и управлению сертификатами, и особенно к поставщику, который уже предоставил проверку подлинности на основе сертификатов для миллиардов подключенных устройств.

Не откладывайте IoT-безопасность

Дни, когда вы могли запустить IoT без разумной стратегии аутентификации устройств и обеспечения целостности данных и целостности системы, прошли. Сейчас IoT очень радует киберпреступников. А затраты на реактивную, постфактумную безопасность легко могут подняться до десятков миллионов долларов. С другой стороны, те компании, которые имеют обеспечительное право IoT, могут получить значительные преимущества. Bain&Company обнаружила, что предприятия будут покупать больше IoT-устройств - и платить за них в среднем на 22% больше - если они будут более уверены в своей безопасности.

Перед запуском любого нового приложения IoT убедитесь, что вы внедряете основанную на стандартах безопасность и аутентификацию PKI в базовый дизайн вашей архитектуры. Независимо от того, управляете ли вы сертификатами самостоятельно или работаете с центром сертификации, вы будете лучше спать, зная, что ваше устройство IoT не может быть легко скомпрометировано. И ваш бизнес сможет использовать все возможности и потенциал IoT.






















« Назад

Powered by WHMCompleteSolution