Как поставщики коммуникационных услуг могут защитить сети устройств IoT?

Сегодня появление многочисленных устройств Интернета вещей приводит к трансформации целых отраслей, и поставщики коммуникационных услуг (Communication Service Providers –CSP) помогают компаниям внедрять и использовать новейшие технологии. При этом компании CSP сталкиваются с новыми проблемами в области обеспечения безопасности.

На производственных предприятиях технологии промышленного Интернета вещей (Industrial IoT, IIoT) позволяют автоматизировать как опрос датчиков в оборудовании и в системах безопасности, так и анализ информации для повышения операционной эффективности. Собираемые данные хранятся, агрегируются и анализируются, обеспечивая предприятия важной информацией и позволяя принимать решения на ее основе.

Умные логистические технологии собирают данные о местонахождении автомобилей и посылок, что позволяет транспортным и логистическим компаниям оптимизировать планирование маршрутов и повышать эффективность различных аспектов своей деятельности, например, планировать перевозку замороженных продуктов. Для потребителей, ожидающих доставку своего заказа, использование ярлыков радиочастотной идентификации (RFID) и аналогичных устройств обеспечивает возможность с высокоточного отслеживания посылки. Умные медицинские устройства позволяют медикам в удаленном режиме контролировать показатели здоровья своих пациентов. Между тем, разрабатываемые сегодня умные автомобили смогут взаимодействовать с другими участниками движения, с транспортной инфраструктурой и даже с пешеходами, что позволяет значительно улучшить безопасность на дороге.

Алексей Андрияшин, технический директор Fortinet в России

Об авторе:

Алексей Андрияшин, технический директор Fortinet в России

По данным Wikipedia: Fortinet - американская транснациональная корпорация, специализирующаяся на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности: межсетевых экранов, антивирусных программ, систем предотвращения вторжений и обеспечения безопасности конечных точек и других продуктов. По объему выручки компания занимает четвертое место среди всех компаний, специализирующихся в области сетевой безопасности.

Сети для Интернета вещей, технологии подключения и соответствующие сервисы зачастую отличаются от сервисов, которые обычно предоставляют поставщики коммуникационных услуг. Представьте себе коммуникационную инфраструктуру, которая необходим сельскохозяйственному предприятию для развертывания собственной сети IoT устройств, предназначенных для мониторинга почвы. Такая сеть может включать в себя огромное число устройств, рассредоточенных по многочисленным угодьям, при этом каждому из этих устройств необходима лишь минимальная пропускная способность для передачи параметров почвы, но в то же к ним предъявляются чрезвычайно строгие требования с точки зрения энергопотребления. Развертывание подобной сети можно организовать на базе специализированных технологий, таких как Cat-M1 или узкополосного IoT (NB-IoT), которые предназначены для организации каналов связи с низкой пропускной способностью и малым энергопотреблением. Среди других возможных опций – технологии LoraWAN и SigFox, которые позволяют налаживать коммуникации с крайне малой пропускной способностью на больших территориях.

Поставщики коммуникационных услуг, стремящиеся преуспеть в сегменте сетей для Интернета вещей, все чаще не ограничиваются в своих предложениях одними лишь технологиями для организации специализированного подключения к сети. Некоторые разрабатывают полноценные мультитенантные облачные платформы, предназначенные для хранения и анализа данных с IoT устройств, предоставляют клиентам доступ к этим сведениям.

Важнейший аспект IoT – безопасность

Любой поставщик коммуникационных услуг, поддерживающий сервисы IoT, должен уделять пристальное внимание тем рискам и угрозам безопасности, которые несет в себе Интернет вещей. Устройства IoT по своей природе обладают весьма скудными ресурсами с точки зрения процессора, оперативной памяти, постоянного хранилища и пропускной способности сети. И во многих случаях в них просто не остается места для обеспечения безопасности. Ситуацию усугубляет и то, что сегодня над IoT стандартами работают множество конкурирующих организаций, в результате чего процесс подключения разных устройств заметно усложняется. Это приводит к нарушению уже реализованных функций безопасности.

Задача становится еще более сложной, когда IoT устройства географически рассредоточены. Они могут находиться в общественных местах, которые трудно защитить физически. Более того, они могут устанавливаться даже в труднодоступных местах, например, отдаленных уголках сельскохозяйственных угодий.

Наконец, инфраструктура Интернета вещей может состоять из чрезвычайно большого числа изначально небезопасных устройств. Точки агрегации в сети необходимо защищать путем обеспечения безопасности сигнальной инфраструктуры (signaling security), с помощью протоколов аутентификации и туннелирования вплоть до этих точек (tunnel termination). Особую озабоченность вызывает то, что неисправные или скомпрометированные IoT устройства могут привести к перегрузке инфраструктуры сигнализации (signaling infrastructure). Например, если бы миллионы устройств начали непрерывно переподключаться из-за некорректного обновления программного обеспечения, то эффект для мобильной сети был бы таким же, как от преднамеренной атаки типа (DoS).

Вопросы безопасности должны оставаться ключевым приоритетом для поставщиков коммуникационных услуг, которые предлагают сервисы для Интернета вещей, и чьи клиенты могут быть не в курсе связанных с ними рисков. Когда оператор предлагает собственные устройства в составе пакета, ответственность в случае возникновения проблем – зона юридической неопределенности. Операторам следует действовать на упреждение и предпринимать активные меры, чтобы обезопасить устройства и данные своих клиентов.

Как защитить сеть IoT устройств?

В силу наличия уязвимостей в устройствах Интернета вещей, необходимо обеспечивать безопасность на уровне сети и всей платформы IoT. Поставщикам коммуникационных услуг следует использовать межсетевые экраны нового поколения (next-generation firewalls, NGFWs), которые поддерживают шифрование и способны масштабироваться и защищать сети с большим количеством устройств. Подобные межсетевые экраны должны включать в себя расширенную поддержку IPsec/TLS, чтобы создавать шифрованные туннели для обеспечения целостности и конфиденциальности данных IoT. Поддержка многопользовательских конфигураций (multi-tenancy) и технологий микросегментации позволяет поставщикам услуг избежать ситуаций, когда группа устройств Интернета вещей могла бы повлиять на работу всей сети. В то же время, функции защиты мобильного ядра в NGFW брандмауэрах позволяет реализовать инспектирование и ограничение пропускной способности (rate-limiting) для IoT сессий, благодаря чему операторы смогут справиться с всплесками сигнального трафика (signaling storms), обусловленными неправильной работой или компрометацией устройств.

Наличие системы предотвращения проникновений (intrusion prevention system, IPS) в межсетевых экранах нового поколения позволяет поставщикам коммуникационных услуг выявлять атаки, отслеживая как известные сигнатуры, так и аномалии в поведении IoT устройств. Поддержка управления на уровне приложений дает операторам уверенность, что в сети работают только IoT устройства с разрешенными протоколами. В некоторых случаях использование NGFW брандмауэра вместе с оборудованием для управления доступом в сеть позволяет идентифицировать работающие в сети устройства, обеспечивая доступ к необходимым сегментам сети в зависимости от типа идентифицированного устройства. Кроме того, подобный подход гарантирует, что доступ к сети для неизвестного IoT оборудования будет запрещен. Вместе с тем, операторы смогут осуществлять непрерывный мониторинг для выявления скомпрометированных устройств и даже устройств, отключаемых от сети непосредственно во время работы.

Еще одним важным механизмом, позволяющим операторам коммуникационных сервисов защищать облачные IoT платформы, является так называемая «песочница» (sandboxing), расширяющая возможности обнаружения угроз и защиты от них, а также брандмауэр веб-приложений (web application firewall) с функциями поведенческого анализа и защиты веб-приложений с помощью технологий машинного обучения. Контроллер доставки приложений (application delivery controller) позволяет оптимизировать производительность и доступность веб-приложений, выступающих в роли клиентского интерфейса в IoT платформах.

Все эти функции помогают защитить сеть IoT устройств. И их применение в составе тесно интегрированной платформы, а не в отдельных точечных решениях, обеспечивает поставщикам настоящее конкурентное преимущество. Кроме того, все это позволяет значительно снизить общую стоимость владения (TCO) по сравнению с использованием разрозненных точечных решений.

Алексей Андрияшин
22/06.2019


Похожие статьи:

Настраиваем защиту от IoT атак на предприятии с помощью оборудования Zyxel

Типичная атака через IoT выглядит следующим образом: устройство подключается к зловредному интернет-ресурсу напрямую или через собственный VPN, скачивает и устанавливает на себя зловредный код, после чего начинает быть либо част...

Какие защиты от хакеров и экспертов-криминалистов бывают в ноутбуках? Показываем на примере Maibenben P415

В этой статье я покажу вам, как обычный офисный ноутбук на уровне железа может быть защищён от различного рода атак, особенно связанных с изъятием или кражей устройства, и хочу чтобы после прочтения вы внимательно посмотрели на ...

Настраиваем бесплатное микро-облако на примере Terramaster F2-423

Рынок бесплатного ПО с открытым исходным кодом за последние годы сделал потрясающий скачок вперёд, поэтому сегодня тысячи компаний используют FOSS вместо публичных облаков. Вам не обязательно покупать огромный сервер для запуска...

Бюллетень по IoT безопасности. А ваша сеть готова к эксплоитам интернета вещей?

Не так давно компания Human Security выявила целую теневую сеть, связанную с заражёнными устройствами и вредоносными приложениями. Заражёнными оказались не только Android-ТВ приставки, но и планшетные ПК, носимые устройства и да...

Изучаем Zyxel Connect & Protect и отвечаем на основные вопросы: можно ли обойтись без шлюза безопасности?

С точки зрения сети, современный объект может и вовсе представлять собой одну лишь точку доступа, подключённую напрямую в WAN от провайдера, и на этой точке доступа хватит ресурсов и для поднятия VPN-тоннеля до штаб-квартиры, и...