Как поставщики коммуникационных услуг могут защитить сети устройств IoT?
Сегодня появление многочисленных устройств Интернета вещей приводит к трансформации целых отраслей, и поставщики коммуникационных услуг (Communication Service Providers –CSP) помогают компаниям внедрять и использовать новейшие технологии. При этом компании CSP сталкиваются с новыми проблемами в области обеспечения безопасности.
На производственных предприятиях технологии промышленного Интернета вещей (Industrial IoT, IIoT) позволяют автоматизировать как опрос датчиков в оборудовании и в системах безопасности, так и анализ информации для повышения операционной эффективности. Собираемые данные хранятся, агрегируются и анализируются, обеспечивая предприятия важной информацией и позволяя принимать решения на ее основе.
Умные логистические технологии собирают данные о местонахождении автомобилей и посылок, что позволяет транспортным и логистическим компаниям оптимизировать планирование маршрутов и повышать эффективность различных аспектов своей деятельности, например, планировать перевозку замороженных продуктов. Для потребителей, ожидающих доставку своего заказа, использование ярлыков радиочастотной идентификации (RFID) и аналогичных устройств обеспечивает возможность с высокоточного отслеживания посылки. Умные медицинские устройства позволяют медикам в удаленном режиме контролировать показатели здоровья своих пациентов. Между тем, разрабатываемые сегодня умные автомобили смогут взаимодействовать с другими участниками движения, с транспортной инфраструктурой и даже с пешеходами, что позволяет значительно улучшить безопасность на дороге.
Об авторе: Алексей Андрияшин, технический директор По данным Wikipedia: Fortinet - американская транснациональная корпорация, специализирующаяся на разработке и продвижении программного обеспечения, решений и сервисов в области информационной безопасности: межсетевых экранов, антивирусных программ, систем предотвращения вторжений и обеспечения безопасности конечных точек и других продуктов. По объему выручки компания занимает четвертое место среди всех компаний, специализирующихся в области сетевой безопасности. |
Сети для Интернета вещей, технологии подключения и соответствующие сервисы зачастую отличаются от сервисов, которые обычно предоставляют поставщики коммуникационных услуг. Представьте себе коммуникационную инфраструктуру, которая необходим сельскохозяйственному предприятию для развертывания собственной сети IoT устройств, предназначенных для мониторинга почвы. Такая сеть может включать в себя огромное число устройств, рассредоточенных по многочисленным угодьям, при этом каждому из этих устройств необходима лишь минимальная пропускная способность для передачи параметров почвы, но в то же к ним предъявляются чрезвычайно строгие требования с точки зрения энергопотребления. Развертывание подобной сети можно организовать на базе специализированных технологий, таких как Cat-M1 или узкополосного IoT (NB-IoT), которые предназначены для организации каналов связи с низкой пропускной способностью и малым энергопотреблением. Среди других возможных опций – технологии LoraWAN и SigFox, которые позволяют налаживать коммуникации с крайне малой пропускной способностью на больших территориях.
Поставщики коммуникационных услуг, стремящиеся преуспеть в сегменте сетей для Интернета вещей, все чаще не ограничиваются в своих предложениях одними лишь технологиями для организации специализированного подключения к сети. Некоторые разрабатывают полноценные мультитенантные облачные платформы, предназначенные для хранения и анализа данных с IoT устройств, предоставляют клиентам доступ к этим сведениям.
Важнейший аспект IoT – безопасность
Любой поставщик коммуникационных услуг, поддерживающий сервисы IoT, должен уделять пристальное внимание тем рискам и угрозам безопасности, которые несет в себе Интернет вещей. Устройства IoT по своей природе обладают весьма скудными ресурсами с точки зрения процессора, оперативной памяти, постоянного хранилища и пропускной способности сети. И во многих случаях в них просто не остается места для обеспечения безопасности. Ситуацию усугубляет и то, что сегодня над IoT стандартами работают множество конкурирующих организаций, в результате чего процесс подключения разных устройств заметно усложняется. Это приводит к нарушению уже реализованных функций безопасности.
Задача становится еще более сложной, когда IoT устройства географически рассредоточены. Они могут находиться в общественных местах, которые трудно защитить физически. Более того, они могут устанавливаться даже в труднодоступных местах, например, отдаленных уголках сельскохозяйственных угодий.
Наконец, инфраструктура Интернета вещей может состоять из чрезвычайно большого числа изначально небезопасных устройств. Точки агрегации в сети необходимо защищать путем обеспечения безопасности сигнальной инфраструктуры (signaling security), с помощью протоколов аутентификации и туннелирования вплоть до этих точек (tunnel termination). Особую озабоченность вызывает то, что неисправные или скомпрометированные IoT устройства могут привести к перегрузке инфраструктуры сигнализации (signaling infrastructure). Например, если бы миллионы устройств начали непрерывно переподключаться из-за некорректного обновления программного обеспечения, то эффект для мобильной сети был бы таким же, как от преднамеренной атаки типа (DoS).
Вопросы безопасности должны оставаться ключевым приоритетом для поставщиков коммуникационных услуг, которые предлагают сервисы для Интернета вещей, и чьи клиенты могут быть не в курсе связанных с ними рисков. Когда оператор предлагает собственные устройства в составе пакета, ответственность в случае возникновения проблем – зона юридической неопределенности. Операторам следует действовать на упреждение и предпринимать активные меры, чтобы обезопасить устройства и данные своих клиентов.
Как защитить сеть IoT устройств?
В силу наличия уязвимостей в устройствах Интернета вещей, необходимо обеспечивать безопасность на уровне сети и всей платформы IoT. Поставщикам коммуникационных услуг следует использовать межсетевые экраны нового поколения (next-generation firewalls, NGFWs), которые поддерживают шифрование и способны масштабироваться и защищать сети с большим количеством устройств. Подобные межсетевые экраны должны включать в себя расширенную поддержку IPsec/TLS, чтобы создавать шифрованные туннели для обеспечения целостности и конфиденциальности данных IoT. Поддержка многопользовательских конфигураций (multi-tenancy) и технологий микросегментации позволяет поставщикам услуг избежать ситуаций, когда группа устройств Интернета вещей могла бы повлиять на работу всей сети. В то же время, функции защиты мобильного ядра в NGFW брандмауэрах позволяет реализовать инспектирование и ограничение пропускной способности (rate-limiting) для IoT сессий, благодаря чему операторы смогут справиться с всплесками сигнального трафика (signaling storms), обусловленными неправильной работой или компрометацией устройств.
Наличие системы предотвращения проникновений (intrusion prevention system, IPS) в межсетевых экранах нового поколения позволяет поставщикам коммуникационных услуг выявлять атаки, отслеживая как известные сигнатуры, так и аномалии в поведении IoT устройств. Поддержка управления на уровне приложений дает операторам уверенность, что в сети работают только IoT устройства с разрешенными протоколами. В некоторых случаях использование NGFW брандмауэра вместе с оборудованием для управления доступом в сеть позволяет идентифицировать работающие в сети устройства, обеспечивая доступ к необходимым сегментам сети в зависимости от типа идентифицированного устройства. Кроме того, подобный подход гарантирует, что доступ к сети для неизвестного IoT оборудования будет запрещен. Вместе с тем, операторы смогут осуществлять непрерывный мониторинг для выявления скомпрометированных устройств и даже устройств, отключаемых от сети непосредственно во время работы.
Еще одним важным механизмом, позволяющим операторам коммуникационных сервисов защищать облачные IoT платформы, является так называемая «песочница» (sandboxing), расширяющая возможности обнаружения угроз и защиты от них, а также брандмауэр веб-приложений (web application firewall) с функциями поведенческого анализа и защиты веб-приложений с помощью технологий машинного обучения. Контроллер доставки приложений (application delivery controller) позволяет оптимизировать производительность и доступность веб-приложений, выступающих в роли клиентского интерфейса в IoT платформах.
Все эти функции помогают защитить сеть IoT устройств. И их применение в составе тесно интегрированной платформы, а не в отдельных точечных решениях, обеспечивает поставщикам настоящее конкурентное преимущество. Кроме того, все это позволяет значительно снизить общую стоимость владения (TCO) по сравнению с использованием разрозненных точечных решений.
Алексей Андрияшин
22/06.2019