Блог Кристофера Янга (Christopher Young), старшего вице-президента подразделения компании Cisco по разработке продуктов и решений для обеспечения информационной безопасности
Интернет вещей преобразил нашу жизнь, но и принес новые риски. Все больше личной и коммерческой информации циркулирует в облаке, а значит, будут появляться новые угрозы безопасности, злоумышленники будут отыскивать новые направления и способы атак. В ситуации, когда множество компаний делает ставку на повсеместную подключенность, которую сулит Интернет вещей, их руководителям необходимо поставить перед техническими специалистами задачу по обеспечению безопасности подобных сетей.
Чтобы защитить свои ключевые ресурсы, большинство организаций внедряет технологии и процессы разного рода. Например, информационные активы защищают с помощью информационных технологий (ИТ), а управляющие сети, контролирующие критическую инфраструктуру и физические пространства, отданы на откуп операционным технологиям (ОТ). Недавно я узнал о компании, которая для различных задач информационной безопасности использует более 80 разных продуктов. Большинство из них друг с другом не взаимодействуют, что накладывает серьезные ограничения на обеспечение уровня информационной безопасности.
В Интернете вещей нам необходимо уделять внимание приоритетным задачам сетей ИТ и ОТ, учитывать требования физической безопасности и охраны общественного порядка, а также начать внедрять решения кибербезопасности, чтобы в равной степени защитить все сети от атак. Требуются решения для защиты как самой сети, включая уровни управления и устройств, так и хранимых и передаваемых данных. Мы должны перестать рассматривать каждый объект по отдельности и взглянуть на общую картину. Злоумышленники начали воспринимать Интернет вещей как единый фронт для атаки. Значит, и специалистам по информационной безопасности нужно видеть его как единое целое.
ИТ- и ОТ-специалисты должны работать плечом к плечу, чтобы обеспечить согласованный уровень безопасности и динамические средства контроля расширенной сети методами, соответствующими специфике обеих сред. Это позволит добиться гибкости, необходимой для адаптации политик безопасности к потребностям конкретной среды.
Чтобы обеспечить защиту важнейших ресурсов в Интернете вещей, руководители компаний и технические специалисты должны усвоить три взаимосвязанных понятия:
∙видимость. Необходимо в режиме реального времени видеть точную картину угроз, приложений, устройств и данных (и связей между ними), чтобы повысить эффективность связанной с ними аналитики. Для этого требуются динамические средства, использующие преимущества автоматизации и аналитики и позволяющие принимать решения на основе актуальной информации.
∙Осведомленность об угрозах Интернет вещей создает аморфный периметр информационной безопасности. Поэтому следует всегда идти на компромисс, научиться безошибочно определять угрозы (а для этого - четко различать нормальное и аномальное поведение систем), обнаруживать признаки компрометации, принимать решения и быстро реагировать на инциденты. Этого сложно добиться, когда среды сложно устроены и сильно фрагментированы.
∙Действия. Обнаружив угрозу или аномальное поведение, мы должны приступать к действиям. Для этого потребуются правильные технологии, процессы и люди, работающие слаженно, быстро и эффективно, а также гибкая система доверительных отношений для автоматизации работы.
Упомянутые выше три аспекта - не просто слова, а фундамент надежной системы безопасности, особенно на фоне растущего числа возможных направлений атак в Интернете вещей. Одна из появившихся недавно атак еще раз продемонстрировала важность реальной видимости на всех уровнях инфраструктуры и возможности обнаруживать и анализировать источники угроз. Если вкратце, атака начинается с целевого фишинга, который использует эксплойт в Microsoft Word (на настольной системе Windows). Специальный макрос запускает загрузку вредоносного кода из Dropbox, а затем распространяется по всей сети. Мы назвали эту многоходовую атаку <Нитью жемчуга> (String of Paerls), потому что на одном из ее этапов используется фальшивый сайт компании, торгующей изделиями из жемчуга. Если бы специалисты безопасности сосредоточили свое внимание лишь на одном из векторов атаки (электронной почте, настольной системе, облачном сервисе обмена файлами или сети), а не рассматривали бы угрозы, векторы, данные и связи между ними как единое целое, подобная атака попросту не была бы обнаружена, а компания не смогла бы быстро отреагировать на нее.
<Нить жемчуга> - лишь один из типов атак, с которыми сталкиваются организации. Все больше автомобилей, промышленных систем, медицинского оборудования подключается к Интернету вещей, все больше бизнес-моделей зависит от возможности таких подключений. Логично, что видимость и осведомленность о поведении злоумышленников должны выйти за рамки традиционных периметров безопасности. И, разумеется, обнаруживая подобные атаки, мы должны быть в состоянии принять меры. Вот что мы должны иметь в виду, если хотим воспользоваться теми преимуществами для бизнеса (и для личной жизни), которые нам сулит Интернет вещей.