Uważaj, co podłączasz
Systemy tworzone do realizacji wielu zadań i celów, ale z pewnością nie do tego, by kontrolować zalew podłączanych nieustannie nieautoryzowanych urządzeń przewodowych i bezprzewodowych, nie są w stanie zarządzać bezpieczeństwem wszystkiego, co się w nich pojawia. Oczekuje się, że w skali globalnej w ciągu roku liczba urządzeń podłączonych do sieci wzrośnie do ponad 27 miliardów i nie przestanie rosnąć (2). Niestety, większość tradycyjnych rozwiązań zabezpieczających nie jest w stanie chronić, a nawet po prostu wykrywać tych urządzeń.
Każdy, kto pracuje czy też uczy się, zna dobrze to zjawisko. Setki i tysiące sztuk nowego sprzętu, w tym także mnóstwo prywatnych urządzeń, pojawiających się w hipotetycznie bezpiecznych sieciach. Do tego dochodzi rozrastająca się pajęczyna Internetu Rzeczy. Wszystko to zwiększa "powierzchnię", która może zostać wykorzystana do ataku na systemy organizacji, ułatwiając cyberprzestępcom wnikanie najpierw do warstw zewnętrznych, a następnie także tych pilniej strzeżonych zasobów.
Kłopot z niezarządzanym sprzętem
Wiele organizacji musiało się nauczyć, że widoczność wszystkich urządzeń w ich sieciach ma fundamentalne znaczenie dla każdej strategii bezpieczeństwa, która obecnie musi obejmować znaczne wzmocnienie ich obrony punktów kluczowych. Dlatego konieczna jest inwentaryzacja wszystkich urządzeń, zarówno zarządzanych, jak i niezarządzanych, co oczywiście jest dodatkowym nakładem pracy i środków. Nie trzeba dodawać, że wiele firm tego nie przeprowadza. Tymczasem zasada jest taka - każde tzw. niezarządzane urządzenie w sieci musi być uznane za krytyczne zagrożenie dla bezpieczeństwa.
Łatwiej to powiedzieć, niż zrobić, biorąc pod uwagę, że szacowane liczby owych niezarządzanych są ogromne i wciąż rosną. Badania amerykańskie pokazują, że średnio organizacje nie znają około 40 proc. urządzeń w swoich środowiskach. Dzieje się tak pomimo faktu, że duże organizacje zazwyczaj stosują tak zwane narzędzia zwiększające widoczność.
Na liście urządzeń widm w większości sieci znaleźć można zarówno komputery stacjonarne, jak też laptopy i smartfony, a także tzw. inteligentne urządzenia elektroniczne, takie jak smart TV, kamery internetowe, drukarki, systemy klimatyzacyjne, roboty przemysłowe, przenośne urządzenia medyczne i wiele innych. Obejmuje ona również sprzęt/oprogramowanie w obszarze technologii operacyjnych przeznaczone do wykrywania lub powodowania zmian w urządzeniach fizycznych, takich jak zawory, pompy itp.
Tradycyjne narzędzia wykrywające widoczność urządzeń w sieci bardzo często nie są już w stanie sprostać temu zadaniu, biorąc pod uwagę zmieniający się obecnie krajobraz zagrożeń. Na przykład skanery sieciowe i narzędzia kontroli dostępu do sieci nie są na ogół wiarygodne i mają ograniczony zakres, w szczególności pod względem zdolności do dostarczania istotnych, dogłębnych informacji związanych z bezpieczeństwem.
Wymienia się kilka wyraźnych zagrożeń dla bezpieczeństwa, jakie stwarzają wspominane tu wielokrotnie niezarządzane urządzenia. Jednym z poważniejszych jest stosowanie nieuwierzytelnionych serwerów zarządzających, które mogą być zdalnie zagrożone poprzez wykorzystanie DNS Rebinding (ponowne przypisanie adresu w DNS). Tego rodzaju atak pozwala dowolnej stronie zrealizować połączenie pomiędzy zewnętrznym serwerem a usługą lokalną uruchomioną w ramach systemu adresów wewnętrznych komputerów ofiar. Atakujący zyskuje w ten sposób możliwość wykonania za jego pomocą niemal dowolnej akcji zagrażającej komputerowi, np. pobranie i wykonanie dowolnego pliku, instalacja biblioteki DLL, transfer danych (3).
Co czai się w Internecie Rzeczy?
Ponadto systemy operacyjne (Linux, Windows, Android) w sprzęcie niezarządzanym lub opartym na IoT stanowią zagrożenie dla bezpieczeństwa, ponieważ są rzadko aktualizowane. W miarę upływu czasu gromadzą one dużo luk w oprogramowaniu, które stwarzają możliwości dla hakerów, prowadząc do wycieku danych korporacyjnych i naruszenia własności intelektualnej. Niezarządzane lub oparte na IoT urządzenia są często instalowane w sieci bez zgody menedżera sieci i bez odpowiedniej konfiguracji - w tym aktualizacji domyślnych haseł. Urządzenia te mogą być tzw. maszynami wirtualnymi tworzonymi w złośliwych celach.
Pisaliśmy kilka lata temu w "MT" o ataku zwanym Mirai, który jesienią 2016 r. spowodował awarie na masową, choć jeszcze nie globalną skalę, atakował kamery IP i rutery internetowe, wykorzystując ich słabe lub domyślne hasła. Później zidentyfikowany botnet, nazywany IoT Troop lub Reaper, rozwinął tę strategię, aby po włamaniu do urządzeń z użyciem znanych wad bezpieczeństwa instalować w nich złośliwe oprogramowanie. Sztuki sprzętu zniewolone przez Reapera szacowano na miliony. Mogłyby potencjalnie stanowić poważne zagrożenie. Mirai, któremu firma McAfee przypisywała zainfekowane 2,5 miliona urządzeń, pod koniec 2016 r., był w stanie użyć tych urządzeń do bombardowania dostawcy usług DNS Dyn ruchem śmieciowym, który zablokował wielkie serwisy, w tym Spotify, Reddit i "New York Timesa".
Uzyskanie kontroli nad urządzeniami IoT może mieć bardzo przykre konsekwencje także dla pojedynczych użytkowników. Sprzęty typu kamerki, DVR-y mogą zostać połączone np. z domową siecią Wi-Fi, co pozwoli stworzyć furtkę do kradzieży prywatnych danych użytkowników. Cyberprzestępcy mogliby też np. zacząć kontrolować system alarmowy w mieszkaniu, które albo układ zarządzający energią elektryczną.
Internet Rzeczy (IoT) to również taki sprzęt jak pralki, lodówki i inne urządzenia codziennego użytku będą wymieniały między sobą dane. System nadzoru i obserwacji chroni domy poprzez automatyczne zamykanie drzwi wejściowych i okien czy monitorowanie otoczenia za pomocą kamer. Dzięki połączeniu z Internetem wszystkie te urządzenia mogą być zdalnie sterowane przez właścicieli, tak samo jak i przez cyberprzestępców. Niepokoi możliwość wykorzystania narzędzi podłączonych do Internetu Rzeczy jako broni. Najlepszym przykładem mogłyby być inteligentne auta, które przejęte przez hakerów mogą celowo powodować wypadki, lodówki specjalnie zmieniające temperaturę, żeby żywność się psuła czy inteligentne urządzenia w energetyce, które mogą zostać wykorzystane do przeprowadzenia sabotażu na wielką skalę (zobacz także: Inteligentne wszystko).
Ograniczanie zagrożeń bezpieczeństwa stwarzanych przez niezarządzane urządzenia - fizyczne lub wirtualne - to proces wielopłaszczyznowy, rozpoczynający się od kompleksowego zarządzania urządzeniami i polityki bezpieczeństwa, która obejmuje odpowiednie narzędzia kontroli dostępu do sieci i zarządzania urządzeniami mobilnymi, zdolne do śledzenia znanych i nieznanych urządzeń. Branża IT ciężko pracuje nad tym, aby sprostać niedoskonałościom tradycyjnych narzędzi do wykrywania nieautoryzowanych urządzeń, wypełniając luki nowej generacji narzędziami do wykrywania urządzeń. Niektóre z tych narzędzi wykorzystują głębokie uczenie maszynowe do identyfikacji anomalnych lub nietypowych urządzeń.
Wyzwaniem stojącym przed każdym nowym rozwiązaniem w zakresie bezpieczeństwa jest zapewnienie bieżącego i możliwie szerokiego zasobu informacji o każdym urządzeniu pojawiającym się w sieci, zarówno legalnym, jak też nieupoważnionym lub nieuczciwym, jak również o urządzeniach pracujących poza siecią, komunikujących się za pośrednictwem Wi-Fi, Bluetooth i innych protokołów IOT typu peer-to-peer.
Oczywiście, prosta świadomość istnienia urządzenia lub urządzeń nie wystarczy. Kolejny etap to konieczność obliczenia poziomu ryzyka, które ze sobą niosą. Rozwiązania najnowszej generacji wykorzystują techniki chmury obliczeniowej w celu porównania zaobserwowanych cech charakterystycznych urządzeń i wzorców zachowań z bazą wiedzy, która zawiera punkt odniesienia dla normalnych i akceptowalnych zachowań dla każdego typu urządzenia.
Co ważne, wskaźnik sukcesu na poziomie 99 proc. w zakresie świadomości lub ochrony urządzeń jest oceniany przez specjalistów jako zdecydowanie niewystarczający. Aby przeniknąć do całej sieci korporacyjnej, haker potrzebuje tylko jednego urządzenia. Dane zbierane w przypadku poważnych naruszeń dowodzą, że wykwalifikowani napastnicy, po wejściu do sieci, mogą poruszać się na boki, aby uzyskać dostęp do dowolnej ilości poufnych danych biznesowych i krytycznych dla działalności firmy - często z katastrofalnymi skutkami.
Mirosław Usidus