W prezentacji, którą można było obejrzeć podczas konferencji pt. „RSA Conference 2021„, specjaliści w dziedzinie bezpieczeństwa Itzik Feiglevitch i Justin Sowder poruszyli kwestię podatności na cyberwłamania różnych urządzeń internetu rzeczy, które znajdują się w firmie, oraz potrzebę ich specjalnego traktowania pod kątem cyberbezpieczeństwa. Mężczyźni przedstawili kilka wspaniałych przykładów pokazujących stan bezpieczeństwa internetu rzeczy w firmach.
Niewielu specjalistów od cyberbezpieczeństwa jest na bieżąco z firmowym sprzętem typu internet rzeczy. Inteligentne windy, wszelkiego rodzaju czujniki, telewizja IPTV, drukarki, kamery monitoringu i tym podobne częściej są tylko miszmaszem składającym się z urządzeń, z których każde ma własny system operacyjny i zastrzeżony protokół, a wiele z nich nie ma interfejsu do stosownej kontroli. W firmie mogą być tysiące takich urządzeń.
Dlaczego urządzenia internetu rzeczy stanowią dodatkowe zagrożenie dla cyberbezpieczeństwa
Nie zawsze urządzenia internetu rzeczy są kojarzone z odpowiednią infrastrukturą; chociaż drukarka sieciowa zwykle jest liczona jako urządzenie sieciowe, sytuacja wygląda inaczej w przypadku elementów składających się na „inteligentny budynek” czy system telefonii IP. Tymczasem takie urządzenia są często podłączone do tej samej sieci co firmowe stacje robocze.
Sytuację może jeszcze bardziej komplikować rotacja pracowników. Im jest ona większa w dziale cyberbezpieczeństwa i IT, tym większa jest szansa, że nowa osoba nie będzie wiele wiedziała o tzw. zoo składającym się z rzeczy, które łączą się nie tylko z internetem, ale i siecią firmową.
Być może najgorsze jest to, że dostęp do części takich urządzeń można uzyskać spoza obwodu firmowego. Chociaż mogą istnieć ku temu uzasadnione powody (np. kontrola producenta nad jakimś aspektem urządzenia, wykorzystywanie go do pracy zdalnej, prace serwisowe), posiadanie w sieci firmowej urządzeń, które mają stały dostęp do internetu, jest ryzykowne.
Może to brzmieć paradoksalnie, ale kolejnym czynnikiem zwiększającym zagrożenie jest niezawodność współczesnej elektroniki: niektóre urządzenia internetu rzeczy mają bardzo długą żywotność i działają w znacznie bardziej złożonych środowiskach bezpieczeństwa, niż zostały zaprojektowane.
Na przykład na części takich urządzeń działają przestarzałe, podatne na zagrożenia systemy operacyjne, które nie są już aktualizowane — a nawet jeśli można je uaktualniać, może to wymagać dostępu fizycznego (który może być utrudniony lub nawet niemożliwy). Czasami nie można w ogóle zmienić hasła, czasami trzeba zabezpieczyć urządzenie przed backdoorami, które niestety zostały pominięte w ostatniej wersji oprogramowania układowego — i wiele innych niespodzianek, które urozmaicają życie profesjonalisty z dziedzinie bezpieczeństwa IT.
Dlaczego cyberprzestępcy interesują się urządzeniami internetu rzeczy
Cyberprzestępcy mają na oku urządzenia internetu rzeczy z kilku powodów. Umożliwiają one realizację ataków nie tylko na firmę, w której się znajdują, ale także na inne przedsiębiorstwa. Zhakowane inteligentne urządzenia służą głównie do:
- konfigurowania botnetu dla ataków DDoS,
- generowania kryptowalut,
- kradzieży informacji poufnych,
- sabotażu,
- przeprowadzania dalszych ataków i ruchu bocznego w sieci.
Analiza przypadków
Naukowcy opisali część przypadków, które były związane zarówno ze standardowymi urządzeniami podłączonymi do internetu, jak i dość wąsko wyspecjalizowanymi. Poniżej opiszemy dwa przykłady dotyczące ultrasonografów i urządzeń korzystających z protokołów Zigbee.
Ultrasonograf
Organizacje z sektora opieki zdrowotnej korzystają z wielu urządzeń medycznych z kategorii internetu rzeczy. Aby sprawdzić bezpieczeństwo takich urządzeń, naukowcy kupili używany ultrasonograf i spróbowali złamać jego zabezpieczenia. Zajęło im to zaledwie pięć minut; na urządzeniu znajdował się system Windows 2000, który nigdy nie był aktualizowany. Oprócz uzyskania kontroli nad urządzeniem uzyskali także dostęp do danych pacjentów, bo poprzedni właściciel ich nie usunął.
Lekarze często używają urządzeń medycznych przez wiele lat, a nawet dziesięcioleci, nie aktualizując ich. To zrozumiałe, gdy panuje zasada: jeśli coś działa, nie naprawiaj. Jednak urządzenia te nie działają tylko w tej organizacji, która je nabywa jako pierwsza — często są one odsprzedawane i działają jeszcze przez ługi czas.
Protokoły Zigbee
Protokoły sieciowe Zigbee zostały opracowane w 2003 r. Często są one stosowane ze względu na energooszczędną komunikację bezprzewodową między urządzeniami, dobrze spisują się także podczas tworzenia sieci mesh i łączenia różnych komponentów w inteligentnym budynku. Z tego powodu są wykorzystywane w firmach. W efekcie gdzieś w biurze istnieje brama, która kontroluje dziesiątki różnych urządzeń, takich jak na przykład inteligentny system oświetlenia.
Niektórzy badacze twierdzą, że cyberprzestępca może łatwo naśladować urządzenie Zigbee na zwykłym laptopie, połączyć się z bramą i zainstalować złośliwe oprogramowanie. Osoba taka musiałaby tylko znaleźć się w zasięgu sieci Zigbee — na przykład w lobby biurowym. Po przejęciu kontroli nad bramą można sabotować pracę na wiele sposobów — na przykład wyłączyć całe inteligentne oświetlenie w budynku.
Jak zabezpieczyć sieć firmową
Specjaliści ds. zabezpieczeń nie zawsze są pewni, czy powinni chronić urządzenia internetu rzeczy w sieci firmowej, czy chronić sieć firmową przed urządzeniami internetu rzeczy. W rzeczywistości należy rozwiązać oba problemy. Każdy przedmiot i każde działanie w sieci muszą być widoczne. Konfiguracja zabezpieczeń w firmie wymaga w pierwszej kolejności zidentyfikowania wszystkich urządzeń podłączonych do sieci, prawidłowego zaklasyfikowania ich i przeanalizowania związanego z nimi ryzyka.
Następnym krokiem jest oczywiście segmentacja sieci na podstawie wyników analizy. Jeśli urządzenie jest niezbędne i niezastąpione, ale ma luki w bezpieczeństwie, których nie można naprawić poprzez aktualizacje, wówczas sieć należy skonfigurować tak, aby a) podatne urządzenia nie miały dostępu do internetu i b) nie można było łączyć się z nimi z innych segmentów sieci. Najlepiej zastosować tu koncepcję Zero Trust.
Monitorowanie ruchu sieciowego pod kątem wystąpienia anomalii w poszczególnych segmentach ma również kluczowe znaczenie, gdyż umożliwia śledzenie zhakowanych urządzeń internetu rzeczy, które mogą zostać wykorzystane do ataków DDoS lub generowania kryptowalut.
W celu wczesnego wykrywania zaawansowanych ataków, które wykorzystują urządzenia internetu rzeczy znajdujące się w sieci korporacyjnej i atakują inne systemy, używaj rozwiązania klasy EDR.