Written by Nedávny článok v TechRepublic spomína, že spoločnosť Kaspersky zaznamenala v prvej polovici roka 2019 deväťnásobný nárast útokov – 105 miliónov útokov z 276 000 jedinečných IP adries – na IoT zariadení v porovnaní s prvou polovicou roku 2018, kedy išlo o 12 miliónov útokov.
Útoky na IoT rastú rýchlejšie ako počet samotných pripojených zariadení. Akonáhle dôjde k prieniku do zariadenia, stane sa zvyčajne súčasťou botnetu, ktorý možno následne zneužiť na spustenie DDoS alebo iného typu útoku. Už sme videli niekoľko takých malwarových útokov ako Mirai, Gafgyt, Hajime, Amnesia, Persirai, Remaiten, NyaDrop. Alternatívne sa malware na IoT zariadeniach, ako sú domáce kamery, využíva na zber súkromných informácií o spotrebiteľoch, ktoré sa potom zneužívajú – napríklad sa predávajú na dark webe, alebo slúžia k vydieraniu používateľa atď.
IoT zariadenia: Cenný cieľ pre hackerov
Čo robí z IoT zariadení obľúbený cieľ hackerov a ďalších útočníkov? V prvom rade je to jednoducho ich počet. Podľa niektorých odhadov je na celom svete už nasadených asi 10 miliárd zariadení internetu vecí, čo v najbližších piatich rokoch vzrastie na viac ako 25 miliárd. To sú asi štyri zariadenia na každého človeka na Zemi.
Škála týchto zariadení a nenápadné umiestnenia alebo mód ich nasadenia vedie k stavu „zíde z očí, zíde z mysle.“ To útočníkom poskytuje jedinečnú živnú pôdu pre zneužívanie. Väčšinu zariadení používajú ľudia, ktorí nie sú dostatočne informovaní o online bezpečnostných hrozbách alebo nemusia byť dostatočne opatrní. Akonáhle sú tieto zariadenia rozmiestnené, sú tak zvyčajne ponechané, kým nedôjde k nejakej katastrofe.
Ako teda IoT zariadenia ochránime?
Na zodpovedanie tejto otázky je dôležité najprv pochopiť, ako sú IoT zariadenia ohrozené. Najjednoduchší spôsob, ako k nim môžu hackeri získať prístup, je hrubou silou pomocou metódy pokus omyl: prihlásenie do týchto zariadení pomocou sady najčastejšie používaných užívateľských mien a hesiel známych medzi výrobcami zariadení.
Druhým najčastejším vstupným bodom sú pre hackerov známe chyby zabezpečenia v zariadeniach, ktorých firmware nebol aktualizovaný.
Tretím najčastejším vstupným bodom je slabé alebo žiadne overenie. Tieto autentizačné mechanizmy by mohli byť jednoduché jasné textové heslo alebo slabé kryptografické algoritmy, ktoré možno ľahko rozbiť brute-force metódami. Ďalšou obľúbenou metódou sú skryté zadné vrátka, ktoré výrobcovia do zariadení obvykle dávajú kvôli zákazníckej podpore.
Aby sme sa uistili, že chránime zariadenia a útoky, ktoré z nich vychádzajú, mali by sme na problém nahliadať dvoma spôsobmi. Prvá zahŕňa to, ako posilníme bezpečnosť samotných zariadení internetu vecí. Najbežnejším ochranným mechanizmom proti vyššie uvedeným zraniteľnostiam je udržiavanie hygieny:
- Pred pripojením zariadenia k sieti zmeňte predvolené užívateľské meno a heslo.
- Sledujte aktualizácie firmvéru publikované výrobcom a inštalujte ich hneď, ako sú dostupné.
- Zaistite, aby všetky aktualizácie softvéru/firmvéru IoT zariadení boli zabezpečené pomocou kombinácie kontrolného súčtu, šifrovania a dôveryhodného zdroja aktualizácie.
- Pre autentizáciu použite dvojfaktorový autentizačný mechanizmus so silnými kryptografickými algoritmy.
- Buďte si vedomí akýchkoľvek skrytých zadných vrátok a zaistite ich pomocou silného overovania alebo je úplne zatvorte.
- Nasadzujte sieťové politiky tak, aby IoT zariadenie mohlo komunikovať len s obmedzenou sadou služieb v sieti.
- Reštartujte zariadenie, kedykoľvek máte pocit, že sa chová podivne.
Ako zabezpečíte zariadenia, zabezpečte sieť
Ak máme IoT zariadenie v rámci možností čo najlepšie zabezpečené, pozrime sa na zabezpečenie siete pred potenciálnymi útokmi z kompromitovaných IoT zariadení. Bez ohľadu na to, ako zariadenia zabezpečíme, ich samotný počet a rozmanitosť znamenajú, že vždy budú niektoré zraniteľné – tie, ktoré nezodpovedajú najnovšiemu bezpečnostnému postoji/politike. To stačí na to, aby sa spoločne stala väčšou hrozbou.
Hlavnou hrozbou pre sieť a služby hostované v sieti je škodlivá prevádzka z IoT zariadení, ktoré sú súčasťou botnetov. Ak dokážeme z kompromitovaných zariadení odfiltrovať škodlivú prevádzku, máme riešenie. Najjednoduchší spôsob, ako to dosiahnuť, je vytvoriť black list obsahujúci záznamy, ako sú IP adresa, URL atď., ktoré potrebujeme sledovať a tieto pakety filtrovať. To v zásade vytvára na základe historických údajov o útokoch tzv. Threat intelligence, ktorú je možné aplikovať na pakety v kritických bodoch siete pomocou zariadení, ako sú firewally alebo systémy proti narušeniu.
Vytváranie threat intelligence je však v porovnaní s nárastom IoT zariadení trochu pomalý proces. Aby sme zostali pred hrozbami o krok napred, musíme použiť strojové učenie (napr. pomocou klasifikačných algoritmov) k dynamickej identifikácii určitých vzorcov dát, ktoré môžu byť pre sieťové služby potenciálne škodlivé.
Ak napríklad zistíme, že jedinečný vzorec dát (ktorý zvyčajne nie je na našom black listu s informáciami o hrozbách) vychádza z viacerých zdrojových IP adries v sieti smerom ku konkrétnej cieľovej IP adrese, potom by to mohlo potenciálne ukazovať na koordinovaný DDoS útok, ktorý môže vychádzať z viac IoT zariadení smerom ku konkrétnej službe.
Na náhodne vybranej sade paketov by mohol byť použitý náhodný klasifikačný algoritmus pre identifikáciu takého jedinečného vzoru dát. Tento útok môže byť veľmi krátkodobý a dynamický, preto je relatívne statický black list nepoužiteľný. A10 Networks to rieši pomocou funkcie ZAP (Zero-day Automated Protection) v produktovej rade Thunder Threat Protection System (TPS).
Ďalším dôležitým spôsobom, ako obmedziť potenciálne útoky z IoT zariadení, je použitie spravovaných pripojení. V tejto metóde využívame skutočnosti, že zariadenia sú určené pre konkrétny typ služby s vopred určenou sadou aplikačných serverov, a obmedzujeme pakety generované týmito zariadeniami na iba vopred určené sady cieľových serverov.
Ak napríklad pomocou IoT zariadení sledujeme všetky verejné parkovacie miesta v chytrom meste, pakety z týchto zariadení majú povolené ísť len na aplikačný server parkovacích zariadení, ktorý poskytuje informácie o voľnom parkovacom mieste mobilnej aplikácií. Ak tieto IoT zariadenia generujú akýkoľvek druh škodlivej prevádzky smerom k akýmkoľvek iným službám, bude tato prevádzka prerušená sieťou a poskytovateľovi parkovacích služieb bude zaslané príslušné oznámenie, aby mohol podniknúť nápravné opatrenia. To by mohlo byť tak jednoduché, ako je reštartovanie zariadenia.
Využitie edge computingu
Novo používané edge computing prostredia nám poskytujú ďalšiu vrstvu ochrany pred útokmi prichádzajúcimi z IoT zariadení. V poslednom desaťročí pokrok výpočtového výkonu skutočne prekonal vývoj v priepustnosti sietí. Inými slovami, je lacnejšie poskytovať výpočtovú kapacitu tam, kde sa dáta nachádzajú ako presúvať kúsky dát tam, kde existuje výpočtová kapacita. Väčšina dát je generovaná zariadeniami alebo užívateľmi na periférii siete.
Ak teda poskytneme dostatočnú výpočtovú kapacitu na okraji siete, môžeme spracovať väčšinu dát tam a presúvať po sieti iba agregované alebo kritické dáta. Keď do edge computingového prostredia pridáme dostatok funkcií ochrany pred narušením, dokážeme z neho odfiltrovať väčšinu škodlivej prevádzky zo zariadení k nemu pripojených. To nám umožní poskytovať distribuovanú a vrstvenú ochranu siete a služieb.
Stručne povedané, IoT zariadenia nám poskytujú širokú škálu zaujímavých schopností a služieb, čo sa s príchodom 5G ešte rozšíri. Je však veľmi dôležité nielen zabezpečiť samotné zariadenia skrze správnu bezpečnostnú hygienu, ale tiež ochrániť sieť pomocou threat intelligence, strojového učenia a využívaním spravovaných pripojení. Nárast edge computingu nám potom dovolí využiť týchto prostredí na zvýšenie ochrany pred narušením na okraji, kde sa všetky tieto zariadenia pripájajú.
Autor: Ravi Raj Bhat, CTO A10 Networks
Preklad a úpravy: Jan Mazal, VPGC
Zdroj: A10 Networks – A Strong Security Posture is Critical for IoT