Аналитики нашли ключ к безопасности интернета вещей

storage
мобильная версия

Аналитики заключили, что сделать интернет вещей безопасным для бизнеса поможет только полный анализ всей экосистемы подключенных устройств. Для этого бизнес должен иметь представление как о методологии такого тестирования, так и о ключевых уязвимостях ИВ-систем.


Тестировать нужно не только подключенные устройства

Регулярное полное тестирование корпоративных ИТ-систем — единственный способ гарантировать, что организации, использующие интернет вещей (ИВ), остаются в безопасности. При этом, подобная работа должна проводиться не только с непосредственно подключенными к интернету устройствами. К таким выводам пришли аналитики компании Rapid7, изучив проблемы, связанные с безопасностью ИВ.

«Когда мы говорим о безопасности интернета вещей, то тестеры и сами компании и их клиенты делают упор на оборудовании со встроенными технологиями. Однако этот подход неверен: важно включить в анализ всю экосистему продукта. Соответственно, необходимо рассматривать все элементы ИВ-решения, а не только его аппаратную часть», — говорит исследователь Дэрал Хэйланд (Deral Heiland).

Злоумышленники могут атаковать не только подключенные устройства, но и всю экосистему интернета вещей

Аналитики отмечают, что тестирование ИВ-решений должно включать работу с сетевыми коммуникациями, радиочастотной связью, облачными API (интерфейсами прикладных программ), мобильными приложениями, облачными сервисами и приложениями для управления. Исследование показало, что практически каждый из этих элементов может вызывать проблемы с безопасностью ИВ-решений.

За безопасность отвечают производители устройств

По мнению аналитиков, именно производители устройств должны быть ответственными за безопасность ИВ-решений. А потому они должны гарантировать, что обладают эффективными механизмами исправления или обновления программного обеспечения, причем для бизнес-процессов критично максимально быстрое устранение неполадок. В качестве красноречивого примера эксперты приводят системы GPS-трэкинга, который позволяет родителям узнать местонахождение их ребенка.

«Облачные API-интерфейсы, связанные с этим продуктом, вызвали больше проблем с безопасностью, чем вы можете себе представить, — делится наблюдениями Дэрал Хэйланд. — Совершенно посторонние люди могли получить доступ ко всем данным GPS-отслеживания с устройства, номерам телефонов, связанным с устройством, другим контактным данным и даже номеру мобильного оборудования (IMEI)».

В результате любой, у кого есть учетная запись в системе, может также получить доступ к другим учетным записям и удаленно перенастроить устройства из-за низкого уровня обеспечения безопасности сообщений через API от устройства до связанного веб-интерфейса.

В Rapid7 отмечают, что, хотя у небольших компаний вряд ли есть набор навыков, необходимый для проведения тестирования безопасности, даже простое осознание потенциальных рисков, связанных со всеми компонентами системы интернета вещей, может помочь внедрить ИВ более безопасным способом. Для этого необходимо определить наиболее подходящие бизнесу способы смягчения рисков в своей конкретной среде, следуя передовой практике и разработав конкретные процессы и процедуры, связанные с интернетом вещей.

Эксперты уточняют, что для разработки эффективного процесса тестирования, организации должны сначала понять структуру типичной экосистемы интернета вещей, изучить общие методологии тестирования и ознакомиться с наиболее частыми уязвимостями.