Οι μέρες που την τεχνολογική υποδομή ενός οργανισμού αποτελούσαν απλώς υπολογιστές και διακομιστές έχουν περάσει ανεπιστρεπτί. Το Διαδίκτυο των Πραγμάτων (IoT) έχει πλέον εδραιωθεί σε κάθε βιομηχανικό κλάδο. Με αυτό τον γενικευμένο όρο (IoT) περιγράφουμε όλες τις διαφορετικές συσκευές που εξοπλίζονται με ελεγκτές, αισθητήρες ή λογισμικό για τη σύνδεση τους στο Διαδίκτυο.
Γιώργος Καπανίρης
Executive Director , NSS
www.nss.gr
Να αναφέρουμε για παράδειγμα όλες τις επιχειρήσεις που διαθέτουν διαδικτυακές κάμερες για προστασία και επιτήρηση, τις σύγχρονες νοσοκομειακές μονάδες που είναι γεμάτες με συσκευές που παρακολουθούν τη κατάσταση των ασθενών τους, τις αγροτικές μονάδες που αξιοποιούν αισθητήρες που έχουν τοποθετήσει στο έδαφος για να λαμβάνουν δεδομένα για τις καλλιέργειές τους, τις εγκαταστάσεις αστικών υποδομών κοινής ωφέλειας που βασίζουν τη λειτουργία τους σε βιομηχανικά συστήματα αυτόματου ελέγχου και τηλεμετρίας SCADA κ.ά.
Αν και με την έλευση του Διαδικτύου των Πραγμάτων (IoT) γνωρίσαμε μεγάλη πρόοδο σε διάφορους τομείς, εντούτοις μαζί του έφερε σειρά από νέες προκλήσεις. Δυστυχώς, για πολλές εταιρείες και οργανισμούς, η ασφάλεια IoT αποτελεί μία δεύτερη, εκ των υστέρων πολλές φορές σκέψη. Και αυτό, επειδή είτε αγνοούν την σπουδαιότητα της, είτε αντιμετωπίζουν μεγάλη δυσκολία για να την υλοποιήσουν. H NSS και η HelpSystems μπορούν να σας βοηθήσουν.
Ενίσχυση της Ασφάλειας IoT με δοκιμές διείσδυσης
Δεδομένου ότι πολλές συσκευές IoT είναι συνδεδεμένες στο δίκτυο ενός οργανισμού, είναι σημαντικό να βεβαιωθείτε ότι δεν θα χρησιμεύσουν ως πύλη εισόδου για επίδοξους εισβολείς στο εταιρικό σας δίκτυο. Επειδή πολλές από αυτές τις συσκευές δεν διαθέτουν κάποιο από τα παραδοσιακά λειτουργικά συστήματα, δεν υπάρχουν λύσεις antivirus διαθέσιμες, με αποτέλεσμα να είναι ευάλωτες. Ο πιο αποτελεσματικός τρόπος για να διασφαλίσετε ότι οι συσκευές IoT είναι ασφαλείς και προστατευμένες είναι μέσω της διαδικασίας των δοκιμών διείσδυσης ή αλλιώς pentesting. Οι λύσεις pentesting θα επιχειρήσουν να παραβιάσουν τις συσκευές που βρίσκονται στην υποδομή σας. Δεδομένου ότι ο κόσμος του IoT είναι απέραντος, και αποτελείται από τα πάντα, όπως μία έξυπνη τηλεόραση ή ένα μηχάνημα μαγνητικής τομογραφίας, κάθε δοκιμή είναι ελαφρώς διαφορετική, ωστόσο μπορεί να περιλαμβάνει από τη φυσική εξέταση της συσκευής (για την προσομοίωση κάποιου επιτήδειου με εσωτερική πρόσβαση) ή τον έλεγχο του firmware για πιθανή αποκρυπτογράφηση ή εξομοίωση μέχρι την αναζήτηση τρόπων αξιοποίησης των εσφαλμένων ρυθμίσεων, αδύναμων κωδικών πρόσβασης, την μη ασφαλή μεταφορά ή αποθήκευση δεδομένων κ.ά.
Δοκιμή διείσδυσης IoT με Core Security
Η Core Security που ανήκει στη HelpSystems, μπορεί να προχωρήσει σε δοκιμές διείσδυσης σε όλες τις συσκευές IoT που βρίσκονται στην υποδομή σας, συμπεριλαμβανομένων συσκευών όπως κάμερες, συσκευές smart home (π.χ. θερμοστάτες), συστήματα SCADA κ.ά. Επιπλέον, οι λύσεις pentesting λαμβάνουν υπόψη τους και τις αλληλοεπιδράσεις μεταξύ των συσκευών IoT, εντοπίζοντας τρωτά σημεία και αδυναμίες που σε άλλη περίπτωση θα περνούσαν απαρατήρητες.
Ανάλογα με τον συγκεκριμένο στόχο και το πεδίο εφαρμογής, οι λύσεις pentesting μπορούν εντοπίσουν τρωτά σημεία (threat modelling), να σαρώσουν τις εκδόσεις υλικολογισμικού (firmware) των συσκευών, να ελέγξουν πηγαίο κώδικα, να σαρώσουν APIs, δικτυακές κονσόλες και εφαρμογές φορητών συσκευών, ενσωματώσεις με εφαρμογές cloud κ.ά. Με την ολοκλήρωση των δοκιμών λαμβάνονται λεπτομερείς αναφορές για τον εντοπισμό των τρωτών σημείων, δίνοντας προτάσεις για μετριασμό τους.
Πόσο δύσκολο είναι να προστατευτούν οι συσκευές IoT;
Στατιστικά, κάθε νέα συσκευή που συνδέεται στο Διαδίκτυο αποτελεί στην ουσία ένα νέο φορέα απειλής, ενισχύοντας τη πιθανότητα μίας επιτυχημένης επίθεσης στην επιχείρηση ή στον οργανισμό σας. Το λογισμικό στις τερματικές συσκευές ενδέχεται να περιέχει κενά ασφαλείας και ευπάθειες που μπορούν να αξιοποιηθούν από ένα κακόβουλο λογισμικό (malware). Στη συνέχεια, οι συσκευές σας γίνονται μέρος μίας αλυσίδας επίθεσης που οδηγεί τελικά τους εισβολείς σε κρίσιμης σημασίας τμήματα του περιβάλλοντος πληροφορικής σας, στα πολύτιμα δεδομένα και εμπορικά μυστικά σας.
Εναλλακτικά, τέτοιες τερματικές συσκευές μπορούν να αποτελέσουν μέρος ενός botnet για την εκτέλεση επιθέσεων άρνησης εξυπηρέτησης υπηρεσιών (DoS Attack – Denial of Service). Δυστυχώς, τα περισσότερα προϊόντα ασφαλείας προστατεύουν μόνο ορισμένες από αυτές τις συσκευές ή απαιτούν την εγκατάσταση ειδικών agents για την παρακολούθηση τους. Στη συντριπτική τους πλειοψηφία θα τολμούσαμε να πούμε, ότι οι συσκευές IoT, συμπεριλαμβανομένων και συσκευών προηγμένης τεχνολογίας, δεν παρακολουθούνται και δεν προστατεύονται. Όμως είναι απολύτως απαραίτητο να σκεφτείτε από σήμερα, ένα σχέδιο δράσης προστασίας τους.
- Καταρτίστε ένα σχέδιο δράσης – Η ασφάλεια δεν είναι κάτι που γίνεται, όπως λέμε, «ad-hoc». Καθιερώστε μία στρατηγική σε φάσεις, αναθέτοντας καθήκοντα στα απολύτως κατάλληλα άτομα για αρχή. Στη συνέχεια προχωρήστε σε έναν ενδελεχή έλεγχο της υποδομής σας. Δημιουργήστε μία λίστα με όλους τους υπολογιστές και όλες τις συσκευές που υπάρχουν, αλλά και επιβεβαιώστε ότι δεν υπάρχουν «σκιώδεις συσκευές πληροφορικής».
Μερικά ακόμα στοιχεία που πρέπει να σκεφτείτε είναι: 1ον) η αποσύνδεση των συστημάτων που δεν χρειάζεται να είναι συνδεδεμένα στο διαδίκτυο, 2ον) η οργάνωση μίας διαδικασίας δημιουργίας αντιγράφων ασφαλείας, 3ον) ο προσδιορισμός των εξαρτήσεων σε λειτουργικά συστήματα, 4ον) ο καθορισμός του ποιος έχει την εξουσία να λαμβάνει βασικές αποφάσεις, 5ον) το πλάνο τακτικών αντιγράφων ασφαλείας σημαντικών πόρων και τέλος 6ον) η αποτελεσματικότητα του σχεδίου αντιμετώπισης συμβάντων και περιστατικών ασφαλείας.
- Εκπαιδεύστε σωστά τους υπαλλήλους σας – Πολλές φορές, άθελά τους, οι υπάλληλοι θέτουν σε κίνδυνο τις εταιρείες ή τους οργανισμούς που εργάζονται. Πως; Πατώντας για παράδειγμα χωρίς την απαραίτητη προσοχή έναν επικίνδυνο σύνδεσμο σε κάποιο μήνυμα ηλεκτρονικού ταχυδρομείου. Το ηλεκτρονικό ψάρεμα εξακολουθεί να αποτελεί μία εξαιρετικά επιτυχημένη τακτική για τους κυβερνοεγκληματίες, οι οποίοι καταφέρνουν και παρασύρουν τους ανθρώπους να ανοίξουν έναν σύνδεσμο ή ένα συνημμένο με malware ή ακόμα και να εισάγουν διαπιστευτήρια σε μία παραπλανητική, ψεύτικη ιστοσελίδα που μοιάζει σε απίστευτο βαθμό με την πραγματική. Η εκτέλεση μίας δοκιμής διείσδυσης κοινωνικής μηχανικής (social engineering pentesting) όπως για παράδειγμα είναι το CoreImpact ή καλύτερα στη συγκεκριμένη περίπτωση το CobaltStrike (και τα δύο είναι εργαλεία της HelpSystems) θα σας βοηθήσει να εντοπίσετε ποιος χρήστης σας είναι πιο ευάλωτος στις εκστρατείες phishing. Μόλις εντοπίσετε τους ευάλωτους υπαλλήλους, μπορείτε να τους επιστήσετε τη προσοχή ώστε να είναι προσεκτικοί με το άνοιγμα συνημμένων ή συνδέσμων και βεβαίως να προχωρήσετε με την εκπαίδευση τους για να αναγνωρίζουν «όλα τα σημάδια» του phishing.
Η αύξηση της τηλεργασίας έκανε απαραίτητη την ανάγκη εκπαίδευσης των εργαζομένων. Οι οικιακοί δρομολογητές ενδέχεται να έχουν λανθασμένες ρυθμίσεις ή να μην διαθέτουν την τελευταία ενημέρωση του υλικολογισμικού τους (firmware). Οι ηθελημένες ή ακούσιες συνδέσεις που πραγματοποιούνται στο εταιρικό δίκτυο, από desktop ή φορητούς υπολογιστές, κινητά ή tablet και από οποιαδήποτε άλλη συσκευή έχει δυνατότητα WiFi, θα μπορούσαν να αξιοποιηθούν από φορείς επίθεσης. Δεδομένου ότι καμία από αυτές τις συσκευές δεν βρίσκεται υπό τον έλεγχο της ομάδας ασφαλείας σας, είναι κρίσιμης σημασίας να προχωρήσετε στην εκπαίδευση των υπαλλήλων σας για τις βέλτιστες πρακτικές καθώς και να τους υπενθυμίζετε τακτικά ότι πρέπει να ενημερώνουν τα συστήματά τους.
- Περιορίστε όσο το δυνατόν περισσότερο την πρόσβαση – Πολύ συχνά, οι οργανισμοί ανακαλύπτουν πολύ αργά πόσα άτομα είχαν πρόσβαση σε κρίσιμης σημασίας δεδομένα και συστήματα, όπως για παράδειγμα είναι το SCADA. Σε πολλές περιπτώσεις, τα υπερβολικά προνόμια ή δικαιώματα διευκολύνουν τους φορείς απειλής να αποκτήσουν τον έλεγχο των συστημάτων ενός οργανισμού. Σκεφτείτε για παράδειγμα, να μπορούν να αποκτήσουν πρόσβαση αξιοποιώντας τα διαπιστευτήρια οποιουδήποτε χρήστη θα μπορούσαν να κλέψουν και να μην απαιτείται η χρήση των διαπιστευτηρίων του διαχειριστή. Η διασφάλιση ότι έχετε παραχωρήσει προνομιακή πρόσβαση στους απολύτως κατάλληλους ανθρώπους είναι κρίσιμης σημασίας, καθώς συμβάλει αποτελεσματικά στον περιορισμό των κινδύνων και στη συνολική βελτίωση της στάσης ασφαλείας του οργανισμούς σας.
- Να εφαρμόζετε πάντα τις ενημερώσεις ασφαλείας – Ξέρατε ότι πολλές φορές οι επιτιθέμενοι ή οι εισβολείς καταφέρνουν να παραβιάσουν επιτυχώς τα μέτρα ασφαλείας ενός οργανισμού αξιοποιώντας ένα γνωστό πρόβλημα ασφάλειας (exploits) για το οποίο υπάρχει ήδη διαθέσιμη κάποια ενημέρωση η οποία όμως δεν έχει γίνει; Ακριβώς για αυτό τον λόγο δεν παραβλέπουμε ή αναβάλλουμε την εφαρμογή ενός patch. Είναι πάντως κατανοητό, ότι καθώς ολοένα και περισσότερες συσκευές IoT εντάσσονται στην εταιρική υποδομή, γίνεται ολοένα και πιο δύσκολο να βεβαιωθείτε ότι τα πάντα είναι ενημερωμένα, πόσο μάλλον να είστε ενήμεροι για όσα κενά ασφαλείας ανακαλύπτονται και τα διαθέσιμα patches. Το να εφαρμόζετε τις ενημερώσεις κώδικα σποραδικά ή ανά διαστήματα δεν είναι πλέον αρκετό και δεν αποτελεί σωστή στρατηγική. Είναι σημαντικό να αφιερώσετε χρόνο για να καταστρώστε μία στρατηγική για τη διαδικασία εφαρμογής ενημερώσεων και patches, ώστε να είστε βέβαιοι ότι δεν πρόκειται ποτέ να την παραβλέψετε. Ένας από τους καλύτερους τρόπους για να γνωρίζετε ποιες ευπάθειες ή κενά ασφαλείας επηρεάζουν τα συστήματα σας είναι να σαρώνετε τακτικά με μια λύση αξιολόγησης ευπαθειών (vulnerability assessment) όπως για παράδειγμα το Digital Defense της HelpSystems, το οποίo μάλιστα μπορεί αν διασυνδεθεί με το Core Impact της Core Security που ανήκει επίσης στη HelpSystems. Τέτοιες σαρώσεις μπορούν να δώσουν σε έναν οργανισμό μια ιδέα για τις απειλές ασφαλείας που μπορεί να βρεθεί αντιμέτωπος, παρέχοντας πληροφορίες για πιθανές αδυναμίες και κενά ασφαλείας στο εταιρικό περιβάλλον.
- Να ελέγχετε τακτικά τα συστήματα σας- Ο καλύτερος τρόπος για να μάθετε τη στρατηγική ασφάλειας IoT σας, είναι να την τεστάρετε. Οι δοκιμές διείσδυσης (pentesting) με μία λύση όπως το Cobalt Strike, θα σας βοηθήσουν να αξιολογήσετε την ικανότητα του οργανισμού σας προστατεύει τα δίκτυα, τις εφαρμογές, τις τερματικές συσκευές και τους χρήστες του από εξωτερικές ή εσωτερικές απόπειρες παράκαμψης των ελέγχων ασφαλείας με στόχο την απόκτηση μη εξουσιοδοτημένης ή προνομιακής πρόσβασης σε προστατευμένα περιουσιακά στοιχεία. Με το «exploiting» της υποδομής του οργανισμού σας, το pentesting μπορεί να σας δείξει ακριβώς με ποιο τρόπο ένας επιτιθέμενος θα μπορούσε να αξιοποιήσει το IoT (π.χ. μία διαδικτυακή κάμερα) για να αποκτήσει πρόσβαση στο δίκτυό σας και στη συνέχεια στα ευαίσθητα δεδομένα σας.
Επιπλέον, τα pentests μπορούν να επικυρώσουν τις προσπάθειες αποκατάστασης και να επαληθεύσουν τη σωστή λειτουργία όλων των μέτρων που έχετε λάβει για βελτίωση της στάσης ασφάλειας σας. Για παράδειγμα, μπορούν να σας βοηθήσουν να προσδιορίσετε τη κατάσταση ενός patch που εφαρμόστηκε πρόσφατα. Αν και ο σαρωτής μπορεί να αναγνωρίσει την ύπαρξη του, εντούτοις το patch μπορεί να μην λειτουργεί επειδή δεν έγινε επανεκκίνηση του συστήματος. Οι συχνές και περιοδικές δοκιμές διείσδυσης θα διασφαλίσουν ότι ο οργανισμός σας θα βρίσκεται πάντα ένα βήμα μπροστά, καθώς θα αποκαλύπτονται και θα επιδιορθώνονται κενά ασφαλείας ή αδυναμίες προτού βρεθεί κάποιος παράγοντας απειλής να τα αξιοποιήσει προς όφελός του.
- Λάβετε υπόψη σας και λύσεις που εντοπίζουν παραβιασμένες ή μολυσμένες συσκευές – Δεδομένου ότι πολλές συσκευές IoT δεν ενσωματώνουν παραδοσιακά προγράμματα προστασίας από ιούς, το να εστιάσετε μόνο στην πρόληψη δεν αρκεί. Είναι απολύτως απαραίτητο λοιπόν να είστε σε θέση να εντοπίζετε και να απομακρύνετε τυχόν απειλές, το αποτύπωμα των οποίων υπάρχει ήδη στο εταιρικό δίκτυο.
Όσο περισσότερο βρίσκεται μία μόλυνση σε ένα δίκτυο, τόσο μεγαλύτερη και η ζημιά που μπορεί να προκαλέσει. Ο γρήγορος εντοπισμός απειλών με τη χρήση εργαλείων Network Traffic Analysis (NTA) όπως είναι το προηγμένο Network Insight της HelpSystems το οποίο εντοπίζει μολύνσεις που άλλες λύσεις αγνοούν και συμβάλει αποτελεσματικά στην ελαχιστοποίηση των κινδύνων και της ζημιάς. Επιπλέον, με την παρακολούθηση της κίνησης δεδομένων, μία λύση NTA έχει την ικανότητα να παρακολουθεί και διαφορετικούς τύπους συσκευών. Για παράδειγμα, πολλές λύσεις NTA είναι αγνωστικιστικές ως προς το λειτουργικό σύστημα, παρακολουθώντας τη κίνηση δεδομένων τόσο από διακομιστές Linux όσο και από σταθμούς εργασίας Windows.
Έξυπνη ενσωμάτωση IoT
Αν και ενδεχομένως ορισμένοι μπορεί να… τρομάξετε, σκεπτόμενοι τις απειλές για την ασφάλεια που μπορεί να φέρει το IoT στο περιβάλλον σας, αυτό δεν σημαίνει ότι πρέπει να διστάσετε να το ενσωματώσετε στην υποδομή σας. Εφόσον ακολουθήσετε όλα τα παραπάνω βήματα, θα αισθανθείτε σιγουριά και θα είστε σε θέση να απολαύσετε όλα τα οφέλη που προσφέρει η απίστευτη αυτή τεχνολογία. Μιλήστε με την NSS και να είστε σίγουροι ότι μπορούμε να σας βοηθήσουμε σε συνεργασία με το εξουσιοδοτημένο δίκτυο συνεργατών μας.