| |
 | Журнал ТЗ № 5 2017 |  |
|
Раздел: АКЦЕНТ
Тема: Кибербезопасность
Автор:
| Нужна ли безопасность безопасности? | | Вячеслав ТЕСАКОВ, генеральный директор компании «РАВЕЛИН»
Современные системы безопасности предлагают огромный выбор возможностей по организации защиты объектов. Большинство из них строится на базе использования корпоративных локальных вычислительных сетей. В сообществе специалистов по безопасности нет единого мнения, как необходимо их правильно использовать. Одни рекомендуют строить выделенные локальные сети, которые использовались бы только подсистемами безопасности. Другие – использовать дополнительно специальные программные средства для защиты компьютеров, на которых стоит специализированное программное обеспечение. Однако реальность часто показывает, что многие и специалисты, и заказчики недооценивают угрозы, которые появляются при использовании IP-устройств.
На сегодня во многих системах безопасности не применяются стойкие протоколы защиты передаваемой информации. Более того, разработчики интегрированных систем проповедуют использование открытых протоколов, а разработчики аппаратных средств предлагают защищать сами локальные сети, к которым подключается их оборудование. Поэтому компрометация систем безопасности лишь вопрос времени. Несмотря на все рекомендации, системы безопасности либо подключаются к сетям общего пользования напрямую, либо связаны с ними через шлюзы. Конечно, созданная IT-структура общественной сети до некоторой степени их защищает, но только пока данная корпоративная сеть не будет взломана. Практика последних лет показывает, что от этого не может быть защищена практически ни одна сеть. После того как злоумышленники проникнут в корпоративную IP-систему, уровень защищенности системы безопасности резко снизится, а фактически исчезнет.
Корпоративные сети обычных компьютеров администрируются на уровне пользователей и групп пользователей, протоколы, которые предоставляют анонимный доступ, постепенно изживаются и заменяются на протоколы с явной аутентификацией и фиксацией доступа в журналах. И это требует значительных ресурсов памяти и быстродействия. Напротив, оборудование систем безопасности работает в анонимном режиме суперпользователя, ввиду ограниченности вычислительных ресурсов имеет минимальные средства защиты внутри своей сети и фиксации несанкционированного доступа. Поэтому, как только барьер проникновения взломан, уязвимыми становятся сразу все подсистемы управления – контроллеры, серверы, АРМы пользователей и проч.
Конечно, можно работать над усилением парольной защиты, ограничением числа подключений, устанавливать системы обнаружения вторжений, но надо понимать, что все это стоит очень больших денег. Именно поэтому администраторы часто стараются обойтись минимальными средствами защиты, и, следовательно, такие сети фактически остаются слабо защищенными. Поэтому, на мой взгляд, всем разработчикам пора задуматься, как защитить свое оборудование и свои программные средства от вторжений. Правила эти известны и опубликованы в сообществе компаний, занимающихся защитой информации.
Прежде всего необходимо, чтобы производители не полагались на закрытость внутреннего сегмента сети, а сразу использовали проверенные протоколы с шифрованием данных SSL/TLS, SSH, обеспечивающие защищенную передачу данных между своими устройствами. Во-вторых, не давали возможности использовать оборудование с начальными заводскими настройками «по умолчанию» в «боевом режиме». В-третьих, система в целом должна обеспечивать аутентификацию своих администраторов с помощью сертификатов безопасности, воспринимаемых конкретным устройством, устраняя, таким образом, возможность вклинивания в линию посторонних. В-четвертых, система должна обеспечивать фильтрацию IP-адресов. В-пятых, оборудование должно иметь шифрованные внутренние хранилища информации, чтобы исключить возможность компрометации системы в случае физической кражи контроллеров злоумышленниками с целью получения ключей. В-шестых, оборудование должно иметь защиту от применения средств отладки внутренних микропроцессоров и микроконтроллеров после того, как оно протестировано и передано заказчику. В-седьмых, следует избегать возможного комбинирования частей от разных устройств одного типа с целью как защиты от копирования, так и от поиска уязвимостей встроенного ПО.
Есть и общие рекомендации. Желательно, чтобы в качестве контроллеров не использовались обычные компьютеры с ОС Windows либо устройства, построенные на их основе, так как на сегодня эта операционная система наиболее уязвима перед хакерскими атаками.
Применение данных правил делает создание вирусов для заражения или проникновения в современную систему безопасности трудновыполнимой задачей. Однако надо понимать, что сегодня они уже существуют и постоянно совершенствуются, а значит, необходимо совершенствовать и защиту разрабатываемых устройств и систем. В противном случае созданные системы безопасности будут не безопасны для использования. Я думаю, наступил момент, когда должны быть разработаны и включены в ГОСТы правила, которые заставят разработчиков создавать защищенные системы, а не надеяться на других.
Олег ГРУШИН, компания NEDAP
Специфика подавляющего числа атак последних лет с использованием таких сетевых объектов, как IP-камеры и сетевые видеорегистраторы, следующая.
1) Сети, работающие с IP-видео, имеют высокую пропускную способность. Это позволяет устройствам в случае взлома посылать запросы на атакуемый ресурс с большой частотой, что повышает ценность взлома подобного рода объектов для злоумышленников.
2) Устройства должны быть массовыми, вероятнее всего, достаточно бюджетными. Только в подобном случае идея их взлома будет иметь смысл. Низкая цена также повышает вероятность слабой защищенности и самих сетей, в которых это устройство функционирует. Ниже будет и вероятность регулярного обновления прошивок, учитывающих уязвимости предыдущих версий и новые вызовы.
3) «Социальная инженерия»: пароли по умолчанию, примитивные пароли. Думаю, именно этот фактор хакеры эксплуатируют в первую очередь. Кому-то просто лень менять пароли на каждом устройстве, кто-то надеется на безопасность сети, кто-то больше боится потерять пароли, чем получить историю с атакой своей камеры на чужой ресурс.
Эта проблема не решается в одностороннем порядке. Безусловно, учитывать новые вызовы должны все стороны. Производитель должен дисциплинировать своих партнеров и заказчиков на уровне, например, принудительной смены пароля устройства и определения уровня его сложности; на уровне оповещения всех заинтересованных сторон о появлении новых прошивок, ликвидирующих очередную уязвимость. Возможно, даже создавать простые механизмы детекции попыток взлома и противодействия им как составляющую прошивки устройств, находящихся в группе риска. Конечные заказчики совместно со службой, обеспечивающей функционирование сетей, в рамках которых взаимодействуют устройства, должны определять для себя угрозы и методы борьбы с ними. Это может быть мониторинг и/или ограничение доступа к тем же камерам на различном уровне, какие-либо иные решения, способные усложнить жизнь злоумышленникам. Важно помнить, что те, в свою очередь, эксплуатируют самые банальные и очевидные дыры в безопасности. Так как для них важна именно массовость, даже несложные решения на уровне противодействия возможным атакам станут блокирующим фактором в силу того, что в рамках этой задачи злоумышленники не могут позволить себе индивидуальный подход к каждой камере. Хорошим примером будет история с ботнетом Mirai: более 500 000 устройств были взломаны при помощи простого перебора 61 сочетания логин – пароль. С учетом того что в мире на данный момент порядка 50 млн камер подключено к сети, подобные истории будут повторяться все чаще, и со временем всем придется привыкнуть хотя бы на простейшем уровне соблюдать минимальную «сетевую гигиену».
|  Конечно, можно работать над усилением парольной защиты, ограничением числа подключений, устанавливать системы обнаружения вторжений, но надо понимать, что все это стоит очень больших денег. Именно поэтому администраторы часто стараются обойтись минимальными средствами защиты, и, следовательно, такие сети фактически остаются слабо защищенными. Поэтому, на мой взгляд, всем разработчикам пора задуматься, как защитить свое оборудование и свои программные средства от вторжений. Правила эти известны и опубликованы в сообществе компаний, занимающихся защитой информации.
Прежде всего необходимо, чтобы производители не полагались на закрытость внутреннего сегмента сети, а сразу использовали проверенные протоколы с шифрованием данных SSL/TLS, SSH, обеспечивающие защищенную передачу данных между своими устройствами. Во-вторых, не давали возможности использовать оборудование с начальными заводскими настройками «по умолчанию» в «боевом режиме». В-третьих, система в целом должна обеспечивать аутентификацию своих администраторов с помощью сертификатов безопасности, воспринимаемых конкретным устройством, устраняя, таким образом, возможность вклинивания в линию посторонних. В-четвертых, система должна обеспечивать фильтрацию IP-адресов. В-пятых, оборудование должно иметь шифрованные внутренние хранилища информации, чтобы исключить возможность компрометации системы в случае физической кражи контроллеров злоумышленниками с целью получения ключей. В-шестых, оборудование должно иметь защиту от применения средств отладки внутренних микропроцессоров и микроконтроллеров после того, как оно протестировано и передано заказчику. В-седьмых, следует избегать возможного комбинирования частей от разных устройств одного типа с целью как защиты от копирования, так и от поиска уязвимостей встроенного ПО.
Есть и общие рекомендации. Желательно, чтобы в качестве контроллеров не использовались обычные компьютеры с ОС Windows либо устройства, построенные на их основе, так как на сегодня эта операционная система наиболее уязвима перед хакерскими атаками.
Применение данных правил делает создание вирусов для заражения или проникновения в современную систему безопасности трудновыполнимой задачей. Однако надо понимать, что сегодня они уже существуют и постоянно совершенствуются, а значит, необходимо совершенствовать и защиту разрабатываемых устройств и систем. В противном случае созданные системы безопасности будут не безопасны для использования. Я думаю, наступил момент, когда должны быть разработаны и включены в ГОСТы правила, которые заставят разработчиков создавать защищенные системы, а не надеяться на других.
Олег ГРУШИН, компания NEDAP
Специфика подавляющего числа атак последних лет с использованием таких сетевых объектов, как IP-камеры и сетевые видеорегистраторы, следующая.
1) Сети, работающие с IP-видео, имеют высокую пропускную способность. Это позволяет устройствам в случае взлома посылать запросы на атакуемый ресурс с большой частотой, что повышает ценность взлома подобного рода объектов для злоумышленников.
2) Устройства должны быть массовыми, вероятнее всего, достаточно бюджетными. Только в подобном случае идея их взлома будет иметь смысл. Низкая цена также повышает вероятность слабой защищенности и самих сетей, в которых это устройство функционирует. Ниже будет и вероятность регулярного обновления прошивок, учитывающих уязвимости предыдущих версий и новые вызовы.
3) «Социальная инженерия»: пароли по умолчанию, примитивные пароли. Думаю, именно этот фактор хакеры эксплуатируют в первую очередь. Кому-то просто лень менять пароли на каждом устройстве, кто-то надеется на безопасность сети, кто-то больше боится потерять пароли, чем получить историю с атакой своей камеры на чужой ресурс.
Эта проблема не решается в одностороннем порядке. Безусловно, учитывать новые вызовы должны все стороны. Производитель должен дисциплинировать своих партнеров и заказчиков на уровне, например, принудительной смены пароля устройства и определения уровня его сложности; на уровне оповещения всех заинтересованных сторон о появлении новых прошивок, ликвидирующих очередную уязвимость. Возможно, даже создавать простые механизмы детекции попыток взлома и противодействия им как составляющую прошивки устройств, находящихся в группе риска. Конечные заказчики совместно со службой, обеспечивающей функционирование сетей, в рамках которых взаимодействуют устройства, должны определять для себя угрозы и методы борьбы с ними. Это может быть мониторинг и/или ограничение доступа к тем же камерам на различном уровне, какие-либо иные решения, способные усложнить жизнь злоумышленникам. Важно помнить, что те, в свою очередь, эксплуатируют самые банальные и очевидные дыры в безопасности. Так как для них важна именно массовость, даже несложные решения на уровне противодействия возможным атакам станут блокирующим фактором в силу того, что в рамках этой задачи злоумышленники не могут позволить себе индивидуальный подход к каждой камере. Хорошим примером будет история с бот-нетом Mirai: более 500 000 устройств были взломаны при помощи простого перебора 61 сочетания логин – пароль. С учетом того что в мире на данный момент порядка 50 млн камер подключено к сети, подобные истории будут повторяться все чаще, и со временем всем придется привыкнуть хотя бы на простейшем уровне соблюдать минимальную «сетевую гигиену».
|
Внимание! Копирование материалов, размещенных на данном сайте допускается только со ссылкой на ресурс http://www.tzmagazine.ru
Рады сообщить нашим читателям, что теперь нашем сайте работает модуль обратной связи. Нам важна ваша оценка наших публикаций! Также вы можете задавать свои вопросы.Наши авторы обязательно ответят на них.
Ждем ваших оценок, вопросов и комментариев! |
Добавить комментарий или задать вопрос
Правила комментирования статей
Версия для печати
Средняя оценка этой статьи: 0 (голосов: 0)
Ваша оценка:
| | |
| |
|
|
| Реклама |
|
|
| Подписка на новости | |
|
|
|
