Введение
Мы могли бы, подобно многим другим, начать с пространственных объяснений, почему подключенные устройства находятся в зоне риска, как хакеры могут разрушать бизнес-модели, и насколько глубоко каждый должен разбираться в криптографии. Но мы этого делать не станем и пойдем несколько иным путем.
Удивительно это или нет, но главная проблема, с которой сталкиваются наши клиенты, это стоимость персонализации устройств, которые производятся ими с использованием уникальных идентификаторов ID, MAC-адресов, ключей и сертификатов, независимо от того, происходит это непосредственно на производственной линии во время изготовления оборудования или у конечного заказчика во время его установки. Удивительно это или нет, но технические решения для персонализации очень часто предоставляют дополнительный инструментарий, обеспечивающий самый высокий уровень безопасности, причем без каких-либо дополнительных затрат.
В предлагаемой статье мы покажем, как ту архитектуру безопасности Интернета, которую мы строим на протяжении уже более 20 лет, следует использовать для создания архитектуры безопасности «Интернета вещей», а также объясним, как должным образом решить возникающие проблемы безопасности и ресурсного обеспечения не подключенных по протоколу IPv6 сенсоров и устройств с низким собственным энергопотреблением.
На протяжении последних 15 лет предприятия, работающие в сфере информационных технологий (ИТ), успешно модернизировали свои схемы защиты для устройств разных классов, начиная от подключенных проводами настольных компьютеров и заканчивая современными беспроводными ноутбуками и смартфонами. Уровень безопасности при этом постоянно повышался. Подобная эволюция происходит и сейчас: помимо ноутбуков и смартфонов, производителям при помощи закрытых и публичных (общедоступных) сетей приходится подключать огромное количество устройств, машин и механизмов, различных объектов с серверами приложений. Как это происходит, будет показано ниже.
Предисловие ко второй части
В предыдущей статье «Особенности защиты беспроводных и проводных сетей. Часть 1 — Прямые меры защиты» шла речь о проблемах безопасности сети WiFi и прямых методах защиты от несанкционированного доступа. Были рассмотрены очевидные меры для предотвращения перехвата трафика: шифрование, скрытие сети и фильтрация по MAC, а также специальные методы, например, борьба с Rogue AP. Однако помимо прямых способов защиты существуют ещё и косвенные. Это технологии, которые не только помогают улучшить качество связи, но и дополнительно способствуют улучшению защиты.
Две главных особенности беспроводных сетей: удаленный бесконтактный доступ и радиоэфир как широковещательная среда передачи данных, где любой приемник сигнала может прослушивать эфир, а любой передатчик может забивать сеть бесполезными передачами и просто радиопомехами. Это, помимо всего прочего, не лучшим образом сказывается на общей безопасности беспроводной сети.
Одной безопасностью жив не будешь. Наде ещё как-то работать, то есть обмениваться данными. А с этой стороны к WiFi много других претензий:
- пробелы в покрытии («белые пятна»);
- влияние внешних источников и соседних точек доступа друг на друга.
Как следствие, из-за описанных выше проблем снижается качество сигнала, связь теряет устойчивость, падает скорость обмена данными.
Разумеется, поклонники проводных сетей с удовольствием отметят, что при использовании кабельных и, тем более, оптоволоконных соединений, таких проблем не наблюдается.
Возникает вопрос: а можно как-то решить эти вопросы, не прибегая к каким-либо кардинальным средствам вроде переподключения всех недовольных к проводной сети?
Резюме
Сети WiFi с каждым годом становятся всё более безопасными. Использование современных технологий позволяет организовать приемлемый уровень защиты.
Прямые методы защиты в виде шифрования трафика весьма неплохо себя зарекомендовали. Не забываем и про дополнительные меры: фильтрация по MAC, скрытие идентификатора сети, Rogue AP Detection (Rogue AP Containment).
Но есть ещё и косвенные меры, улучшающие совместную работу беспроводных устройств и повышающие скорость обмена данных.
Использование новых технологий позволяет снизить уровень сигнала от точек, сделав покрытие более равномерным, что неплохо сказываются на самочувствии всей беспроводной сети в целом, в том числе и на безопасности.
Здравый смысл подсказывает, что для повышения безопасности все средства хороши: и прямые, и косвенные. Такое сочетание позволяет максимально усложнить жизнь злоумышленнику.
Для чего нужен каждый вид тестирования
Прежде всего это зависит от того, какая инфраструктура тестируется — внутренняя или внешняя.
Внешняя инфраструктура — ресурсы организации, доступные из интернета: веб-сайты, серверы и даже конечные устройства, которые могут быть доступны извне. Самая распиаренная услуга для её проверки — тестирование на проникновение.
Допустим, у компании Example Ltd. есть сайт example.com. Она обращается к службе тестирования на проникновение с просьбой проверить внешний периметр. Для этого предоставляют конкретный перечень ресурсов — например, IP-адреса и доменные адреса — или просят составить его самостоятельно.
Внутренняя инфраструктура — ресурсы, доступные только внутри корпоративной сети: принтеры, сетевые диски, доменный контроллер Active Directory, панели администрирования АСУТП, базы данных, рабочие станции сотрудников и так далее.
Для неё чаще проводят анализ защищённости. Это удобно для Blue Team: они могут захватывать сетевой трафик, примеры запросов, собирать данные для систем обнаружения и реагирования на киберинциденты.
Прочие виды тестирования проводят компании с довольно зрелым уровнем информационной безопасности — например, крупные заводы или телеком-провайдеры. Иначе там быть не может — слишком много рисков, связанных с утечкой данных. Это довольно длительные процессы, длящиеся от трёх месяцев до нескольких лет.
Независимо от вида тестирования и принадлежности к той или иной команде, специалистам отдела информационной безопасности лучше всегда быть на связи — например, создавать общий чат и обмениваться знаниями. Хотя часто он становится чатом для претензий одной команды к другой.
Симптомы
Может появиться несколько симптомов:
-
Вы запустили диагностику проверки подлинности CSS и получили уведомление о проблемах с безопасным каналом.
-
При попытке входа на компьютер вы получаете сообщение «Нет серверов входа, доступных для обслуживания запроса на вход». Попытка входа не будет выполнена успешно.
-
При попытке доступа к ресурсу, например файлу или папке, в сети вы получаете сообщение «Доступ запрещен» или «Нет серверов входа, доступных для обслуживания запроса на вход».
-
События источника Netlogon в журнале системных событий с идентификаторами 5719, 5722 или 5723.
Эти симптомы могут быть периодическими или согласованными. Они также могут быть привязаны к определенному сетевому расположению или расположению. Это условие называется «нарушенным безопасным каналом».
Безопасный канал для компьютера либо прерывается сетевыми проблемами, либо локальная копия пароля компьютера больше не совпадает с его копией на контроллере домена Active Directory, либо существуют оба условия.
Ошибки конфигурирования сетей
- Излишне «доверительные» отношения между подсетями. Сюда относятся проблемы разграничения доступа между подсетями, при которых становится возможен несанкционированный сетевой доступ между внутренними подсетями организации. В результате злоумышленник при компрометации небольшой части сети может беспрепятственно взять под контроль ключевые узлы всей сети.
- Доступ узлов инфраструктуры ко внешним DNS-серверам. При использовании внутренней системы доменных имен DNS-запросы должны обрабатываться только на собственных DNS-серверах организации. Если DNS на клиентах сконфигурирован неверно, в случае запроса к публичному DNS-серверу существует риск утечки внутренних доменных имен, а также обход фильтрации известных адресов командных серверов вредоносного ПО.
- Открытые для внешней сети «наружу» сетевые порты и сервисы порты без необходимости в этом (например, базы данных). Вследствие у злоумышленника появляются большие возможности для проведения атаки. Например, из-за хранения сведений в незащищенной базе данных, в сеть утекли данные пациентов скорой помощи из Подмосковья.
воспользовались
- Настроить Access Control List (ACL) на сетевом оборудовании для корректного разграничения прав доступа между подсетями. ACL — это набор разрешающих или запрещающих правил для сетевого трафика (в контексте сетевого оборудования). В большинстве случаев списки доступа применяют для пакетной фильтрации на границе интернета и частной сети, однако фильтрация может также потребоваться на границе DMZ и других подсетей.
- Настроить межсетевой экран. Межсетевые экраны также должны быть настроены не только на границе с внешней сетью, но и между внутренними подсетями организации.
- Запретить изменения сетевых настроек пользователей. Для этого настройте параметр в групповых политиках Windows: «User Configuration -> Administrative Templates -> Network -> Network Connections».
Решение
Чтобы устранить эту проблему, если причина только в сетевых проблемах:
Убедитесь, что сетевое подключение между локальным компьютером и контроллерами домена имеет необходимые порты, открытые как на клиенте (локальном компьютере), так и на сервере (контроллере домена).
Для проверки достаточности подключения можно использовать множество методов, так как существует множество причин проблем с сетью. Распространенной причиной является непреднамеренное ограничение сетевых портов. Чтобы устранить эту распространенную проблему, просмотрите порты, необходимые для Active Directory в службе, и требования к сетевым портам для Windows , а затем используйте средство запроса портов (PortQry.exe) для проверки портов, которые находятся в пользователе или доступны для использования на локальном компьютере и контроллере домена.
PortQry.exe это бесплатная загрузка от Майкрософт.
После того как проблема с сетью будет выявлена, просмотрите локальный сетевой интерфейс, программное обеспечение брандмауэра или сетевую инфраструктуру, чтобы устранить проблему.
Чтобы устранить эту проблему, если причиной является пароль компьютера с разделителями:
Чтобы устранить эту проблему, если причиной является проблемы с сетью или несовпадение пароля компьютера, сначала устраните проблемы с сетью, как описано выше, а затем выполните действия по устранению непохватимого пароля.
На компьютере, на котором возникает проблема, войдите в локальную систему и выполните приведенную ниже команду. NLTest.exe доступны в средствах удаленного администрирования сервера и в скачиваемых файлах средств поддержки Microsoft.com.
В командной строке с повышенными привилегиями на компьютере-члене домена просмотрите проблему, вы выполните следующую команду (где DomainName — это домен, членом которого является компьютер):
Резюме
Система стандартов IPSec вобрала в себя прогрессивные методики и достижения в области сетевой безопасности. Система IPSec прочно занимает лидирующие позиции в наборе стандартов для создания VPN. Этому способствует ее открытое построение, способное включать все новые достижения в области криптографии. IPsec позволяет защитить сеть от большинства сетевых атак, «сбрасывая» чужие пакеты еще до того, как они достигнут уровня IP на принимающем компьютере. В защищаемый компьютер или сеть могут войти только пакеты от зарегистрированных партнеров по взаимодействию.
IPsec обеспечивает:
- аутентификацию — доказательство отправки пакетов вашим партнером по взаимодействию, то есть обладателем разделяемого секрета;
- целостность — невозможность изменения данных в пакете;
- конфиденциальность — невозможность раскрытия передаваемых данных;
- надежное управление ключами — протокол IKE вычисляет разделяемый секрет, известный только получателю и отправителю пакета;
- туннелирование — полную маскировку топологии локальной сети предприятия
Работа в рамках стандартов IPSec обеспечивает полную защиту информационного потока данных от отправителя до получателя, закрывая трафик для наблюдателей на промежуточных узлах сети. VPN-решения на основе стека протоколов IPSec обеспечивают построение виртуальных защищенных сетей, их безопасную эксплуатацию и интеграцию с открытыми коммуникационными системами.
Что должен уметь «красный»
Когда-то я сидел на форумах и искал — что нужно, чтобы стать хакером? Какой язык программирования учить? На этот вопрос обычно отвечают: «Нужно знать все» — и это правда.
На самом деле поначалу технологический стек может быть минимальным — но освоить его нужно максимально качественно. Например, один мой коллега знает только Visual Basic — и прекрасно себя чувствует.
На мой взгляд, ключевых требований три:
1. Знать в совершенстве хотя бы один язык программирования. Проще всего начать с самых задокументированных и простых. Например, Python хорошо задокументирован и присутствует везде, его очень легко выучить. При достаточной мотивации, времени и силах для этого достаточно пары недель — особенно если у человека есть опыт взаимодействия с веб-технологиями или написанием кода. Вам в помощь — уйма достойных книг и платформ, в том числе русскоязычных. А ещё большое, сильное сообщество, которое всегда даст дельный совет.
2. Базово разбираться в архитектуре выполнения кода. Нужно хотя бы понимать, как скачать файл или сделать минимальную таблицу в базе данных, и научиться читать данные из неё с помощью своего языка программирования. Освоите это — быстро разберётесь и с другими языками. Естественно, у разных языков разная архитектура. Но если вы занимаетесь безопасностью, нужно уметь получать исчерпывающую информацию про каждую атаку, каждую технику, каждую уязвимость — и корректно их описывать.
Пример: хакер взаимодействует с веб-приложениями, используя ресурсы клиентской стороны. Он пытается повлиять на работу серверного приложения или атаковать клиентов. Если специалист хочет получить контроль над сервером приложения, ему нужно понимать, на каком языке оно написано и как можно выполнить код на серверной стороне, используя возможности клиента. Специалист по анализу защищённости веб-приложений или баунтер ищет уязвимости на просторах интернета, а потом сообщает о них вендору и получает за это вознаграждение.
Причины утечек информации
Самые распространенные причины утечки информации:
- Недостаточная защищенность чужой информации доверенной стороной.
- Неумелое обращение с системами хранения данных (технические причины).
Такие причины имеют место при наличии условий, допускающих утечку:
Недостаточный уровень компетенции сотрудников, которые работают в сфере защиты информации, их недопонимание важности сохранности данных, а также безответственное отношение к своей деятельности.
Использование нелицензионного ПО или не прошедших аттестацию программ по защите клиентов и личных данных.
Недостаточный контроль над средствами защиты важных сведений.
Высокая текучка кадров, задействованных в данной сфере деятельности.
Только до25 декабря
Пройди опрос иполучи обновленный курс от Geekbrains
Дарим курс по digital-профессиям
и быстрому вхождения в IT-сферу
Чтобы получить подарок, заполните информацию в открывшемся окне
Перейти
Скачать файл
Если произошла утечка информации, то вина за это лежит на работниках и руководителях организации, которая должна была заниматься ее защитой. Атаки злоумышленников можно предотвратить при соответствующем уровне компетентности и профессионализма сотрудников. Отметим, что существуют ситуации, на которые организация, отвечающая за сохранность данных, повлиять не может:
- Глобальные катастрофы.
- Природные катаклизмы.
- Неполадки на техстанциях, выход аппаратуры из строя.
- Неподходящий климат.
Шлюз
Как правило, шлюз является мостиком, соединяющим локальную сеть LAN и сервер приложения с помощью интернета (сеть IP). Поэтому необходимо провести безопасную идентификацию, как локального сервера, так и удаленного.
С тех пор, как соединение шлюза и сервера осуществляется по IP-протоколу, это может быть сделано с помощью протокола TLS через любое IP-соединение, будь то Wi-Fi, Ethernet или сотовая сеть 3G/4G.
Для такого случая мы рекомендуем использовать элемент безопасности, персонализированный компанией Avnet Silica, как дополнительный чип к главному процессору, работающий под нашей операционной системой UbiquiOS и расположенный в шлюзе. Он обеспечивает бесперебойное TLS-соединение с сервером, который управляется нашими API и выполняет задачу обеспечения шлюза ресурсами по протоколу HTTPS или MQTTS.
3 примера громких утечек информации
«Яндекс.Еда»
Какая информация была раскрыта: имя, фамилия, контактный телефон, адрес поставки, комментарии и дата формирования заказа.
Актуальность информации: июнь 2021 — февраль 2022 года.
Количество: около 50 млн. заказов, 6,9 млн. контактов заказчиков.
Когда появились данные об утечке: 27.02.2022.
Как отреагировала компания: по факту утечки данных «Яндекс.Еда» сделала сообщение 01.03.2022, в котором указано, что ситуация произошла из-за недобросовестных действий работника компании.
Уже 22.03 в свободном доступе в сети интернет появилась интерактивная карта с данными пользователей этого сервиса. В конце весны к этой информации подтянули сведения из реестров ГИБДД, СДЭК, Wildberries, «Билайна», ВТБ, «ВК» и ряда других фирм. Но в данном случае появление данных уже не было связано с утечкой информации. Правонарушители просто подтянули данные из различных источников.
Клиенты сервиса «Яндекс.Еда» направили 2 коллективных иска. В них было выдвинуто требование по моральной компенсации в размере 100 000 руб. каждому пользователю. В соответствии с судебным решением, которое было принято в апреле, сервис по факту утечки данных был оштрафован на 60 тыс. руб. В середине лета еще один админпротокол был составлен Роскомнадзором.
Здесь предусматриваются штрафные санкции в размере от 60 до 100 тыс. руб. для компании «Яндекс.Еда». В августе по факту утечки данных и последующего разглашения персональной информации было возбуждено уголовное дело Следственным комитетом РФ.
Delivery Club
Какая информация была раскрыта: имя, контактный телефон, адреса доставки, е-мейл, данные заказа, цена, дата и время его оформления, IP-адрес.
Количество: 2,2 млн. заказов.
Актуальность информации: октябрь 2019 — июль 2021 года.
Когда появились данные об утечке: 20.05 и 10.06.2022.
Как отреагировала компания: Телеграм-канал «Утечка информации» сообщил, что конфиденциальные данные клиентов компании Delivery Club в два этапа появились в открытом доступе. Первые данные объемом 1 млн. строк с были опубликованы в конце весны, а затем примерно такое же количество информации появилось через месяц. Компания подтвердила утечку информации и сообщила о проведении собственного расследования.
СДЭК
Какая информация была раскрыта: ID клиента, контактный телефон, имя, фамилия, е-мейл, почтовый адрес.
Количество: десятки млн. клиентов.
Актуальность данных: нет информации.
Когда появились данные об утечке: 26.02.2022 года и 13.06.2022.
Как отреагировала компания: сервис СДЭК сообщил о двух случаях утечки информации с данными клиентов. Первый связан с хакерской атакой в конце зимы 2022 года. Были раскрыты сведения в размере 466 млн. строк (ID пользователей и контактные номера) и 822 млн. строк (фамилия, имя, е-мейл). По мнению специалистов из Infosecurity в результате утечки информации были раскрыты конфиденциальные данные примерно 19 млн клиентов сервиса.
В конце весны похищенные сведения появились в открытом доступе параллельно с данными «Яндекс.Еды», ГИБДД, ВТБ, а в начале лета клиенты СДЭК оформили коллективный иск.
Вторая порция данных пользователей СДЭК была раскрыта уже в середине лета. В этом файле было около 25 млн. контактных данных клиентов. Сервис сообщил о проведении внутреннего расследования, но не предоставил информации о причинах утечки информации.
Рекомендуем провести мероприятия по предотвращению утечек информации в будущем. Чтобы предупредить недобросовестные действия, нужно «под подпись» уведомить работников компании об ответственности за передачу конфиденциальных данных. Следует организовать обучение трудового коллектива нормам информационной безопасности. Это необходимая мера для защиты от фишинга и непреднамеренной передачи информации через спам и аналогичные каналы.
5 принципов информационной безопасности компании
К вопросу защищенности информации от утечки следует подходить комплексно, начиная с отбора сотрудников, их обучения и заканчивая внедрением правил работы (сейчас речь не о технических нормативах, а больше о бытовых, к примеру, «важную документацию на рабочем столе нельзя складывать лицевой стороной вверх»).
На предприятии необходимо внедрить нормативы общения по телефонам, порядок идентификации посетителей и тех, кто звонит сотрудникам компании. Уже после этого можно переходить к разработке системы информационной безопасности, включающей сеть, компьютерное оборудование и технологии.
«Принцип информационного шума»
Не следует быть полностью уверенным в собственной защищенности. Не стоит доверять важные и конфиденциальные данные различным носителям, облачным сервисам, шифрам и т.д
Важно понимать, что корпоративная информация может попасть посторонним лицам, поэтому она должна представляться в такой форме, чтобы несведущему человеку было сложно в ней разобраться
«Принцип разделения информации»
В организации только руководитель должен знать всю информацию о защите информации от утечки. В этом случае злоумышленнику придется собирать обрывки данных из большого числа источников.
«Принцип раскладывания по разным корзинам»
Пробуйте хранить и пересылать данные, используя несколько каналов. К примеру, никому не отправляйте одновременно логин и пароль. Пароль можно отправить по внутренней защищенной почте, а логин сообщить лично по телефону.
«Принцип здоровой паранойи»
Адекватная паранойя может свести утечку данных на нет. Нужно подозревать всех, не стоит думать, что современные технологии могут все. Помните, что любая информация может попасть посторонним. Попробуйте подстроить «учебную» утечку информации, а потом проследить за действиями персонала и определить виновника.
Как тестируют безопасность инфраструктуры
Подход к тестированию зависит от целей отдела информационной безопасности. Можно выделить пять основных направлений.
Анализ защищённости: обнаружение всех возможных рисков в использовании конкретного ПО или технологического решения на внутреннем или внешнем периметре организации. Часто анализ проводится методом «белого ящика», когда исходный код приложения доступен для исследователей.
Тестирование на проникновение: получение доступа во внутреннюю сеть организации, при котором исполнитель симулирует действия потенциального злоумышленника и атакует инфраструктуру с внешнего периметра. Цель — посмотреть, как глубоко можно пройти.
Эта информация нужна для выстраивания архитектуры и эффективного применения систем обнаружения вторжений, файрволов, доменных политик, конфигураций на конечных устройствах и других решений, обеспечивающих информационную безопасность. Подобные тестирования могут масштабироваться в зависимости от ситуации.
Киберучения (Red Teaming): «красные» симулируют актуальные тактики киберпреступников, применимые для конкретной организации, а специалисты Центра реагирования SOC и Blue Team предотвращают атаки.
Перед киберучениями заказчик ставит красной команде конкретные цели: прочитать почту одного из директоров, получить доступ к определённым файлам, бухгалтерским операциям, вывести деньги и так далее. С определённой периодичностью «красные» присылают отчёт с почасовым описанием своих действий представителю заказчика. Клиент наблюдает за эффективностью синей команды и в случае необходимости вносит коррективы в процесс.
Учения не обязательно заканчивается победой «красных». Наоборот: победа «синих» ― замечательный результат. Я недавно её наблюдал, и это действительно круто. Видишь, что люди хорошо работают, постоянно учатся.
Социотехническое тестирование, или классический фишинг: отправляешь сообщения об участии в акции, предлагаешь зарегистрироваться, скачать или кликнуть. Цель — получить данные.
В каждый документ ставится персональная ссылка, чтобы идентифицировать пользователя, который её откроет. Если есть форма для ввода логина и пароля, можно посмотреть, что за человек пришёл, какие данные ввёл. У меня в практике были случаи, когда сотрудники заказчика перенаправляли фишинговые письмам коллегам и расширяли покрытие моей рассылки.
По результатам социотехнического тестирования вы поймёте, кто из сотрудников плохо осведомлён об информационной безопасности. Их не надо увольнять — с ними надо поработать, подготовить для них обучающий курс.
Проникновение методами социальной инженерии: отправляем фишинговый запрос и с его помощью и закрепляемся на машине. Пишем приложение, которое позволяет удалённо управлять рабочей станцией сотрудника, открывшего документ.
Заключение
Компания Avnet Silica и ее партнеры для реализации проектов, касающихся «Интернета вещей», предлагают воспользоваться нашими экспертными знаниями в вопросах персонализации и схем безопасности.
Наша компания является представителем таких широко известных производителей элементов безопасности, как Infineon, STM, Morpho/Trusted Objects, NXP, Maxim и Microchip/Atmel.
В мае 2016 г. мы открыли новый центр персонализации, интегрированный с нашим европейским складом, который расположен в г. Пойнг, неподалеку от Мюнхена.
В настоящее время компания Avnet Silica находится в процессе разработки своих собственных стеков и API.?Это позволит управлять адаптированными вариантами TLS и схемами обеспечения ресурсами, работающими на разных протоколах, совместно с технологией UbiquiOS и сервисными службами компании Avnet.
Наша компания вместе с надежным партнером также предлагает услуги сертификационного органа для клиентов, которые не хотят вкладывать собственные средства в создание полной инфраструктуры открытых ключей.
Актуальная страница решений на сайте “Avnet-Silica”