Перейти к содержанию

IoT как угроза корпоративной безопасности | Блог Касперского


Рекомендуемые сообщения

На RSA Conference 2021 специалисты по безопасности Итцик Фигелевич (Itzik Feiglevitch) и Джастин Шоудер (Justin Sowder) в своем докладе Into the Mind of an IoT Hacker подняли вопрос уязвимости разнообразных IoT-устройств и необходимости особого отношения к ним со стороны служб кибербезопасности. В частности, они подобрали несколько ярких примеров, демонстрирующих состояние IoT-безопасности в современных компаниях.

Мало кто из безопасников вообще ведет учет используемых компанией IoT-устройств. Умные лифты, всевозможные датчики, IP-телевизоры, принтеры, камеры наблюдения — практически всегда это разрозненная коллекция каких-то нестандартных устройств, каждое из которых работает на своей операционной системе, поддерживает какие-то проприетарные протоколы, зачастую вообще не имеет нормального интерфейса управления и так далее. И таких устройств в компании могут быть тысячи.

Почему IoT-устройства вносят дополнительные риски для кибербезопасности

Одна из причин, по которым IoT-устройства представляют собой повышенную угрозу для безопасности корпоративной сети, кроется в том, что далеко не всегда они воспринимаются как часть соответствующей инфраструктуры. Если какой-нибудь условный сетевой принтер обычно все же признается сетевым устройством, то части «умного здания» или даже система IP-телефонии зачастую уже воспринимаются как некие отдельные структуры. А между тем они нередко оказываются подключенными к той же сети, что и корпоративные рабочие станции.

Иначе говоря, зачастую «умные» устройства в ментальной модели специалистов по информационной безопасности просто не входят в категорию «компьютеры», а пребывают скорее где-то рядом с водопроводом и офисной мебелью.

Еще больше может осложнить ситуацию текучка кадров. Чем чаще в компании меняются безопасники и айтишники, тем больше шансов, что новый человек вообще не будет знать, что за зоопарк IoT-устройств подключен к сети.

Что самое неприятное — иногда подобные устройства доступны извне. Такую возможность могут оставить в разных целях: чтобы вендоры могли контролировать состояние устройства; чтобы его могли использовать люди, работающие на удаленке; чтобы сервисная компания могла заняться обслуживанием устройства до того, как оно начнет причинять неудобства. То есть получается, что устройства, с одной стороны, подключены к корпоративной сети, а с другой — торчат в Интернете. Что может пойти не так?

Как это ни парадоксально это звучит, но еще один фактор риска — высокая конструктивная надежность электроники: если устройство пусть уже и старенькое, но до сих пор выполняет свои функции и не ломается, то менять его вроде как и смысла нет. В результате в современных организациях встречаются древние IoT-девайсы, в которых нет даже базовых функций безопасности — в те времена, когда их разрабатывали и внедряли, о таких вещах просто никто не задумывался.

Эти устройства, к примеру, работают на древних уязвимых операционных системах, которые уже не обновляются. А если и обновляются, то для этого необходим физический доступ (что не всегда просто в случае, например, систем умного здания). Также в них могут быть несменяемые пароли, установленные производителям, какие-нибудь отладочные бэкдоры, по забывчивости оставленные в финальной прошивке, и много всяких других сюрпризов, которые могут сделать жизнь специалиста по ИТ-безопасности крайне увлекательной.

 

View the full article

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • От KL FC Bot
      Создание шифровальщиков-вымогателей уже достаточно давно превратилось в целую подпольную индустрию — с техподдержкой, пресс-центром и рекламными кампаниями. Как и в любой другой индустрии, для создания конкурентоспособного продукта злоумышленникам постоянно приходится совершенствовать свои услуги. Например, очередная киберпреступная группировка LockBit в качестве преимущества своей платформы начала рекламировать автоматизацию заражения всех компьютеров в сети предприятия при помощи доменного контроллера.
      LockBit работает по принципу Ransomware as a Service (RaaS) — предоставляет своим «клиентам», проводящим непосредственную атаку, свою инфраструктуру и программный код и получает за это процент от заплаченного выкупа. Так что по сути за первоначальное проникновение в сеть жертвы отвечает подрядчик. А вот для распространения по сети LockBit приготовил достаточно интересную технологию.
      Метод распространения LockBit 2.0
      Согласно информации Bleeping Computer, после того как злоумышленники получают доступ в сеть и добираются до контроллера домена, они запускают на нем свое вредоносное ПО. Оно создает новые групповые политики, которые затем автоматически накатываются на каждое устройство в сети. Сначала при помощи этих политик отключают технологии защиты, встроенные в операционную систему. Затем при помощи других политик зловред создает отложенную задачу на запуск исполняемого файла шифровальщика на всех машинах под управлением Windows.
      Со ссылкой на исследователя Виталия Кремеца BleepingComputer также утверждает, что шифровальщик использует программный интерфейс Windows Active Directory для запросов через Lightweight Directory Access Protocol (LDAP) с целью получить полный список компьютеров в сети. При этом шифровальщик обходит контроль учетных записей пользователя (UAC) и запускается в фоновом режиме, так что на самом шифруемом устройстве это никак не заметно.
      По всей видимости, это первый массовый зловред, распространяющийся через групповые политики. Кроме того, LockBit 2.0 также использует достаточно любопытный метод доставки требований о выкупе — он печатает записку на всех принтерах, подключенных к сети.
       
      View the full article
    • От KL FC Bot
      Оставленная без присмотра кредитная карта может стать серьезной угрозой финансовому благополучию семьи, если в дело вступает юный геймер. В отличие от взрослых, дети не всегда могут контролировать расходы или попросту не понимают, что тратят реальные деньги. Увлеченный игрой подросток может облегчить банковский счет родителей на тысячи долларов и даже не осознать этого.
      Разбираемся, на что школьники тратят деньги в играх и как правильно защитить свой кошелек от будущих звезд киберспорта.
      На чем делают деньги создатели игр
      Некоторые родители считают, что расходы на игру заканчиваются на ее покупке. Такое заблуждение может стоить целого состояния. Многие создатели игр сегодня зарабатывают продажей не самих программ (игры могут быть и вовсе бесплатными), а всевозможных дополнений к ним. Но на что в виртуальных вселенных можно потратить совсем не виртуальные деньги?
      Внутриигровая валюта
      В виртуальном мире они выполняют ту же роль, что и рубли или доллары в нашем. Как и в реальности, денег в игре много никогда не бывает. Зато можно в любой момент обменять немного (или много) настоящих денег на виртуальные. Всего пара кликов, и игровой счет пополнен, а банковский — наоборот.
      Внутриигровые предметы
      Еще один источник расходов — это всевозможные мечи, бронежилеты и другие виды оружия или просто одежды для персонажа. Подростки покупают их, чтобы повысить различные качества персонажа или просто подчеркнуть свой уникальный стиль. Виртуальные приобретения выделяют подростка среди других игроков так же, как, например, новый смартфон или брендовая вещь — среди сверстников, но и стоить могут немало. Например, цена булавы Echoing Fury Mace в Diablo 3 однажды доходила до $14 000!
      Отдельного упоминания заслуживают так называемые лутбоксы (от англ. loot box, коробка с добычей) — наборы виртуальных предметов. Их покупка похожа на игру в лотерею: игрок покупает набор вслепую, а там могут оказаться как действительно ценные предметы, так и совершенно «проходные» побрякушки. Как правило, разработчики называют лутбоксы по-разному — например, в FIFA футболистов покупают «паками». При этом внутри можно обнаружить как Месси с Роналду, так и игроков условного ФК «Автомобилист» — как повезет.
       
      View the full article
    • От KL FC Bot
      Назойливая реклама давно стала неотъемлемым атрибутом большинства сайтов. Отвлекающие баннеры, всплывающие окна, автоматически открывающиеся вкладки и стартующие без спроса видео — за показ всего этого добра интернет-ресурсы получают деньги, и далеко не всех владельцев волнует ваш комфорт. Еще меньше о вас беспокоятся злоумышленники, которые могут встроить в рекламу что-нибудь вредоносное, чтобы дополнительно на вас заработать.
      Проблема назойливых баннеров настолько наболела, что существует множество программ, помогающих очистить сайты от лишней информации. Впрочем, если у вас уже установлен Kaspersky Security Cloud, дополнительные инструменты не понадобятся. Рассказываем, как убрать баннеры и всплывающую рекламу при помощи нашего решения.
      Включите расширение Kaspersky Protection
      Для начала вам понадобится расширение Kaspersky Protection: оно отвечает за всю активность нашего решения в браузере. Главная задача этого расширения — защита вашего компьютера от опасных сайтов и интернет-мошенников, но заодно оно умеет удалять баннеры. Чаще всего оно подключается при установке Kaspersky Security Cloud автоматически — поищите на панели навигации браузера его значок:

      Если значка нет, придется включить Kaspersky Protection в список расширений вручную.
       
      View the full article
    • От KL FC Bot
      Чтобы выманить у сотрудников компаний учетные данные от корпоративной почты, злоумышленникам в первую очередь нужно обмануть антифишинговые решения на почтовых серверах. Нередко для этого они пытаются использовать легитимные веб-сервисы: те, как правило, имеют заслуживающую доверия репутацию и не вызывают подозрений у почтовых фильтров. В последнее время в качестве одного из таких сервисов мошенники все чаще используют Google Apps Script.
      Что такое Apps Script и как его используют злоумышленники
      Apps Script — скриптовая платформа Google, построенная на базе Java Script. По задумке авторов, она служит для автоматизации задач как в продуктах компании (например, аддонов для Google Docs), так и в сторонних приложениях. По большому счету, это сервис, позволяющий создавать скрипты и исполнять их в инфраструктуре Google.
      В почтовом фишинге этот сервис используют, по сути, для редиректа. Вместо того, чтобы вставлять непосредственно URL вредоносного сайта, злоумышленники зашивают в текст ссылку на скрипт. Таким образом они решают сразу несколько задач:
      Для антифишингового решения на почтовом сервере письмо выглядит как нормальное послание с гиперссылкой на легитимный сайт Google с нормальной репутацией. Такая схема позволяет эксплуатировать фишинговый сайт дольше, поскольку его URL не светится в письмах, а следовательно, не виден большей части защитных решений. Схема получает определенную гибкость — при необходимости скрипт можно поменять (на случай, если сайт все-таки будет забанен вендорами защитных решений), а кроме того, скрипт позволяет экспериментировать с доставкой контента (например, посылать жертву на разные языковые варианты сайта в зависимости от региона). View the full article
    • От KL FC Bot
      В то время, когда бизнес во всем мире нес убытки из-за пандемии, сервис для видеозвонков Zoom показал рост выручки на 370% за один только квартал и стал, по большому счету, именем нарицательным. А вот к безопасности звонков в Zoom с самого начала были вопросы — на которые разработчики старались отвечать как можно оперативнее.
      Недавно мы писали о том, что в Zoom появилось еще несколько защитных механизмов. Давайте разберемся, что можно — и нужно — настроить в сервисе, чтобы по максимуму защитить видеоконференцию от посторонних глаз и ушей.
      1. Сделайте встречу уникальной
      Создать конференцию в Zoom можно двумя способами — на базе персонального идентификатора (PMI) или с применением «одноразовой» ссылки для конкретной беседы. PMI привязан к учетной записи и остается неизменным целый год с момента последнего входа. Так что все, кто хоть раз участвовал в конференции на базе PMI, могут подключиться ко всем будущим беседам с использованием этого же PMI, даже если вы их не позовете. Поэтому никогда не используйте персональную ссылку, создавайте отдельную для каждого собрания — это займет всего несколько секунд.
      2. Организуйте вход на конференцию по приглашениям
      Делиться ссылкой на конференцию в общедоступных чатах или группах — не лучшая идея. С таким же успехом можно написать на заборе адрес, где вы планируете праздновать день рождения, и надеяться, что обойдется без незваных гостей. Если вы знаете всех участников будущей беседы, лучше уведомить каждого из них лично.
      Отправьте адресату ссылку на запланированный видеочат по электронной почте, сообщением в мессенджере или другим удобным для вас способом. Если вы уже начали звонок, а потом вспомнили, что кого-то не хватает — воспользуйтесь встроенной функцией Zoom и отправьте приглашение на нужный адрес электронной почты контакту из списка.
       
      View the full article
×
×
  • Создать...