Автор: Доктор Карміт Ядін, засновник та генеральний директор DeviceTotal
Пристрої IoT проникають у всі аспекти життя та бізнесу, і сьогодні використовують майже 4,8 мільярда пристроїв IoT. Ці пристрої є привабливими цілями для зловмисників, 57% з яких вразливі для атак високого або середнього ступеня серйозності. Велика кількість цих пристроїв залишає величезні дірки в системі безпеки для зловмисників, які можуть отримати доступ до більших цілей усередині організації.
Розуміння ризику, що IoT та інші кінцеві точки несуть в організації, має вирішальне значення для забезпечення безпеки. Справа не лише в критичності цих вразливостей. Найчастіше йдеться саме про можливість їх експлуатації. Кіберзлочинці можуть поєднувати атаки з низьким рівнем серйозності, щоб створити плацдарми в інфраструктурі, які вони можуть використовувати для подальших атак.
Експлуатованість важливіша за вплив
У недавньому звіті Gartner визнано, що управління вразливостями це вже не просто про поділ на класи CVSS. Зловмисники можуть використовувати ще менш небезпечні експлойти, щоб значно зашкодити безпеці організації. Хоча це не означає, що слід ігнорувати всі вразливості з високими оцінками, це означає, що існує більше нюансів у сортуванні вразливостей, які можуть бути оцінені нижче.
Наприклад, незначна, але проста в експлуатації вразливість може бути оцінена у 4 бали. Вразливість з високим ступенем небезпеки, але зі складнощами в експлуатації, також може отримати 4 бали.
Дрібні вразливості, як точки опори
Причина такого перегляду пріоритетів полягає в тому, що вразливості, що швидко реалізуються, можуть служити плацдармом для атак. Хоча загальний вплив цієї єдиної вразливості може бути невеликим і не сильно впливає на підвищення доступу, вона покращує становище злочинця під час атаки. Думайте про це як про завоювання висоти.
Якщо використовується достатня кількість вразливостей з низьким рівнем впливу, але з високою ймовірністю використання, вони можуть знизити складність використання вразливостей з вищим рівнем впливу. Це дозволяє зловмисникам швидко та ефективно розширювати доступ до організації.
Ланцюгові атаки
Аргумент плацдарму також призводить до проблеми поєднання вразливостей. Ланцюгові вразливості виникають, коли кілька вразливостей з меншим впливом використовуються разом для створення сильнішого впливу, який не міг би виникнути окремо. Це схоже на описаний вище сценарій, але різниця в тому, що він не вимагає наявності серйознішої вразливості, а лише спільного використання кількох дрібних.
Хоча існують способи визначення сценаріїв, у яких це може статися, висококваліфікованому персоналу служби безпеки потрібен час, щоб виявити ці сценарії. А у великих і складних організаціях це може бути навіть неможливим, оскільки обсяг даних для аналізу буде величезним. У цьому випадку єдине розумне рішення — залатати та виправити ці дірки, перш ніж злочинці зможуть ними скористатися.
Розуміння поверхні атаки
Єдиний спосіб отримати контроль над потенційними вразливостями кінцевих точок та пристроїв у організації – мати повне та глибоке розуміння того, що може отримати доступ до вашої інфраструктури. Частково це пов’язано з наявністю актуальної інвентаризації, яка може надходити з CMDB (база даних керування конфігурацією). Інша частина цього рівняння полягає в тому, щоб провести інвентаризацію і визначити, які вразливості існують в елементах, що містяться в ній.
Різні пристрої – різний вплив
Вкрай важливо розуміти, що кожен пристрій і кінцева точка роблять свій внесок у загальний ризик при виявленні вразливостей. Візьмемо, наприклад, щось просте, наприклад смартфон. Навіть якщо він працює під керуванням тієї ж ОС і тієї ж версії, що й інший телефон у мережі, він має інший набір вразливостей через різні конфігурації та програмне забезпечення. Аналіз цього та робота з кожним пристроєм у кожному конкретному випадку мають вирішальне значення для управління поверхнею атаки.
Багато наявних рішень або сканують пристрої за допомогою встановленого агента або запускають сканування з обліковими даними. Хоча сканування на основі агентів може надати докладніші результати, воно також пов’язане з труднощами підтримки установки агентів та усунення несправностей при виникненні проблем. З іншого боку, сканування без агента агресивніше до мережі та не працює для віддалених пристроїв і підключається через VPN або іноді на місці.
Ухвалення обґрунтованих рішень
Інша частина знання поверхні атаки передує придбанню нових технологій для інтеграції. Оцінка продуктів перед покупкою допомагає організації зрозуміти, у що вони можуть вплутуватися і скільки роботи потрібно, щоб забезпечити їхню безпеку в довгостроковій перспективі. Коли нові пристрої надходять на борт, вони часто залишаються із заводським програмним забезпеченням та стандартними налаштуваннями. У багатьох випадках ці заводські конфігурації за умовчанням є менш безпечними. Дослідження показали, що кіберзлочинці можуть атакувати деякі пристрої IoT менш ніж за хвилину після підключення до мережі. З’ясувавши, чи становлять нові технологічні рішення більш значний ризик, ніж вони того варті, перш ніж витрачати час і ресурси на їх розгортання, допоможе в довгостроковій перспективі позбавити організацію серйозних проблем з безпекою.
Інноваційне рішення
Для забезпечення безпеки організації потрібне рішення, яке може ретельно аналізувати та оцінювати поверхню атаки. Це рішення необхідно інтегрувати з наявними даними та рішеннями, які вже є, щоб надавати докладну інформацію про вразливість, адаптовану спеціально для кожного пристрою та кінцевої точки.
DeviceTotal – перший у галузі універсальний репозиторій безпеки пристроїв. Репозиторій заснований на каталозі відомих вразливостей Агентства кібербезпеки та безпеки інфраструктури (CISA). Завдяки цьому рішення може забезпечити 100-відсоткову точність оцінки ризиків та визначити видимість вектора атаки для кожного пристрою, сайту та організації.
А до кінця року є можливість отримати безкоштовно ліцензії DeviceTotal.
