Автор: Доктор Кармит Ядин, основатель и генеральный директор DeviceTotal
Устройства IoT проникают во все аспекты жизни и бизнеса, и сегодня используется почти 4,8 миллиарда устройств IoT. Эти устройства являются заманчивыми целями для злоумышленников, 57% из которых уязвимы для атак высокой или средней степени серьезности. Изобилие этих устройств оставляет огромные дыры для злоумышленников, которые могут извлечь выгоду и направиться к более крупным целям внутри организации.
Понимание риска, который IoT и другие конечные точки несут в организации, имеет решающее значение для обеспечения безопасности. Дело не только в критичности этих уязвимостей. Чаще всего речь идет именно о возможности их эксплуатации. Киберпреступники могут объединять атаки с низким уровнем воздействия, чтобы создать плацдармы в инфраструктуре, которые они могут использовать.
Эксплуатируемость важнее воздействия
В недавнем отчете Gartner признано, что управление уязвимостями это уже не просто разделение на классы CVSS. Злоумышленники могут использовать еще менее опасные эксплойты, чтобы значительно навредить безопасности организации. Хотя это не означает, что следует игнорировать все уязвимости с высокими отметками, это означает, что существует больше нюансов в сортировке уязвимостей, которые могут быть оценены ниже.
Например, незначительная, но простая в эксплуатации уязвимость может быть оценена в 4 балла. Уязвимость с высокой степенью опасности, но со сложностями в эксплуатации также может получить 4 балла.
Мелкие уязвимости как точки опоры
Причина такого пересмотра приоритетов заключается в том, что быстро реализуемые уязвимости могут служить плацдармом для атак. Хотя общее влияние этой единственной уязвимости может быть невелико и не сильно влияет на повышение доступа, она улучшает положение преступника во время атаки. Думайте об этом, как о завоевании высоты.
Если используется достаточное количество этих уязвимостей с низким уровнем воздействия, но с высокой вероятностью использования, они могут снизить сложность использования уязвимостей с более высоким уровнем воздействия. Это позволяет злоумышленникам быстро и эффективно расширять доступ к организации.
Supply chain-атаки
Аргумент плацдарма также приводит к проблеме сочетания уязвимостей. Supply chain уязвимости возникают, когда несколько уязвимостей с меньшим влиянием используются вместе для создания более сильного воздействия, которое не могло бы возникнуть отдельно. Это сродни описанному выше сценарию, но разница в том, что он не требует наличия более серьезной уязвимости, а лишь совместного использования нескольких мелких.
Хотя существуют способы определения сценариев, в которых это может произойти, высококвалифицированному персоналу службы безопасности требуется время для выявления этих сценариев. А в крупных и сложных организациях это может быть даже невозможно, поскольку объем данных для анализа будет огромным. В этом случае единственное разумное решение – залатать и исправить эти дыры, прежде чем преступники смогут ими воспользоваться.
Понимание поверхности атаки
Единственный способ получить контроль над потенциальными уязвимостями конечных точек и устройств в организации – полное и глубокое понимание того, что может получить доступ к вашей инфраструктуре. Отчасти это связано с наличием текущей инвентаризации, которая может поступать из CMDB (база данных управления конфигурацией). Другая часть этого уравнения состоит в том, чтобы провести инвентаризацию и определить, какие уязвимости существуют в содержащихся в ней элементах.
Разные устройства – разное влияние
Крайне важно понимать, что каждое устройство и конечная точка вносят свой вклад в общий риск при обнаружении уязвимостей. Возьмем, например, что-нибудь простое, например смартфон. Даже если он работает под управлением той же ОС и той же версии, что и другой телефон в сети, он имеет другой набор уязвимостей из-за различных конфигураций и программного обеспечения. Анализ и работа с каждым устройством в каждом конкретном случае имеют решающее значение для управления поверхностью атаки.
Многие существующие решения либо сканируют устройства с помощью установленного агента либо запускают сканирование с учетными данными. Хотя сканирование на основе агентов может дать более подробные результаты, оно также связано с трудностями поддержки установки агентов и устранения неисправностей при возникновении проблем. С другой стороны, сканирование без агента более агрессивно к сети и не работает для удаленных устройств и подключается через VPN или иногда на месте.
Принятие обоснованных решений
Другая часть знания поверхности атаки предшествует приобретению новых технологий для интеграции. Оценка товаров перед покупкой помогает организации осознать, во что они могут ввязываться и сколько работы необходимо, чтоб обеспечить их сохранность в долгосрочной перспективе. Когда новые устройства поступают на борт, они часто остаются с заводским программным обеспечением и стандартными настройками. Во многих случаях эти заводские конфигурации по умолчанию менее безопасны. Исследования показали, что киберпреступники могут атаковать некоторые устройства IoT менее чем через минуту после подключения к сети. Выяснив, составляют ли новые технологические решения более значительный риск, чем они стоят, прежде чем тратить время и ресурсы на их развертывание, поможет в долгосрочной перспективе лишить организацию серьезных проблем с безопасностью.
Инновационное решение
Для обеспечения безопасности организации необходимо решение, которое может тщательно анализировать и оценивать поверхность атаки. Это решение необходимо интегрировать с имеющимися данными и уже имеющимися решениями, чтобы предоставлять подробную информацию об уязвимости, адаптированную специально для каждого устройства и конечной точки.
DeviceTotal – первый в области универсальный репозиторий безопасности устройств. Репозиторий основан на каталоге известных уязвимостей Агентства кибербезопасности и безопасности инфраструктуры (CISA). Благодаря этому решение может обеспечить 100-процентную точность оценки рисков и определить видимость вектора атаки для каждого устройства, сайта и организации.
