О рисках IoT-устройств и умного дома говорят практически все эксперты ИБ. Но «примерить» и осознать риски для своих гаджетов – задача нетривиальная. Для этого группа экспертов из британской некоммерческой организации Which? совместно с NCC Group и специалистами «Глобального киберальянса» (Global Cyber Alliance, GCA) поставила наглядный эксперимент. 

Исследователи создали имитацию системы умного дома, интегрировав в нее  телевизоры, термостаты, принтеры, чайники, камеры видеонаблюдения и другие приборы. Все устройства были подключены к сети Интернет и осуществляли  мониторинг киберугроз и инцидентов ИБ и фиксацию попыток атак. 


How a smart home could be at risk from hackers


Результаты эксперимента оказались впечатляющими:

  • Поток нападений на тестовый умный дом достигал 14 попыток атак в час (включая брутфорс, сканирования и т.д.) и порядка 10 000 атак за неделю. Причем их количество выросло с немногим более 1 тысячи уникальных попыток в первые недели эксперимента до почти 13 тысяч через месяц сетевой видимости устройств.

  • Из наиболее заметных успешными атаками оказались компрометация видеокамеры и попытка шпионажа с ее помощью за домом, включение устройств в ботнет Mirai.

  • Большая часть нападений пришлась на принтеры Epson, систему видеонаблюдения ieGeek.

  • География источников атак была обширна: США, Индия, Нидерланды, Китай, Россия. Но она не ограничивается этим списком с учетом того, что детектируемым источником атаки может являться как VPN-шлюз, так и другое умное устройство.

Эксперимент показал, что любое устройство, подключенное к сети Интернет, подвергается массовой бомбардировке сканирующими и целевыми атаками. Именно понимание основных методов, используемых злоумышленниками, дает представление об уязвимостях в инфраструктуре и настройках с наиболее высокими рисками. 

Так, в случае с IoT-оборудованием значительно снизить риски можно через несложные правила цифровой гигиены: 

  • изменение простых паролей по умолчанию на более сложные несловарные пароли,

  • регулярное обновление прошивок устройств и ПО,

  • использование и включение всех доступных функций безопасности.

Технологии заманивания хакера в ловушку и анализ его методов, тактик и процедур работает не менее эффективно в корпоративных сетях. Для этого создается система ложных целей, имитирующая реальную инфраструктуру, но не связанная с ней. 

«Благодаря качественной имитации злоумышленник при проникновении в систему ловушек не может отличить ее от естественной инфраструктуры. Он производит действия по повышению привилегий, закреплению в системе, горизонтальному распространению и другие манипуляции, которые фиксируются, и, таким образом, потенциальный урон для реальной инфраструктуры снижается. Ввиду отсутствия в системе ложных целей реальных пользователей активность злоумышленника вычисляется и поддается быстрому анализу. Соответственно, эксперты по информационной безопасности могут оперативно получить индикаторы компрометации для детектирования атаки в реальной инфраструктуре», – поясняет менеджер по развитию бизнеса группы компаний Angara Анна Михайлова. 

Такие технологии реализуются средствами решений класса Deception. Они предназначены для обнаружения активности злоумышленника в корпоративной сети на базе технологий создания ложных данных (ловушек и приманок), имитирующих данные, приложения, соединения, конечные точки, пользователей, серверы, элементы сети и другие компоненты инфраструктуры. Решения класса Deception позволяют:

  • сдерживать злоумышленника в процессе реализации целевой атаки, нарушить ее нормальный ход и перенаправить вектор атаки в сторону ловушек;

  • обнаружить атаку, задействованные узлы инфраструктуры и техники злоумышленника.

Пытаясь получить доступ к ловушкам, злоумышленник гарантировано детектируется системой задолго до того, как достигнет своей цели.

Эксперты группы компаний Angara рекомендуют следующие решения данного класса:

  • GuardiCore Complete Security Deception and Detection and Incident Response,

  • Illusive Attack Detection System,

  • Trapx Security DeceptionGrid,

Attivo Networks ThreatDefend Platform.