Выбрать язык


Выбрать язык | Show only


Русский | English


суббота, 24 июня 2017 г.

Сетевая безопасность IoT. Трансляция подхода на АСУ ТП

Попробовал себя на этой неделе в мероприятии, имеющем не совсем свойственный мне профиль. Несмотря на то, что ИБ АСУ ТП сейчас популярна, я не пытался соваться туда, где не считаю себя экспертом и могу опростоволоситься. Но организаторы научно-практической конференции «Информационная безопасность промышленных предприятий и критически важных объектов ТЭК» сами пригласили рассказать о моем подходе защиты Интернета вещей со стороны сети. Тематика моего выступления «Защита IoT. Сетевая безопасность» была более акцентирована на массовый рынок, чем на промышленный, но, как ни крути, IP-сеть используется практически везде, а ее нужно уметь правильно готовить. 

https://otvet.imgsmail.ru/download/a98272b40d6665ee56cb48c0d9853329_i-1399.jpg

Если на Инфофоруме в Ханты-Мансийске я распределил роли регулятора, производителя, интегратора решений, оператора связи и потребителя в обеспечении безопасности Интернета вещей, то на конференции 22 июня меня просили акцентировать внимание на возможностях и роли оператора связи в защите IoT. Оставив без внимания остальных участников рынка, я сделал акцент на функциях производителя решений и провайдера. Подход обеспечения сетевой безопасности со стороны оператора связи может быть при необходимости использован и в корпоративной сети, и на последней миле. Причем как для массового Интернета вещей, так и как один из методов создания правильной архитектуры сети с АСУ ТП. 

http://s3r.ru/wp-content/uploads/2012/10/nukelulz.jpg

Рассказал о проблемах защиты IoT как интерфейса между цифровым и реальным мирами, в котором заложена возможность управлять реальным миром со стороны цифрового. У любой технологии сначала развивается функционал, а потом безопасность. Интернет вещей обезопасить после внедрения сложнее по причине колоссального количества оборудования без возможности централизованного управления.

http://m.m2mrussianews.ru/img/material/b/1006.jpg?1454061505

Описал свою концепцию защиты множества маленьких тупых устройств IoT оператором. По сути, реанимировал технологию виртуального патчинга с помощью систем предотвращения вторжений IPS, которые специалисты поИБэ уже начали забывать на фоне более новых и актуальных возможностей выбивания бюджетов (APT, Threat Intelligence etc). 
Вкратце постулаты:
  • Интернет вещей и остальной Интернет разделяются.
  • Множество маленьких глупых устройств IoT, потенциально оставленных без внимания человека, имеет выход в большой Интернет через единую контролируемую точку оператора в пределах региона/B2B-клиента.
  • Контроль полосы пропускания. Устройствам Интернета вещей высокоскоростной доступ нужен, как правило, в четырех случаях: передача фото-видео, резервное копирование, обновление, и участие в DDoS.
  • Контроль доступа в сеть IoT.
  • Контроль входа-выхода в большой Интернет и взаимодействие с остальными сегментами производится с помощью ACL на firewall. Управляющие протоколы - только с доверенных узлов. Правильно определенная политика сетевых доступов может в будущем очень сильно упростить жизнь вам и усложнить хакерам.
  • Возможные проблемы с несоблюдением парольных политик и обновлений решать сигнатурами на IPS. С шифрованным трафиком, конечно, сложнее. Но, с другой стороны, нерадивый производитель, не озадачившийся шифрованием, дешевле и популярнее конкурентов. А значит, его будет много. Главное - чтобы на IPS были соответствующие сигнатуры.
Как практический пример привел реализованную собственными руками защиту IoT на Противостоянии в рамках PHDays-2017: из плоской сети сделал защищенную. 

Так выглядела IP/MPLS-сеть соревнований as is: 


Приняв инфраструктуру телекома в виде Интернет-бензоколонки с местом для курения, я превратил ее в цифровую сверхдержаву. В итоге Интернет вещей был защищен огненной стеной и высокоточной системой противохакерской обороны:


Ничего сверхъестественного и, тем более, инновационного. В этом случае поговорка "новое - это хорошо забытое старое" оказалась как нельзя кстати. 

Закончив выступление, внутренне я видел себя вот так:

http://cs5.pikabu.ru/post_img/2015/12/26/9/1451145585141513289.jpg

Но продолжалось это ровно до того, как залу дали слово. Если бы не вопрос от организатора, я бы собрал страйк из вопросов не по теме. Ну ничего, тоже опыт.

В конце секции было выступление Алексея Лукацкого, где он акцентировал внимание на том, что архитектура - залог здоровья. Как архитектор, подтверждаю: это тот случай, когда, подумав лишних несколько дней, можно обеспечить себе экономию нервов и времени на долгие годы вперед. Архитектура позволила мне спокойно спать на Противостоянии в 2017, не боясь, что похачат. А осенью 2016 на той самой конференции, где сейчас (06.2017) идет редирект на сайт организатора, я рассказывал о выборе архитектуры при внедрении WAF. Самому когда-то пришлось крепко думать, как кроить сеть для его интеграции на века. Думал: донесу народу разумное, вечное, доброе. Но не нашел благодарного зрителя. Поеду в июле на более техническую (как мне кажется) конференцию в Орел, расскажу детали. Посмотрим, насколько там это интересно.

ЗЫ. По программе на секции Лукацкий шел раньше меня, и я бы не преминул потом похвастать знакомым, что он был у меня на разогреве, но получилось наоборот :)

Комментариев нет:

Отправить комментарий