В одной из своих заметок
я описывал компоненты IoT, подлежащие защите. В другой заметке - перечень действий, которые требуются от производителя решений IoT. Попробуем оценить степень влияния на информационную безопасность инфраструктуры компании внедряемых решений IoT. Оценка качественная, по соответствию SANS TOP20 CSC.
Если применить подход по обеспечению безопасности классического checklist от SANS Top 20 Critical Security Controls при внедрении IoT, можно увидеть очень неутешительную картину как для крупных компаний (Corp), так и в сегменте среднего и малого бизнеса (SMB/SOHO):
№ |
Control name
|
Corp
|
SMB/SOHO
|
1
|
Inventory of Authorized and Unauthorized Devices | + | + |
2
|
Inventory of Authorized and Unauthorized Software | +/- | - |
3
|
Secure Configurations for Hardware and Software on Mobile Device Laptops, Workstations, and Servers | + | - |
4
|
Continuous Vulnerability Assessment and Remediation | + | - |
5
|
Controlled Use of Administrative Privileges | +/- | - |
6
|
Maintenance, Monitoring, and Analysis of Audit Logs | + | - |
7
|
Email and Web Browser Protections | + | + |
8
|
Malware Defenses | + | + |
9
|
Limitation and Control of Network Ports, Protocols, and Services | + | - |
10
|
Data Recovery Capability | + | - |
11
|
Secure Configurations for Network Devices such as Firewall Routers, and Switches | + | +/- |
12
|
Boundary Defense | +/- | - |
13
|
Data Protection | +/- | - |
14
|
Controlled Access Based on the Need to Know | +/- | - |
15
|
Wireless Access Control | +/- | - |
16
|
Account Monitoring and Control | +/- | +/- |
17
|
Security Skills Assessment and Appropriate Training to Fill Gaps | +/- | +/- |
18
|
Application Software Security | +/- | +/- |
19
|
Incident Response and Management | +/- | - |
20
|
Penetration Tests and Red Team Exercises | +/- | - |
Плюсы и минусы означают следующее:
+- "будет": реализуемо в рамках текущей инфраструктуры, либо требует незначительной доработки/закупки/расширения.
+/-- "возможно, будет": требует значительной доработки/закупки/расширения,
поддержки дополнительных функций производителем, либо отдельного решения
и бюджета.
-- "не будет": стоимость реализации своими силами с большой вероятностью превысит разумный для размеров компании бюджет.
Оценка
"будет - не будет" произведена экспертно, причем очень оптимистично (полагая, что до внедрения IoT весь Corp был зеленый). Мнения других специалистов ИБ по
мозаике раскраски таблицы могут отличаться от моего в зависимости от
того, на каких примерах компаний будет выполняться сравнение, но общий
вывод такой: внедрение IoT без дополнительных механизмов защиты существенно понижает уровень информационной безопасности инфраструктуры.
Чтобы констатировать такой факт - не обязательно проводить анализ по SANS Top 20 CSC. Достаточно сделать репост любой ссылки, которую выдает поисковик по запросу "iot security".
Для минимизации рисков ИБ от внедрения IoT важно понять:
- Что нужно сделать для повышения уровня безопасности IoT
- Кто должен это делать, чтобы цена была разумной
Итого, попытаемся расписать меры защиты при внедрении IoT-решений в соответствии с SANS TOP20 SCS:
№
|
Control name
|
ToDo
|
Who
|
1
|
Inventory of Authorized and
Unauthorized Devices
|
1. Include IoT devices to device inventory
process.
|
1. Customer
|
2
|
Inventory of Authorized and
Unauthorized Software
|
1. Include IoT devices to the software
inventory process.
2. Implement IoT software
inventory support.
|
1. Customer
2.Vendor
|
3
|
Secure Configurations for Hardware
and Software on Mobile Device Laptops, Workstations, and Servers
|
1. Implement security configuration
management solutions for IoT infrastructure and users/admins’ devices.
2. Implement security compliance
process for IoT infrastructure and users/admins’ devices.
3. IoT infrastructure secure configuration by default. |
1,2.Customer
3. Vendor, solution provider |
4
|
Continuous Vulnerability
Assessment and Remediation
|
1. Include IoT to patch management
and vulnerability management processes.
2. Patches and critical software
upgrades support for IoT devices.
|
1. Customer
2. Vendor
|
5
|
Controlled Use of Administrative
Privileges
|
1. Include IoT devices to admin
privileges control process.
2. Implement IoT OS
account control support.
|
1. Customer
2. Vendor
|
6
|
Maintenance, Monitoring, and
Analysis of Audit Logs
|
1. Organize infrastructure for log
management from the Internet.
2. Implement IoT OS
remote log sending ability.
|
1. Customer
2. Vendor
|
7
|
Email and Web Browser Protections
|
1. IoT software and OS
protection from malicious code.
|
Vendor
|
8
|
Malware Defenses
|
1. IoT software and OS
protection from malicious code.
|
Vendor
|
9
|
Limitation and Control of Network
Ports, Protocols, and Services
|
1. Implement security architecture
for IoT devices.
2. Implement IoT network access
ports control technologies and processes.
3. Implement ITGC controls for IoT
network services.
|
Customer
|
10
|
Data Recovery Capability
|
1. Include IoT devices to data
recovery processes.
2. Implement data
recovery ability support for IoT devices.
|
1. Customer
2. Vendor
|
11
|
Secure Configurations for Network
Devices such as Firewall Routers, and Switches
|
1. Implement security configuration
management solutions for network devices controlling IoT.
2. Implement security compliance
process for network devices controlling IoT.
|
Customer
|
12
|
Boundary Defense
|
1. Implement security architecture
for IoT.
2. Implement security
architecture support for IoT devices.
|
1. Customer
2. Vendor
|
13
|
Data Protection
|
1. Implement security architecture
for IoT.
2. Implement IoT data management
process.
3. Implement IoT configuration
management process.
4. Implement IoT devices
software and OS protection from malicious code.
5. Implement IoT devices
software and OS ability to participate in data/configuration management
process.
6. Implement security
architecture support for IoT devices.
|
1. Customer
2. Customer
3. Customer
4. Vendor
5. Vendor
6. Vendor
|
14
|
Controlled Access Based on the
Need to Know
|
1. Implement security architecture
for IoT.
2. Implement security policy for
IoT access control.
3. Implement IoT devices support
for security architecture and corporate access control solution.
|
Customer
|
15
|
Wireless Access Control
|
1. Implement security architecture
for IoT.
2. Implement wireless access
control for IoT devices.
3. Implement security
features for wireless IoT devices.
|
1. Customer
2. Customer
3. Vendor
|
16
|
Account Monitoring and Control
|
1. Implement account monitoring
and control for IoT.
2. Implement account
monitoring and control feature for IoT devices
|
1. Customer
2. Vendor
|
17
|
Security Skills Assessment and
Appropriate Training to Fill Gaps
|
1. Trainings for staff to IoT threats
mitigation.
2. IoT devices secure configuration by default. |
1. Customer
2. Vendor |
18
|
Application Software Security
|
1. Include IoT devices to the software
security compliance process.
2. Implement IoT software
secure development process.
|
1. Customer
2. Vendor
|
19
|
Incident Response and Management
|
1. Include IoT devices to incident
response and management process.
2. Implement security
features for IoT software.
|
1. Customer
2. Vendor
|
20
|
Penetration Tests and Red Team
Exercises
|
PenTest IoT infrastructure
|
Customer
|
Таблица выше говорит о том, что потребитель должен выполнять требования контролей SANS Top20, а производитель устройств и решений IoT - реализовать возможность исполнения таких требований. Звучит просто - реализуется сложно. Но ничего невозможного в вышеописанном нет, если корпоративный клиент использует контроли SANS TOP20 и при выборе IoT-решения добавляет соответствующие пункты как обязательные в техническое задание.
Комментариев нет:
Отправить комментарий