Интернет вещей (IoT) — это больше, чем просто следующая ступень технического развития. Для многих компаний IoT — ценный источник данных, которые можно использовать, чтобы получить информацию о происходящих в бизнесе процессах, операциях и поведении клиентов. У Интернета вещей есть потенциал обнаруживать и устранять неэффективно работающие компоненты, находить новые источники дохода и многое другое — реальный экономический потенциал для тех, кто способен разработать IoT-решение, реализовать его и обеспечить возврат инвестиций.
Однако важнейшим аспектом для реализации этого потенциала является безопасность. По мере того, как растет сеть и увеличивается вариативность и сложность подключенных к ней устройств, организации сталкиваются с необходимостью защитить эту быстро расширяющуюся и подверженную атакам структуру. Если не взять ситуацию под контроль, компаниям будет проблематично использовать преимущества и возможный рост эффективности, которые делают инвестиции в IoT выгодными.
Конечно, ИТ-команды не первый раз встречаются лицом к лицу с проблемой обеспечения безопасности, связанной с использованием мобильных телефонов, ноутбуков, планшетов — рост популярности концепции BYOD и удаленной работы способствуют подключению огромного числа различных мобильных устройств к корпоративной среде. И решение, которое мы уже использовали, чтобы решить проблему, ровно то же самое, что и сейчас — три простых шага к обеспечению безопасности сети.
Шаг 1. Начните с мониторинга
Если говорить кратко – нельзя защитить то, чего не видно. Прежде чем вы перейдете к другим шагам, чрезвычайно важно точно определить, какие устройства подключены к вашей сети, кто ими управляет, как и почему они подключаются к ней. Помимо контроля за «белыми» устройствами стоит обратить внимание на «теневые» IoT-устройства, которые сотрудники подключают к сети без информирования ИТ-команды или принятия необходимых мер предосторожности, — это тот вопрос, над которым тоже надо подумать.
Традиционно процесс идентификации был достаточно простым и понятным: ИТ-службы работали с небольшой группой устройств, используя хорошо отработанные схемы; затем они выполняли профилирование, чтобы указать права каждого пользователя или устройства в сети, что он имеет право делать, а что — нет. Однако сегодня, когда многие современные устройства созданы на базе типового аппаратного оборудования и ПО или разработаны малоизвестными вендорами, которые не придерживаются общепринятых стандартов, обнаружение, профилирование и идентификация таких устройств становится более и более сложным. Как можно создать надежный профиль и обеспечить бесперебойность операций, если не получается определить, что за устройство перед вами и является ли оно источником угроз?
Ответ — направить силы на изучение контекста и машинное обучение. Если вы не уверены в том, что можете точно определить, какое устройство использует сеть, то вместо этого стоит обратить внимание на его «поведение». Часто совокупный анализ того, какие протоколы использует устройство, а также к каким данным, приложениям или URL-адресам оно запрашивает доступ, является единственным способом обрисовать общую картину, что перед вами за устройство и является ли оно вредоносным.
Шаг 2. Внедрите искусственный интеллект, чтобы обеспечить автоматическое применение политик
Искусственный интеллект также важен на следующем этапе защиты IoT — на этапе применения политик. Современным ИТ-службам необходима комплексная система контроля доступа, чтобы наблюдать за устройством с момента его подключения к сети. Однако учитывая огромное число подключенных устройств, ручное вмешательство уже не применяется на практике: устройства IoT часто функционируют круглосуточно, а некоторые приборы могут подключаться к сети в любое время для выполнения какой-либо задачи перед тем, как вернуться в спящий режим. Если кардиомонитор в больничной палате в три часа утра начнет передавать данные по сети через всю страну, то в реальности, при ручном управлении, шансов вовремя обнаружить передачу, поместить прибор на карантин и отправить его на проверку будет очень мало.
Внедрение искусственного интеллекта, с другой стороны, позволяет ИТ-службам разрабатывать политики, анализирующие контекст — роль пользователя, тип и местоположение устройства, статус сертификата, день недели, и каждый раз с их помощью быстро принимать правильные решения. Когда к сети подключается устройство IoT, которое проявляет подозрительную активность, то, благодаря последовательному применению политики в проводных и беспроводных сетях, его можно изолировать автоматически, отделив и обезопасив поток данных.
С помощью средств машинного обучения можно проанализировать журналы событий и данные устройств IoT по всей сети и определить базовые показатели их нормальной активности, такие, как аутентификация, удаленный доступ, внутренний доступ к особо важным ресурсам и пользованию облачными приложениями.
Шаг 3. Контроль подозрительной активности
Завершив предыдущие этапы и позволив устройству подключиться к вашей сети, нельзя просто оставить его без присмотра. Создать и корректно применить соответствующую политику доступа можно, только ведя непрерывный мониторинг сетевой активности. Мониторинг, профилирование и анализ данных — это то, без чего невозможно обеспечить безопасность сети, аутентифицировать данные, а также обнаружить новые поведенческие шаблоны и уязвимости.
Даже если устройство сейчас выглядит безобидно, в будущем ситуация может измениться. Вот почему стоит отслеживать состояние опознанных устройств на предмет нетипичных активностей или попыток получить доступ к различным сетевым компонентам. Ландшафт угроз меняется постоянно, так что, к сожалению, эта работа не завершится никогда.
На страже революции IoT
Наступление эпохи Интернета вещей может в корне изменить критически важные бизнес-приложения. Не стоит отказываться от предлагаемых ими возможностей из-за сопутствующих рисков — вместо этого нужно планировать, адаптироваться, учиться и строить защиту. Выполнение этих условий необходимо, чтобы реализовать огромный потенциал IoT.
Выстраивая комплексную систему мониторинга с привлечением средств машинного обучения и ИИ, ИТ-службы смогут действовать на опережение и уменьшить растущее число рисков, с которыми сталкивается бизнес. Безопасность должна стать не барьером, а фундаментом в применении Интернета вещей.
Автор — Екатерина Кравченко, руководитель департамента сетевых продуктов Aruba, Hewlett Packard Enterprise в России
