Представьте, что вы читаете заголовок в завтрашних новостях, в котором говорится, что личность вашего соседа украдена, а его сбережения вычищены преступниками, проникшими через их «умную» стиральную машину .
Смешно, говорите? Хорошо, а вы недавно проверяли свою домашнюю сеть Wi-Fi?
Возможно, у вас есть несколько подключенных домашних гаджетов и других устройств Интернета вещей (IoT), подключенных по беспроводной сети через неправильно настроенный маршрутизатор без настроек брандмауэра. Прошивка актуальна? Обновлены ли исправления безопасности?
Все еще не уверены, что это серьезная проблема? Затем рассмотрим этот вопиющий пример того, насколько опасным может быть устаревшее устройство.
В июне владельцы сетевых хранилищ Western Digital My Book по всему миру обнаружили, что на их устройствах произошел загадочный сброс настроек, и все их файлы были удалены. My Book Live и My Book Live Duo — персональные облачные устройства хранения данных.
Когда пользователи продукта WD пытались войти в систему через веб-панель управления, устройства ответили, что у них был «неверный пароль». Владельцы WD My Book больше не могли войти в систему через браузер или приложение.
Продукты My Book Live и My Book Live Duo потеряли данные из-за нарушения безопасности, согласно веб-сайту Western Digital. WD проинформировала клиентов, что компания покроет расходы соответствующих пользователей соответствующими продуктами для восстановления их данных с помощью услуг восстановления данных (DRS), предоставляемых поставщиком, выбранным Western Digital.
Компания обещала покрыть расходы на отгрузку соответствующего продукта поставщику DRS и на услугу восстановления данных. Любые восстановленные данные будут отправлены заказчику на диске My Passport.
Western Digital подтвердила, что «некоторые устройства My Book Live взломаны вредоносным ПО». Компания также подтвердила сообщения о том, что это привело к сбросу настроек до заводских, в результате которого были стерты все данные на некоторых пользовательских устройствах.
Устройство My Book Live получило последнее обновление прошивки в 2015 году. В заявлении Western Digital от июня 2021 года пользователям предлагалось отключить устройства My Book Live от Интернета, чтобы защитить данные на своем устройстве.
Уязвимость My Book Live показывает, что она все еще существует долгий путь к безопасности Интернета вещей. По словам Джона Бамбенека, советника по разведке угроз в Netenrich, большое внимание было уделено тому, чтобы такие устройства не были усилены или построены в соответствии с передовой практикой.
«В данном случае мы видим, что создаются устройства, которые рассчитаны на то, чтобы продлить срок службы поддержки, взятой на себя их поставщиками; поэтому они не только уязвимы, но и потребители не могут защитить себя. Будь то потеря данных, программы-вымогатели или DDoS-атаки, эти проблемы будут повторяться до тех пор, пока поставщики не возьмут на себя обязательство защищать своих клиентов », — сказал он TechNewsWorld.
Содержание статьи
Неправильная бизнес-модель
Производители оригинального оборудования (OEM) не несут ответственности за это фиаско, поскольку их устаревшие подключенные устройства больше не продаются.
Однако большинство клиентов не осведомлены о том, что у этих устройств действительно есть срок годности, и потребители не предупреждены об опасности продолжения использования прошивки без исправлений, поскольку бесчисленные устаревшие подключенные устройства ожидают проникновения злоумышленников, — предположил Асаф Ашкенази. , Главный операционный директор компании Verimatrix, занимающейся безопасностью подключенных устройств.
«Производители оригинального оборудования должны либо преобразовать свою бизнес-модель, чтобы поддерживать долговременную службу обновления программного обеспечения, либо установить более сложные технологии, которые значительно затруднили бы взлом этих устройств», — сказал он TechNewsWorld.
Ашкенази прямо не обвиняет OEM-промышленность в таких проблемах, как фиаско Western Digital. Проблема в бизнес-модели. Не существует стандартов, регулирующих порядок обслуживания и защиты устройств Интернета вещей.
«К сожалению, я не вижу ничего, что касалось бы стандартизации безопасности этих устройств IoT. Может быть, правительство или защита потребителей, или некоторые компании решат создать консорциум, который скажет, кто несет ответственность », — сказал он.
Определенно существует потребность в большей прозрачности с точки зрения уровня поддержки программного обеспечения на этих устройствах. Он добавил, что ничего нельзя сделать для решения этой проблемы, пока отрасль не решит принять этот вызов.
Образование и давление со стороны потребителей
Потребуются усилия по повышению осведомленности, чтобы потребители осознали опасности, связанные с покупкой небезопасных устройств IoT. Это может затем привести к тому, что потребители смогут рассматривать безопасность устройства как часть своего решения о покупке, — предположил Ашкенази.
Большинство потребителей сейчас не знают, что устройства, характерные для их домашних хозяйств, могут быть подключены к Интернету через их беспроводные маршрутизаторы. Он добавил, что если у них есть устройство, которое подключается к сети, им необходимо убедиться, что программное обеспечение устройства обновлено.
«Когда программное обеспечение больше не обновляется, использование устройства может быть опасным», — предупредил он.
Целью, по мнению Ашкенази, является прежде всего защита потребителей. Затем он надеется, что потребители окажут на производителей достаточное давление, чтобы компании начали говорить, как долго они собираются поддерживать программное обеспечение.
Apple, Google и некоторые другие крупные компании говорят это для определенных устройств. Но в отношении многих других устройств компании через шесть месяцев или около того прекращают их поддержку. По его словам, потребители продолжают использовать эти брошенные устройства, потому что в остальном они работают нормально.
Нечеткая ответственность
Потребители должны быть такими же скрупулезными, как и корпоративные предприятия, когда дело касается кибербезопасности. Группы корпоративной безопасности понимают, что уязвимости бывают самых разных форм и размеров, — заметил Янив Бар-Даян, генеральный директор и соучредитель Vulcan Cyber, SaaS-поставщика средств устранения корпоративных киберрисков.
«В случае с устройствами Western Digital My Book Live злоумышленники воспользовались последовательным набором обстоятельств, чтобы стереть данные с незащищенных жестких дисков. Потребители должны были знать, что микропрограммное обеспечение накопителя необходимо обновлять и подключать накопители к Интернету только при необходимости. Но где же ответственность? На потребителе или на Western Digital? Нет однозначного ответа », — сказал он TechNewsWorld.
Одна из основных проблем безопасности Интернета вещей в настоящее время заключается в том, что стремительный выход на рынок часто лишает приоритета мер безопасности, которые необходимо встроить в наши устройства. По словам Стефано Де Блази, исследователя угроз в Digital Shadows, эта проблема сделала многие устройства IoT бесполезными для преступников, заинтересованных в краже конфиденциальных данных и доступе к незащищенным сетям.
«Кроме того, злоумышленники могут использовать уязвимые продукты, используя свои вычислительные мощности и организовывая массовые кампании бот-сетей Интернета вещей, чтобы прерывать трафик на целевые службы и распространять вредоносное ПО», — сказал он TechNewsWorld.
Слепые зоны кибербезопасности
Безопасность Интернета вещей или ее отсутствие страдают от отраслевых недостатков. Основная проблема заключается в том, что традиционные инструменты управления уязвимостями не сканируют операционную систему. Таким образом, по словам Бакшиша Сингха Гумана, глобального старшего директора по маркетингу и стратегии компании Finite State, занимающейся безопасностью подключенных устройств, они не обнаруживают никаких проблем с безопасностью или уязвимостей на уровне микропрограмм.
«Вторая проблема связана с производителями устройств, которые часто несут ответственность за обеспечение безопасности устройств, несмотря на то, что им обычно не хватает соответствующих средств управления безопасностью для сканирования уязвимостей на уровне микропрограмм», — сказал он TechNewsWorld.
Производителям важно провести тщательный анализ он рекомендовал для выявления уязвимостей любого рода и, если они обнаружат, сообщить потенциальным пользователям о доступных обновлениях прошивки и исправлениях.
«Это очень реакционный процесс, в отличие от автоматизированного упреждающего процесса, применяемого в практике управления уязвимостями предприятия. В результате этих факторов уязвимости прошивки часто игнорируются и становятся слепыми пятнами кибербезопасности, которые привлекают внимание злоумышленников », — сказал Гуман.
Сложная безопасность IoT
В зависимости от отрасли и приложения предоставление исправления не всегда доступно. В случае потребителей установка исправлений — это двоякий процесс, согласно Гуману
.
Во-первых, производителю устройства необходим стандартный процесс обновления для установки обновлений / исправлений на свои устройства. Второй шаг требует распространения осведомленности потребителей о необходимости обновления и исправления уязвимостей.
«Это довольно сложно, потому что для этого требуются постоянные напоминания и обучение относительно кибербезопасности и гигиены», — сказал Гуман.
Производители устройств могут предпринять несколько шагов, чтобы предотвратить новые эпизоды, подобные дилемме Western Digital, — предположил он. К ним относятся:
- Обеспечение наличия группы безопасности продукта в их организации;
- Включение управления уязвимостями на уровне микропрограмм как часть их общих программ разработки продукта и обеспечения безопасности продукта, чтобы они могут обнаруживать уязвимости на уровне микропрограмм до их распространения
- Проактивно сканировать свои микропрограммы на наличие уязвимостей, которые можно использовать, и, в случае их обнаружения, быстро разрабатывать исправления; и
- Наличие стандартного и безопасного процесса обновления прошивки, который выдвигает исправления по мере их появления.
Неизбежный таргетинг
Переход потребителя к предпочтению цифрового взаимодействия приведет к увеличению ландшафта потенциальных угроз, на которые могут нацелиться злоумышленники, заметил Тайлер Шилдс, директор по маркетингу JupiterOne. Больше приложений, больше данных в облаке, больше цифровых возможностей — больше возможностей и случайностей.
«По мере того, как мы переносим все больше и больше в нашу повседневную жизнь в облако, количество случаев компрометации данных будет расти. На самом деле мы только начали наблюдать распространение цифровых технологий и атаки, которые будут расти вместе с ними », — сказал он TechNewsWorld.
Безопасность всегда компенсировалась простотой использования. По словам Шилдса, сообщество поставщиков средств кибербезопасности должно стремиться к созданию простых в использовании средств кибербезопасности, обеспечивающих приемлемый уровень безопасности для технологий, востребованных потребителями.
Хорошим примером этого является переход к единой регистрации и аутентификации без пароля. Пользователи десятилетиями не могли поддерживать правильные пароли, и эта ситуация никогда не изменится. Следовательно, инновации должны создавать простую в использовании альтернативу, которая обеспечивает надлежащую безопасность и гораздо лучший пользовательский интерфейс.
«Предприятия должны найти правильный баланс между технологическими инновациями и безопасностью традиционных моделей», — сказал он.
