21 мая 2018 г.
Всё больше профессионалов ИТ-безопасности озабочены кибератаками, связанными с Интернетом вещей, но гораздо меньше предпринимают меры, чтобы их корпоративные сети были надежно защищены от этих атак.
Такой вывод делается в исследовании под названием «Интернет опасных вещей» (Internet of Evil Things),, только что опубликованном вендором кибербезопасности Pwnie Express; результаты основаны на ответах 582 профессионалов ИБ в компаниях различного размера. Авторы отмечают, что специалисты ИБ всё еще обдумывают, как решить вопросы безопасности для легионов новых, непривычных устройств, которые оказываются теперь подключены к корпоративным сетям.
Примерно 64% респондентов ответили, что больше озабочены безопасностью устройств, чем в прошлом году, при этом главные опасения связаны именно с устройствами IoT. В то же время, треть респондентов признала, что их организация не готова обнаруживать угрозы, касающиеся этих устройств.
Уровень опасений и степень готовности существенно варьировались для разных типов подключенных устройств. Так, 80% респондентов считают проблемой собственные устройства сотрудников, но лишь 47% ответили, что в их организации есть средства мониторинга таких устройств. Далее, 49% назвали проблемой потребительские IoT-устройства (в частности, смарт-часы), но лишь 23% могут их контролировать. Что касается злонамеренных, т. е. специально созданных несанкционированных (rogue) устройств, то 51% респондентов выразили опасения, но лишь 24% имеют возможность их отслеживать.
«Что касается этого нового феномена интернета вещей, я думаю, это очень отличается от того, с чем имела дело традиционная ИТ-безопасность. Вещи это сложные, и ставки, как правило, выше, а знающих специалистов не так много», — говорит главный управляющий Pwnie Express Тодд ДеСисто (Todd DeSisto). Всё это вместе взятое ведет к тому, что данную проблему труднее решить, и поэтому текущие возможности ИТ не соответствуют имеющемуся уровню опасений, пояснил он.
Исследование также выявило, что специалисты ИБ не проверяют беспроводные устройства на предмет вредоносного ПО в той же степени, как в прошлом году. В 2017 году 46% респондентов ответили, что проверяли свои устройства лишь на прошлой неделе, а в этом году так ответили 43%. В то же время, обнаружение и устранение угроз, касающихся подключенных устройств, остается высоким приоритетом для 63% респондентов — примерно на уровне прошлого года.
Брайан Солсбери (Brian Salisbury), вице-президент по разработке продуктов VAR-компании Comtech Telecommunications, добавляет, что некоторые недоработки, которые есть у компаний в безопасности интернета вещей, касаются устаревших систем в корпоративной сети, которые не были спроектированы с учетом сегодняшней специфики атак.
«Безопасность трудно встроить постфактум, — говорит он. — Она должна предусматриваться изначально».
А какие из организаций лучше подготовлены к отражению атак на устройства IoT? Исследование показало, что в компаниях мелкого и среднего бизнеса лучше поставлена такая защита, чем в крупных организациях, несмотря на меньший доступный объем ресурсов. (Аналогичный результат был в прошлом году.) Так, 62% опрошенных в СМБ знают, сколько устройств подключено к их сети, но лишь 47% респондентов из крупных организаций сказали то же. Аналогичная картина наблюдается в проведении ежемесячных проверок беспроводных устройств на предмет их инфицирования: 71% СМБ проводят полную инвентаризацию подключенных устройств в своей сети, а среди крупных организаций — лишь 49%.
«Они меньше, поэтому им легче за всем уследить, так что они могут выделить на это небольшие ресурсы и держать всё под контролем», — говорит ДеСисто.
Еще один больной вопрос тот, что в принятии решений о закупках не участвуют специалисты ИБ. Лишь 32% респондентов ответили, что все закупки устройств должны быть одобрены ИТ-специалистами, но 61% сказали, что на деле этого нет. Что касается потребительских IoT-устройств, промышленного IoT и эксплуатационной технологии, то менее 50% ответили, что у них назначен специалист, утверждающий такие закупки.
Многие специалисты ИБ оказались исключены из процесса покупки, поскольку обычные сотрудники просто приносят собственные устройства, чтобы эффективнее работать, игнорируя при этом вопросы безопасности, говорит ДеСисто.
«Не всё проходит через них, как раньше», — сказал он.
Почти повсеместно отсутствуют также политики безопасности, предназначенные конкретно для подключенных устройств. В то время как 75% опрошенных имеют политики безопасности для традиционных устройств ИТ, лишь менее половины имеют такие политики для эксплуатационной технологии, промышленного IoT, потребительских IoT-устройств и собственных устройств сотрудников. Лишь 35% респондентов ответили, что ИТ-специалисты проводят проверку, чтобы устройства соответствовали политикам безопасности.
На вопрос о том, кто должен отвечать за безопасность подключенных устройств, 61% ответили, что специалисты ИБ, 19% — что покупатель устройства, 13% — что производитель устройства и 7% — что системный интегратор или реселлер-поставщик решений. Почти 40% считают, что государство должно регулировать вопросы безопасности для IoT.
Понимание вопросов безопасности подключенных устройств растет, говорит ДеСисто, но меры начнут приниматься лишь после действительно серьезного взлома, считает он. Уже были примеры таких атак, например ботнет Mirai 2016 года, когда были инфицированы сотни тысяч потребительских IoT-устройств и перестали работать целые сегменты интернета.
«К сожалению, это начнут делать, когда произойдет что-то действительно катастрофическое, что привлечет наконец всеобщее внимание, — сказал он. — Такова уж человеческая природа. Инерция очень сильна».
И он говорит это, опираясь на один из самых тревожных результатов опроса: 85% респондентов полагают, что будет предпринята крупная кибератака на критически важную инфраструктуру в их стране в ближайшие пять лет.
«Работаете вы в ИТ-отрасли или нет, вы услышите об этом», — предрек ДеСисто.
© 2018. The Channel Company LLC. Initially published on CRN.com, a The Channel Company website, at https://www.crn.com. Reprinted with permission.
Источник: Дилан Мартин, CRN/США