Первый в мире запрет на заранее заданные и легко подбираемые пароли для подключенных устройств в Великобритании является долгожданным шагом, но только первым в обеспечении безопасности быстро расширяющегося Интернета вещей (IoT).
Хотя запрет таких паролей, как «admin» и «12345», повышает требования к безопасности, законодательство не заходит настолько далеко, чтобы требовать обновлений прошивки и встроенных функций безопасности. Поэтому бизнес-администраторы должны сохранять бдительность в отношении других явных недостатков устройств в умном офисе.
Поскольку за последние пять лет количество IoT-атак выросло в четыре раза, а угроза IoT-ботнетов продолжает расти, администраторы не могут позволить себе ждать действий регулирующих органов. Вот как повысить кибербезопасность и восстановить контроль над экосистемой устройств вашей компании.
Борьба со слабыми паролями
Это регулирование стандартных паролей появилось уже давно – и все потому, что они чрезвычайно опасны. Простые комбинации пользователя и пароля легко угадать или взломать, что делает устройства потенциальными точками входа или скомпрометированными онлайн-ресурсами.
Текущие исследования отрезвляют: злоумышленникам достаточно всего пяти общих наборов паролей, чтобы получить доступ примерно к 10% всех подключенных к Интернету устройств. Вредоносное ПО Mirai, захватившее более 100 000 домашних маршрутизаторов для массовых распределенных атак типа «отказ в обслуживании» (DDoS), использовало всего 62 комбинации имени пользователя и пароля.
Эта проблема становится все больше и больше. Ботнеты IoT стали основной причиной DDoS-трафика: взломанные устройства распространяют вредоносное ПО, крадут данные и способствуют другим кибератакам. Число DDoS-устройств, управляемых ботнетами, выросло с примерно 200 000 в прошлом году до примерно 1 миллиона сегодня, что составляет более 40% всего трафика.
Закон Великобритании о безопасности продуктов и телекоммуникационной инфраструктуре 2022 года (PSTI), вступивший в силу в апреле, направлен на решение этой проблемы, требуя, чтобы устройства либо имели случайный пароль, либо генерировали уникальный пароль при инициализации. Невыполнение этого требования является уголовным преступлением и карается штрафом в размере до 10 миллионов фунтов стерлингов или 4% мирового оборота, в зависимости от того, что больше.
В течение многих лет эксперты ожидали, что рыночные силы заставят производителей устройств улучшить методы использования паролей. Но поскольку они не предпринимают никаких действий, правительство теперь вмешивается и требует от производителей создать средства для сообщения о проблемах безопасности и предоставить график обновлений безопасности для своих подключенных продуктов.
Компании, не ждите регуляторов
Но это не значит, что закон идеален. Например, не существует конкретных правил, определяющих минимальный срок сообщения об упомянутых выше обновлениях безопасности. Хуже того, стандарты отстают от сопоставимых регионов и правил. PSTI соответствует только 3 из 13 рекомендаций по безопасности Интернета вещей Европейского института телекоммуникационных стандартов. Кроме того, это регулирование не соответствует более строгому Закону о киберустойчивости в Европе. Этот набор правил для подключенных устройств, запланированный на 2027 год, идет на несколько шагов вперед, предписывая поддержку аппаратного и программного обеспечения на протяжении всего жизненного цикла продукта, а также автоматические обновления.
Не заблуждайтесь, PSTI — это позитивный шаг, и решение проблемы использования универсальных паролей имеет решающее значение. Оно также намного превосходит дополнительное потребительское решение Checkmark, предлагаемое в США. Однако для действующих сегодня предприятий нормативные акты могут обеспечить лишь ограниченную защиту, а то, что они защищают и насколько далеко они распространяются, зависит от того, где вы находитесь. В конечном счете, ответственность за комплексную защиту лежит на ИТ-специалистах, которые должны обеспечить безопасность экосистем своих подключенных устройств.
Это означает, что теперь вам необходимо использовать передовые инструменты и лучшие практики. Никаких оправданий — уникальные учетные данные и многофакторная аутентификация — это минимум. Или вы можете вообще отказаться от паролей и выбрать инфраструктуру открытых ключей (PKI). В этом методе используется асимметричная криптография для установления первоначальных доверительных отношений между клиентом и целевым устройством, при этом сгенерированный ключ заменяет пароль и обеспечивает аутентификацию. Это не только гораздо более безопасная форма однофакторной аутентификации, но и делает невозможными атаки методом перебора.
Но это только начало. Тщательное обнаружение активов, сегментация сети и непрерывный мониторинг имеют решающее значение. Кроме того, удвоите усилия по обеспечению безопасности соединений, зашифровав все передаваемые данные и обеспечив прямую одноранговую связь. И, наконец, не делайте предположений, всегда проверяйте, следуя принципам нулевого доверия.
Будущее безопасных устройств находится в руках администраторов
Для администраторов безопасность является насущной необходимостью. Не ждите медленных политических действий – будущее вашей подключенной инфраструктуры зависит от решительных действий сегодня.
Это начинается с основ, таких как элементы управления безопасностью, упомянутые выше. Это также требует критического подхода к происхождению устройства. Откуда берется то или иное устройство? Кто производитель, каковы его приоритеты в области безопасности и послужной список? Эти соображения нельзя игнорировать в нашей ситуации с широко распространенными рисками в цепочке поставок.
Также внимательно изучите операционную систему и то, как она работает. Это полноценный высокопроизводительный дистрибутив Linux со сложной поверхностью атаки и потенциальными бэкдорами? Или операционная система реального времени (RTOS), специально оптимизированная для этой конкретной задачи? Администраторы должны подумать, оправдывают ли преимущества расширенных функций повышенный риск. Простота и ограничение безопасности могут быть более разумным решением для многих случаев использования Интернета вещей.
Отрадно видеть, что регулирующие органы осознают суровую реальность кибербезопасности современных устройств. Однако нисходящие правила могут защитить вас и вашу компанию лишь в определенной степени. В конечном счете, чтобы обеспечить свое подключенное будущее, вы должны принимать разумные решения относительно устройств: происхождение устройства должно быть тщательно проверено, предпочтение должно отдаваться безопасной архитектуре, а настройки по умолчанию должны быть скорректированы. Пока стандарты не будут полностью разработаны, вы — последняя линия защиты.
Мы перечислили лучшие менеджеры паролей для бизнеса.
Эта статья была создана в рамках канала Expert Insights от TechRadarPro, где мы рассказываем о лучших и ярких умах в области технологий сегодня. Мнения, выраженные здесь, принадлежат автору и не обязательно отражают точку зрения TechRadarPro или Future plc. Если вы заинтересованы в участии, узнайте больше здесь:
