Компании опаздывают с безопасностью встраиваемых устройств
Пока операционные системы и приложения эволюционировали при помощи механизма быстрых патчей, распространение встраиваемых устройств, которые практически невозможно пропатчить, оставило компании беззащитными.
На конференции по безопасности Black Hat ранее в этом году Джером Рэдклифф, исследователь в области информационной безопасности, страдающий сахарным диабетом, продемонстрировал слабые места в системе безопасности популярной инсулиновой помпы. В прошлом месяце другой научный сотрудник из компании, специализирующейся на обеспечении информационной безопасности McAfee, провел атаку, продемонстрировав тем самым, насколько просто атаковать инсулиновую помпу и что их производители не готовы решить данную проблему.
Взлом инсулиновой помпы продемонстрировал всю серьезность проблем встраиваемых устройств. Большинство встраиваемых устройств создавалось без учета того, что им потребуется обновление. Но, так как исследователи все чаще обращают свое пристальное внимание на программное обеспечение встраиваемых систем в автомобилях, сетевых маршрутизаторах, принтерах и промышленных системах управления, то, вероятно, вскоре будет найдено еще больше уязвимостей. Однако исправить эти недостатки прямо "в поле" будет нелегко, утверждает Стюарт МакКлюр, генеральный менеджер по управлению рисками и совместимостью из компании McAfee.
"Придется потратить не меньше года, чтобы изменить хоть один бит в таком устройстве", - говорит он. "Это серьезная проблема, которую необходимо решить, чтобы обеспечить безопасность таких систем".
Другой пример – телефоны Android. Хотя Google быстро исправляет недостатки в своих приложениях, масса патчей все еще томятся в лабораториях производителей или тестируются в лабораториях качества сотовых операторов.
Это проблема будет распространяться все шире. Исследователи в области информационной безопасности все больше концентрируются на ПО для встраиваемых устройств, так как становится все сложнее создавать эксплоиты для компьютерных систем общего назначения, говорит Рон Гула, главный директор по технологиям компании Tenable Network Security.
"Мы создали очень, очень хорошую систему безопасности для Microsoft. И что же сделали люди? Они обратились другим, более легким целям", - сказал Гула.
Для компаний, которых беспокоит уязвимость встраиваемых устройств в своих сетях, первым шагом должно стать выявление всех подключенных к сети устройств и обнаружение уязвимых сервисов. Ни одной компании не стоит запускать у себя службу Telnet, даже внутри корпоративной сети, советует Гула.
"Есть устройства, о существовании которых в вашей сети вы можете и не подозревать. Так что сканирование – критически важно", - продолжает он.
Отключение от общей сети устройств, которые могут влиять на безопасность, это правильный следующий шаг. Бизнес-пользователи, возможно, хотят иметь возможности удаленного администрирования, эти неудобства следует принести в жертву ради обеспечения безопасности, - считает Эрик Кнапп, директор рынка критической инфраструктуры в NitroSecurity.
"Как только вы предоставите им удаленный доступ к сети, вы откроете огромную брешь в вашей системе безопасности", - пишет Кнапп.
Наконец, любой компании, использующей встраиваемые устройства, необходимо решить проблему патчей, которые по времени значительно отстают от появления уязвимостей, продолжает Гула из Tenable. Компании должны подтолкнуть своих поставщиков к тому, чтобы найти способы надежного и быстрого развертывания патчей, по аналогии с крупными поставщиками программного обеспечения на рынке персональных компьютеров.
"Мы хорошо знакомы со Вторником Microsoft, но нет ничего похожего Среду Cisco", - сообщает Гула. "Для встраиваемых устройств действительно необходима прозрачность, чтобы выяснить, какие патчи вам понадобятся".
Пока еще развертывание патчей на встраиваемых устройствах занимает много времени, говорит Марк Браун, вице-президент отдела устройств в Wind River. Многие производители встраиваемых устройств смогут ускорить применение патчей и устранить бреши в системе безопасности, особенно на устройствах, подключенных к сети. Тем не менее, на более глубоко встраиваемых устройствах, таких как оборудование для промышленного управления и мониторинга, применение патчей не будет настолько простым, считает он.
"У вас будут устройства высокого класса, такие как телефоны Android, которые можно будет пропатчить, и устройства низкого класса, которые не будут иметь возможности обновления, и, соответственно, они и будут представлять собой риск для вашей системы безопасности", - говорит Браун.
Пока операционные системы и приложения эволюционировали при помощи механизма быстрых патчей, распространение встраиваемых устройств, которые практически невозможно пропатчить, оставило компании беззащитными.
На конференции по безопасности Black Hat ранее в этом году Джером Рэдклифф, исследователь в области информационной безопасности, страдающий сахарным диабетом, продемонстрировал слабые места в системе безопасности популярной инсулиновой помпы. В прошлом месяце другой научный сотрудник из компании, специализирующейся на обеспечении информационной безопасности McAfee, провел атаку, продемонстрировав тем самым, насколько просто атаковать инсулиновую помпу и что их производители не готовы решить данную проблему.
Взлом инсулиновой помпы продемонстрировал всю серьезность проблем встраиваемых устройств. Большинство встраиваемых устройств создавалось без учета того, что им потребуется обновление. Но, так как исследователи все чаще обращают свое пристальное внимание на программное обеспечение встраиваемых систем в автомобилях, сетевых маршрутизаторах, принтерах и промышленных системах управления, то, вероятно, вскоре будет найдено еще больше уязвимостей. Однако исправить эти недостатки прямо "в поле" будет нелегко, утверждает Стюарт МакКлюр, генеральный менеджер по управлению рисками и совместимостью из компании McAfee.
"Придется потратить не меньше года, чтобы изменить хоть один бит в таком устройстве", - говорит он. "Это серьезная проблема, которую необходимо решить, чтобы обеспечить безопасность таких систем".
Другой пример – телефоны Android. Хотя Google быстро исправляет недостатки в своих приложениях, масса патчей все еще томятся в лабораториях производителей или тестируются в лабораториях качества сотовых операторов.
Это проблема будет распространяться все шире. Исследователи в области информационной безопасности все больше концентрируются на ПО для встраиваемых устройств, так как становится все сложнее создавать эксплоиты для компьютерных систем общего назначения, говорит Рон Гула, главный директор по технологиям компании Tenable Network Security.
"Мы создали очень, очень хорошую систему безопасности для Microsoft. И что же сделали люди? Они обратились другим, более легким целям", - сказал Гула.
Для компаний, которых беспокоит уязвимость встраиваемых устройств в своих сетях, первым шагом должно стать выявление всех подключенных к сети устройств и обнаружение уязвимых сервисов. Ни одной компании не стоит запускать у себя службу Telnet, даже внутри корпоративной сети, советует Гула.
"Есть устройства, о существовании которых в вашей сети вы можете и не подозревать. Так что сканирование – критически важно", - продолжает он.
Отключение от общей сети устройств, которые могут влиять на безопасность, это правильный следующий шаг. Бизнес-пользователи, возможно, хотят иметь возможности удаленного администрирования, эти неудобства следует принести в жертву ради обеспечения безопасности, - считает Эрик Кнапп, директор рынка критической инфраструктуры в NitroSecurity.
"Как только вы предоставите им удаленный доступ к сети, вы откроете огромную брешь в вашей системе безопасности", - пишет Кнапп.
Наконец, любой компании, использующей встраиваемые устройства, необходимо решить проблему патчей, которые по времени значительно отстают от появления уязвимостей, продолжает Гула из Tenable. Компании должны подтолкнуть своих поставщиков к тому, чтобы найти способы надежного и быстрого развертывания патчей, по аналогии с крупными поставщиками программного обеспечения на рынке персональных компьютеров.
"Мы хорошо знакомы со Вторником Microsoft, но нет ничего похожего Среду Cisco", - сообщает Гула. "Для встраиваемых устройств действительно необходима прозрачность, чтобы выяснить, какие патчи вам понадобятся".
Пока еще развертывание патчей на встраиваемых устройствах занимает много времени, говорит Марк Браун, вице-президент отдела устройств в Wind River. Многие производители встраиваемых устройств смогут ускорить применение патчей и устранить бреши в системе безопасности, особенно на устройствах, подключенных к сети. Тем не менее, на более глубоко встраиваемых устройствах, таких как оборудование для промышленного управления и мониторинга, применение патчей не будет настолько простым, считает он.
"У вас будут устройства высокого класса, такие как телефоны Android, которые можно будет пропатчить, и устройства низкого класса, которые не будут иметь возможности обновления, и, соответственно, они и будут представлять собой риск для вашей системы безопасности", - говорит Браун.
Комментариев нет:
Отправить комментарий