IDS: zdolność wykrywania włamań obniża ryzyko związane z podłączeniem do Internetu Rzeczy

Pracując nad poziomem ochrony zakładowego sprzętu funkcjonującego w ramach Internetu Rzeczy oraz Przemysłowego Internetu Rzeczy, trzeba odpowiedzieć sobie na zasadnicze pytanie: czy nasze służby IT są w ogóle w stanie zauważyć sytuację, w której dochodzi do ataku hakerów? Na szczęście z pomocą w wykrywaniu włamań przychodzi im oprogramowanie IDS (Intrusion Detection Software).
Potencjalne korzyści wynikające z podłączenia urządzeń do Internetu Rzeczy (Internet of Things – IoT) obejmują optymalizację wielu obszarów działań, takich jak m.in. prowadzenie biznesu, zdalny monitoring pacjentów w opiece zdrowotnej, pomoc w znajdowaniu miejsc parkingowych, wzrost poziomu zautomatyzowania w przemyśle oraz inne zastosowania, łącznie z tymi, które nie zostały jeszcze nawet opracowane. Coraz więcej sprzętu podłączonego do sieci tworzy jednak coraz większą przestrzeń dla rozmaitych cyberataków.
Wiele urządzeń współpracujących z Internetem Rzeczy jest małych i niedrogich. Wykorzystują one tanie rozwiązania, bez dużej mocy obliczeniowej i pamięci, co uniemożliwia uruchamianie na nich najnowszych programów zabezpieczających, które działają już w wielu sieciach firmowych i domowych. Zamiast więc systemów operacyjnych, takich jak Microsoft Windows czy Linux, w tanich urządzeniach IoT popularność zyskują wbudowane systemy operacyjne czasu rzeczywistego (Real-Time Operating System – RTOS), takie jak FreeRTOS, Open-RTOS oraz inne proste systemy komercyjne. Umożliwiają one producentom oryginalnego wyposażenia OEM zminimalizowanie wielopoziomowej struktury produktu (Bill of Materials – BOM), ale nie zapewniają wstępnie zintegrowanych rozwiązań, zabezpieczających przed cyberatakami.
Niektórzy upierają się przy stanowisku, że tanie urządzenia IoT nie znajdują się na celowniku hakerów. Powodem miałyby być trudności techniczne związane z przeprowadzeniem ataków na systemy firmowe lub też słaba znajomość tych urządzeń przez cyberprzestępców. To jednak zwyczajna krótkowzroczność. Zapewnienie bezpieczeństwa mało znanymi metodami (security by obscurity) działa tylko do chwili, gdy ktoś się w końcu nie uprze i nie dołoży starań, aby odkryć słabe punkty naszego urządzenia. Nawet jeśli takie zhakowanie będzie technicznie trudne do przeprowadzenia, to po odkryciu wrażliwych miejsc sprzętu przez „specjalistę” nie tylko dojdzie do ataku, ale jeszcze może on zostać niejako zautomatyzowany i opisany w Internecie, aby każdy mógł sobie o nim przeczytać i zdobytą wiedzę wykorzystać. Do łatwego odnajdywania podłączonych do Internetu urządzeń z systemem wbudowanym (embedded) bywają wykorzystywane takie narzędzia, jak np. wyszukiwarka Shodan. A ponieważ urządzenia kompatybilne z Internetem Rzeczy są obecnie produkowane na masową skalę, zaś każdy egzemplarz jest zasadniczo identyczny, to zidentyfikowany słaby punkt jednego z nich może być wykorzystany do eksplorowania setek, tysięcy, a nawet milionów podobnych modeli.
Pierwsza warstwa obrony
Oprogramowanie do wykrywania włamań (IDS) może być pierwszą warstwą obrony. Jednym z najbardziej znaczących problemów związanych z zabezpieczaniem urządzeń z systemem wbudowanym jest obecnie niezdolność do zasygnalizowania odbywającego się właśnie cyberataku lub nawet zaistnienia zagrożenia takim atakiem. Większość tych urządzeń nie rejestruje i nie raportuje logowań, jakie są stosowane w fabrycznych zabezpieczeniach – służących do wykrywania, czy jakiś haker spenetrował sieć lub urządzenie albo właśnie sonduje taką opcję.
Aby zobaczyć, jak rozwiązanie IDS może pomóc w zabezpieczeniu sprzętu współpracującego z Internetem Rzeczy, warto przyjrzeć się typowemu urządzeniu z systemem wbudowanym, obsługującemu interfejs administracyjny dostępny za pomocą protokołu dokumentów hipertekstowych HTTP lub standardu Telnet, wykorzystującemu do uzyskiwania dostępu do systemu nazwę użytkownika oraz hasło.
Haker chcący dokonać eksploracji takiego urządzenia mógłby użyć jakiegoś skryptu do wykonania brutalnego ataku, dokonując tysięcy prób logowań na godzinę, aż do odnalezienia właściwej nazwy użytkownika i odpowiedniego hasła. Większość urządzeń z systemem wbudowanym zwyczajnie przetwarza takie próby logowania zaraz po ich otrzymaniu. Za każdym razem, gdy walidacja hasła kończy się niepowodzeniem, urządzenie po prostu usuwa otrzymane żądanie i kontynuuje swoje normalne funkcjonowanie. Nie jest ono jednak świadome, że pozostaje obiektem ataku, a zatem nie może raportować tego ataku do systemu zarządzającego.
Oczywiście, jeśli wprowadzono dostatecznie silne hasło, hakerowi może się nie powieść jego plan. Użytkownicy są jednak skłonni do wybierania słabych haseł, co powoduje, że wiele urządzeń staje się nieodpornych na proste ataki. Domyślne nazwy użytkowników – w rodzaju admin czy root – są dziecinnie proste do odgadnięcia.
Tymczasem rozwiązanie IDS jest w stanie dostarczać – przynajmniej jako minimum – raporty o zdarzeniach, informujące szczegółowo o napływających masowo żądaniach logowania. Administrator bezpieczeństwa sieci orientuje się wówczas, że sprzęt, który normalnie odbiera kilka żądań logowania w ciągu godziny czy dnia, nagle przyjmuje ich tysiące. W efekcie może podjąć odpowiednie działania, aby zneutralizować atak.
Znaczenie wczesnego wykrycia ataku
Większość cyberataków nie wygląda tak, jak to widzimy na filmach. Hakerzy nie przedzierają się do sieci za pomocą zaledwie kilku naciśnięć klawiszy i nie odkrywają w ciągu kilku minut kluczowych informacji, błyskawicznie wprowadzając niszczące wirusy. Cyberatak rozpoczyna się, gdy haker lub grupa hakerów zaczyna sondować daną sieć, poszukując jej słabych punktów, albo do uzyskania pierwszego dostępu wykorzystuje inżynierię społeczną. Gdy to się uda, używa owego punktu do rekonesansu, eksfiltracji danych i głębszej penetracji sieci.
Hakerzy często tworzą potem nowe konta użytkowników lub dokonują innych zmian, które zapewnią im przyszły kontakt z siecią, w razie gdyby ich oryginalny punkt dostępowy został zlikwidowany. Mogą także zainstalować programy typu sniffer (przechwytujące i ewentualnie analizujące dane przepływające w sieci), keystroke logger (albo keylogger – rejestrujące klawisze naciskane przez użytkownika) czy inne, umożliwiające im zbieranie informacji.
Ten cykl sondowania, eksplorowania słabych punktów, uzyskiwania dostępu i przeprowadzenia rekonesansu sieci oraz eksfiltracji danych może być powtarzany wiele razy, czasami w okresie wielu miesięcy czy nawet lat, zanim włamanie zostanie wykryte albo zanim hakerzy przeprowadzą jakąś destrukcyjną działalność. Uważa się często, że szacunkowy czas od początkowej penetracji do wykrycia ataku wynosi od sześciu do dziewięciu miesięcy lub więcej.
Im wcześniej ataki zostaną wykryte, tym łatwiejsze będzie minimalizowanie ich skutków i większa szansa ograniczania poważnych uszkodzeń systemu czy utraty informacji lub zapobiegania tego rodzaju zdarzeniom.
Rola urządzeń z systemem wbudowanym w trakcie ataków
Większość urządzeń działających w ramach Internetu Rzeczy to w istocie podłączony do sieci sprzęt z systemem wbudowanym, nie zaś kompletne komputery typu PC, z zainstalowanym skomplikowanym oprogramowaniem antywirusowym czy przeciw złośliwemu oprogramowaniu (malware). Zauważone swego czasu włamanie do sklepu detalicznego Target pokazało, jak ważne jest wykrywanie włamań do urządzeń z systemem wbudowanym. Punktem wejścia dla hakerów był system HVAC (ogrzewania, wentylacji, klimatyzacji). Gdyby zainstalowano w nim oprogramowanie IDS, można by odpowiednio wcześnie wykryć atak i podjąć działania, które by mu zapobiegły lub przynajmniej ograniczyły jego skutki. Dobrze zaprojektowany system IDS dostarczyłby powiadomień o wszystkich logowaniach do systemu HVAC, stworzyłby raporty o znacznym zwiększeniu wykorzystania sieci oraz wygenerowałby powiadomienia o obustronnych połączeniach z nieznanym wcześniej adresem IP z sieci Internet. Każde z tych działań powinno spowodować bliższe przyjrzenie się temu, co się dzieje z urządzeniami HVAC.

Wdrożenie systemu IDS
System IDS dla urządzenia z systemem wbudowanym generuje logi i alarmy o zdarzeniach krytycznych, a następnie przesyła te informacje do systemu zarządzania bezpieczeństwem lub systemu zarządzania informacją i zdarzeniami bezpieczeństwa (Security Information and Event Management – SIEM). Tam dochodzi do ich przeanalizowania i podjęcia odpowiednich działań.
Obsługa oprogramowania IDS może być wdrożona w środowisku tanich urządzeń IoT, z ograniczonymi zasobami, działających w oparciu o system RTOS. Celem takich systemów nie jest klasyfikowanie adresów IP pod kątem zagrożeń, dopasowywanie sygnatur zagrożeń, wykonywanie szczegółowej analizy zdarzeń czy realizacja jakichkolwiek innych funkcji wyższego poziomu, dostępnych w systemie IDS czy SIEM przedsiębiorstwa. Są one raczej przeznaczone do zbierania informacji, dostarczania raportów i generowania alarmów, które mogą być wykorzystane przez systemy zarządzania.
Większość urządzeń funkcjonujących w ramach Internetu Rzeczy będzie pracować w stosunkowo statycznym środowisku. Ich działania oraz ilość przekazywanych i odbieranych przez nie danych zmieniają się niezbyt często. Dlatego wszelkie pojawiające się w tych obszarach znaczne zmiany są anomaliami i mogą świadczyć o przeprowadzanym lub przygotowywanym cyberataku.
Wbudowany system IDS wykrywa i raportuje kilka warunków krytycznych, podając także informacje podsumowujące działanie urządzenia, np. takie jak:
-> liczba prób logowania (udanych i nieudanych),
-> powiadomienia o komunikacji z nowymi adresami IP,
-> raporty o ruchu sieciowym,
-> wykrycie prób sondowania portów.
Możliwości te mogą być dodane do urządzenia IoT przy wykorzystaniu wbudowanego firewalla z opcjami wykrywania włamań. Wbudowany firewall, który obsługuje konfigurowalne reguły, dostarcza raporty zdarzeń dla IDS, filtruje przychodzący ruch sieciowy oraz wirtualnie segmentuje sieć – ograniczając w ten sposób hakerom możliwość przeprowadzenia cyberataku na konkretne urządzenie.
Potrzeba zabezpieczania tanich urządzeń IoT przed atakami wymaga zastosowania takich rozwiązań, jak firewall, wbudowany firewall oraz IDS, dla urządzeń działających w oparciu o system operacyjny RTOS. Firewall, który integruje to w stos protokołów IP urządzenia z systemem wbudowanym oraz dostarcza usługę IDS i filtrowania pakietów danych do tego urządzenia, powinien już zabezpieczać je przed atakiem.
Łagodzenie skutków włamań i ograniczanie szkód
Oprogramowanie IDS reprezentuje część rozwiązań bezpieczeństwa przeznaczonych dla urządzeń pracujących w ramach Internetu Rzeczy. Jest bardzo ważnym, ale często niedostrzeganym elementem strategii obrony w głąb (defense-in-depth). Wbudowane połączenie firewalla i IDS zabezpiecza urządzenie IoT przed atakiem i umożliwia efektywne wykrywanie cyber-ataków, co pozwala na minimalizowanie i ograniczanie szkód.
Tanie urządzenia IoT wymagają rozwiązania opracowanego dla konkretnego wyrobu. Powinno być zaprojektowane tak, aby spełniało wymagania w zakresie ograniczonych zasobów pamięci i działania tych środowisk z ograniczonymi zasobami sprzętowymi.
Rozwiązania oparte na systemach operacyjnych Microsoft Windows i Linux są zbyt wielkie, pobierają dużą moc i ostatecznie są zbyt powolne do obsługi najtańszych urządzeń IoT. Pozostawiają więc inżynierom wybór tworzenia swoich własnych rozwiązań lub wykorzystania istniejących opcji komercyjnych, takich jak właśnie odpowiednie firewalle.
Autor: Alan Grau jest prezesem i współzałożycielem firmy Icon Labs. 
Tekst pochodzi ze specjalnego wydania “Fabryka 4.0“. Jeśli Cię zainteresował, ZAREJESTRUJ SIĘ w naszym serwisie, a uzyskasz dostęp do darmowej prenumeraty w formie drukowanej i/lub elektronicznej.