Árnyékinformatikáról akkor beszélünk, ha a munkavállalók például saját okostelefonjaikat vagy mobileszözeiket a vállalati BYOD-előírások bevezetése előtt munkavégzésre kezdik használni. Az árnyék-IoT az árnyékinformatika kiterjesztése, de egészen más méretekben, definiálja a fogalmat Mike Raggo, a 802 Secure cég biztonsági vezetője. Nem csupán az alkalmazottak által használt eszközök egyre növekvő száma okozza a problémát, hanem a berendezések, funkciók és célok sokszínűsége is, teszi hozzá.
Korántsem új keletű, hogy az alkalmazottak saját táblagépeiken és mobileszközeiken csatlakoznak a vállalati hálózathoz. Manapság azonban egyre többen használnak okoshangszórókat, vezeték nélküli meghajtókat és más IoT-eszközöket. Egyes vállalatoknál okostévéket állítanak be a tárgyalókban vagy IoT-képes berendezéseket, például intelligens mikrohullámú sütőket és kávégépeket használnak az irodai konyhákban. Ráadásul az irodaépületeket gyakran szerelik fel ipari szenzorokkal, továbbá a szellőző- és légkondicionáló-rendszereket vezeték nélküli termosztátokkal vezérlik. A vállalatokhoz kihelyezett üdítőital-automaták pedig az elektronikus fizetés biztosításának céljából wifin kapcsolódnak az internetre. Ha ezek a berendezések az IT-részleg tudta nélkül csatlakoznak szervezet hálózatára, akkor árnyék-IoT-vá válnak, összegzi kutatásának eredményeit James A. Martin, a CSO portál munkatársa.
Mennyire elterjedt?
A Gartner előrejelzése szerint 2020-ra világszerte több mint 20 milliárd IoT-eszköz lesz használatban, 2017-ben a számuk még csupán 8,7 milliárd volt. Ez azt jelzi, hogy az árnyék-IoT széles körben elterjedtté vált. Egy 2017-es felmérés szerint a megkérdezett vállalatok 100 százaléka számolt be nemkívánatos fogyasztói IoT-eszközök jelenlétéről a céges hálózatban. Az amerikai, brit és német vállalatok egyharmadánál naponta több mint 1000 árnyék-IoT-eszköz csatlakozik a céges hálózathoz az Infoblox 2018-as felmérése szerint. A legelterjedtebb IoT-eszközök a vállalati hálózatokban a következők:
- fitnesz trackerek: 49 százalék,
- digitális asszisztensek: 47 százalék,
- okostévék: 46 százalék,
- okoskonyha-eszközök: 33 százalék,
- játékkonzolok: 30 százalék.
Látványosan láthatatlan
Minthogy az IoT-eszközöket általában nem látják el hatékony, vállalati osztályú védelemmel, és gyakran használják őket alapértelmezésbeli azonosítóval és jelszóval, a kiberbűnözők könnyen megtalálják őket, továbbá néha az IT-részleg tudta nélkül csatlakoznak a szervezetek wifi gerinchálózatához. Így az IoT-szenzorok nem mindig láthatók a hálózatban, az IT-részleg pedig nem tudja felügyelni és megvédeni azokat a berendezéseket, amelyeket nem lát, ez pedig a hackerek könnyű prédájává teszi a csatlakozó okoseszközöket. Az eredmény: a Symantec adatai szerint az IoT-támadások száma 600 százalékkal nőtt 2018-ban az előző évhez képest.
A hálózatokhoz csatlakozó sérülékeny eszközök egyszerűen felkutathatók online olyan, erre specializálódott keresőszolgáltatásokkal, mint a Shodan, mutat rá az Infoblox jelentése. A Shodan még egyszerű keresőszavak megadásakor is részletes információkkal szolgál az azonosítható eszközökről.
Amikor több évtizeddel ezelőtt a PC-k megjelentek, operációs rendszereiket nem a biztonsági szempontok messzemenő figyelembevételével tervezték, minek következtében védelmük folyamatos küzdelmet igényel a rosszindulatú programokkal szemben. Ezzel ellentétben az iOS és Android mobiloperációs-rendszereket integrált biztonsági funkciókkal (például sandboxinggal) látták el, ezért a mobileszközök biztonságosabbak, mint a PC-k, de azért nem teljesen golyóállóak.
A dolgok internetét alkotó eszközöknél a gyártók mintha elfeledkeztek volna mindenről, amit a mobiloperációs-rendszerek biztonságával kapcsolatban megtanultak, vélekedik Raggo. Mivel az IoT-eszközök általában csak egy vagy két feladatot látnak el, az alapvető protokollokon, például a WPA2-n kívül gyakran nem rendelkeznek további biztonsági funkciókkal. Az eredmény több milliárdnyi védtelen IoT-eszköz világszerte a vállalati hálózatokban az IT-részlegek tudta nélkül.
- Vásároltam tíz-tizenöt IoT-eszközt pár éve, hogy ellenőrizzem a biztonságukat, számol be tapasztalatairól Chester Wisniewski, a Sophos vezető kutatója. - Sokkoló volt, milyen gyorsan megtaláltam a sérülékenységeiket, ami azt jelenti, hogy szinte bárki meg tudja hackelni őket.
Rámozdultak a hackerek?
Igen. Mindeddig a leghírhedtebb eset a 2016-os Mirai botnet-támadás volt, melynek során védtelen IP-kamerákat és otthoni hálózati routereket hackeltek meg, s hoztak létre belőlük gigantikus méretű bothálózatot. Majd ezt a hálózatot hatalmas intenzitású osztott szolgáltatásbénító (DDoS) támadásokhoz használták, az egyik például elérhetetlenné tette az internetet az Egyesült Államok keleti partjának túlnyomó részén. Ráadásul a Mirai forráskódot közkinccsé tették, így a kiberbűnözők könnyen felhasználhatják bothálózatok építéséhez.
Más ártalmas kódok is elérhetőek online, amelyekkel a támadók ellenőrzésük alá vonhatják az IoT-eszközöket, olvashatjuk az Infoblox jelentésében. Például a WikiLeaks 2017-ben a Weeping Angel nevű CIA-eszközről számolt be, amellyel a Samsung okostévék lehallgató mikrofonná változtathatók. A DDoS-támadásokon túlmenően a hackerek adatlopásra és zsarolóprogrammal indított támadásokhoz is használhatják a sebezhető IoT-eszközöket az Infoblox szerint.
Mindez aggodalommal kell, hogy eltöltse a biztonsági vezetőket és a kiberbiztonságért felelő más szakembereket. Gondoljunk csak bele, milyen károkat tud okozni, ha valaki egy termosztátot feltörve 40 fokra állítja be egy adatközpont hőmérsékletét. Volt már példa hasonlóra: 2012-ben kiberbűnözők ellenőrzésük alá vonták egy kormányzati létesítmény és egy gyár termosztátjait, amelyeket a Shodan keresővel találtak meg.
Mindeddig az IoT-eszközök ellen elkövetett támadások nem jártak nagyon negatív következményekkel, például bizalmas adatok ellopásával, állítja Wisniewski. De amikor a kiberbűnözők rájönnek, miképpen juthatnak komoly haszonhoz a dolgok internetén található eszközök feltörésével, az árnyék-IoT kockázatai nyilvánvalóvá fognak válni minden érintett számára, teszi hozzá.
Kockázatmérséklés háromféleképpen
Könnyítsük meg a felhasználóknak, hogy hivatalosan regisztrálják IoT-eszközeiket! Az árnyékinformatika és az árnyék-IoT kialakulásának gyakran az az oka, hogy az IT-részleg az esetek nagy részében elutasítja például az okostévék és más hasonló készülékek használatára vonatkozó kéréseket, hangsúlyozza Wisniewski. Az IoT-eszközök teljes betiltása helyett érdemes a lehető legrövidebb időn belül engedélyezni a kérést minden olyan esetben, amikor a kért berendezés használatának van értelme, mert ez nagymértékben csökkentheti az árnyék-IoT elterjedtségét a vállalatnál. Az engedélyezési folyamatot tegyük a lehető legrugalmasabbá, hogy az alkalmazottak ne próbáljanak meg semmit sem elrejteni előlünk!
Proaktívan keressük az árnyék-IoT-eszközöket! A szervezeteknek a hálózatukon kívül is fel kell térképezniük az árnyék-IoT-t, mivel annak nagy része nem a vállalati hálózatban él, tanácsolja Raggo. Az IoT-eszközök több mint 80 százaléka vezeték nélkül kommunikál, ezért az árnyék-IoT-eszközök és hálózatok vezeték nélküli monitorozása átláthatóságot biztosít, és lehetővé teszi ezek felügyeletét.
A hagyományos biztonsági termékek MAC címük vagy a gyártó egyedi azonosítója (OUI) alapján listázzák az eszközöket, ami nem sok segítséget nyújt egy olyan környezetben, ahol rengeteg különböző típusú berendezés működik. Az IT-részleg azonosítani akarja az eszközöket, hiszen el kell döntenie, engedélyezett berendezésről van-e szó. Mesterséges intelligenciával megtámogatott világunkban a fejlett biztonsági termékeknek a felfedezett eszközök emberbarát kategorizálását kell nyújtaniuk a hatékony eszközfelügyelet és védelem folyamatának megvalósítása érdekében.
Izoláljuk az IoT-t! Ideális esetben az új IoT-eszközöknek egy külön, erre a célra kialakított, az IT-részleg által felügyelt wifi-hálózaton keresztül kell az internetre kapcsolódniuk, hangsúlyozza Wisniewski. A hálózatot úgy kell konfigurálni, hogy engedélyezze az IoT-eszközök számára az információk továbbítását, de blokkolja a bejövő hívásokat. Az IoT-eszközök többségéhez ugyanis semmilyen legális adat nem érkezhet.
