Умные гаджеты давно уже стали неотъемлемой частью жизни современных людей по всему миру. Вместе с тем активный рост интернета вещей ведет к увеличению рисков информационной безопасности. Так, с начала года количество атак на IoT-устройства возросло на 50%.
Умные гаджеты управляются дистанционно через интернет, поэтому злоумышленники могут взломать их удаленно. Например, умные бытовые приборы часто взламывают, чтобы с их помощью создать ботнет-сети, которые активно используются для DDoS-атак на инфраструктуру организаций. Второй популярный сценарий — заражение IoT-устройств для дальнейшего искусственного «накликивания» трафика.
Заражение устройств для проведения DDoS-атак является самым простым и распространенным сценарием злоумышленников. После заражения устройство по команде начинает предпринимать попытки зайти на определенный узел. Пул устройств, участвующих в DDoS-атаке, и есть управляемая ботнет-сеть. Владелец IoT-гаджета даже не подозревает, в какой серьёзной атаке задействована его инновационная техника.
Также в последнее время получил распространение сценарий с фальшивым «накликиванием» трафика — для демонстрации заказчику эффективности маркетинговой кампании. Ряд систем тарификации рекламы работает по кликам — именно их оплачивает рекламодатель. И именно их в большом количестве и с разных IP-адресов обеспечивает армия ботов.
«Обезопасить процесс управления IoT-устройствами пользователям поможет соблюдение простых правил. Если вы покупаете умное устройство с удаленным управлением, на котором имеется логин и пароль доступа, в первую очередь необходимо сменить их с дефолтных на сложные, чтобы минимизировать риски взлома. Также необходимо проверить, настроено ли автообновление, и, если нет, обязательно активировать данный режим в настройках. Обновляться должно как само IoT-устройство, так и операционная система, в которой оно функционирует, а также сопряженное с умным гаджетом стороннее ПО, если такое имеется», — говорит автор продукта Solar appScreener Даниил Чернов.
При выборе умного устройства лучше ориентироваться на продукцию вендора, который давно на рынке и уже успел зарекомендовать себя как надежный поставщик, тщательно заботящийся о безопасности своих решений.
«Вендорам при производстве IoT-устройств крайне важно спроектировать архитектуру, которая имеет несколько степеней защиты — IoT-устройств, данных и канала их передачи. Во-первых, на сетевом уровне — важно, чтобы устройство имело встроенные опции защиты от простых сканирований, например, Firewall. Во-вторых, устройство обязательно должно иметь зрелую систему безопасности кода, чтобы злоумышленники не смогли его перепрограммировать. Если на устройстве без встроенной безопасности взломан код, то в ряде случаев уже ничего не спасёт», — объясняет Даниил Чернов.
Интернет вещей представляет собой сложную систему, состоящую из целого ряда IoT-устройств, для обеспечения эффективной безопасности которой требуются комплексные меры защиты, иначе злоумышленники воспользуются самым слабым звеном. Современные решения по контролю безопасности приложений, такие как Solar appScreener, помогают обеспечить полноценный контроль безопасности приложений из одного интерфейса без внедрения разрозненных сторонних инструментов для анализа кода. Функционал решения предлагает комплексный подход, сочетающий статический, динамический анализ и анализ состава ПО (SAST, DAST, SCA), который удовлетворяет как внутренним стандартам любой организации, так и требованиям внешних регулирующих органов. Продукт сертифицирован ФСТЭК России и внесен в Единый реестр отечественного ПО.