По мере развития периферийных вычислений (Edge Computing) и Интернета вещей (IoT) риски безопасности все больше формируются в цепочке поставок ПО, пишет на портале InformationWeek Янне Саарела, аналитик по стратегии компании JFrog.

С момента своего появления Интернет вещей значительно эволюционировал, соединяя физические устройства для передачи данных, связи и дистанционного управления.

В ранних сценариях использования устройства собирали данные об окружающей среде, такие как температура, влажность, вибрация, расход, давление и движение, и передавали их на централизованный сервер для обработки и анализа. Основная цель заключалась в том, чтобы получить более наглядное представление о данных в реальном времени, устранить необходимость в ручном контроле со стороны человека и автоматизировать обнаружение аномалий с помощью заранее определенных политик и пороговых значений.

По мере того как количество подключенных устройств растет в геометрической прогрессии, становится ясно одно: организациям необходим современный подход, ориентированный на DevSecOps, чтобы поддержать передовые инициативы IoT и взять под контроль безопасность цепочки поставок ПО.

Практически все работает с помощью ПО

Количество подключенных IoT-устройств превысило численность населения планеты, а к 2030 г. число активных IoT-устройств может удвоиться. В последние годы несколько технологических революций проложили путь к более сложным вариантам использования IoT, позволив устройствам (или «вещам») работать автономно и принимать решения на месте, основываясь на собранных данных. К числу наиболее важных достижений относятся:

  • Более мощные датчики и разнообразные данные. Данные более высокого качества позволяют «вещам» видеть, слушать и чувствовать окружающую обстановку. Автономные системы, такие как транспортные средства, беспилотники и коллаборативная робототехника, часто требуют сочетания нескольких технологий зондирования, чтобы разнообразить набор собираемых данных и обеспечить развертывание более сложных систем искусственного интеллекта для обеспечения надежности в различных условиях.
  • Усовершенствованное аппаратное обеспечение и распределенные вычисления. В прошлом обработка и анализ данных IoT проводились на централизованных серверах из-за ресурсоемкости высокопроизводительных вычислений. Достижения в области многоядерных вычислений позволили выполнять рабочие нагрузки непосредственно на устройствах, обеспечивая работу в режиме реального времени. Это дает ряд преимуществ в плане гибкости развертывания, масштабируемости и конфиденциальности данных.
  • Программные приложения на основе микросервисов со встроенным ИИ. Парадигма распределенных вычислений усилила потребность в современных практиках и процессах разработки ПО. Приложения на базе микросервисов создают гибкие возможности развертывания, позволяя размещать критически важные сервисы ближе к источникам данных, а некритичные рабочие нагрузки — централизовать.

IoT-устройства достигли новых уровней интеллекта, поэтому все более важным становится проактивное и автоматическое обслуживание и обновление ПО устройств, чтобы они оставались безопасными, надежными и поддерживали новейшие функции, исправления и улучшения безопасности.

Пробелы в системе кибербезопасности

Цепочка поставок ПО стала критически важным вектором атак. Как и любое другое вычислительное устройство, IoT-устройство использует множество программных компонентов для выполнения задач. Эти компоненты требуют регулярных обновлений для исправления ошибок, внедрения новых функций и устранения уязвимостей, чтобы предотвратить потенциальные угрозы безопасности. Пренебрежение обновлениями может привести к появлению неустраненных уязвимостей, что сделает устройство доступным для злоумышленников.

В контексте IoT уязвимости в ПО одного компонента могут скомпрометировать всю систему; атака на IoT-устройство часто направлена на компрометацию всей системы. Например, атака на камеру безопасности, которая взаимодействует с интеллектуальными помощниками на внутреннем уровне, может быть использована для разблокировки подключенных дверей.

Устройства также все чаще подвергаются вредоносным атакам, когда базовое оборудование перестает быть совместимым с ПО, обеспечивающим защиту. Представьте себе ситуацию, когда неуправляемая уязвимость в ПО может позволить злоумышленнику получить контроль над вашим автомобилем. По прогнозам Gartner, в 2025 г. атакам подвергнутся 45% цепочек поставок ПО.

Неудивительно, что многие организации не уверены в своей способности защититься от кибератак, в первую очередь из-за отсутствия стандартизированных и согласованных норм во всем мире. Кроме того, практика обновления ПО для IoT-устройств отстает от традиционных методов разработки ПО, что усугубляет ситуацию. Эта проблема осложняется динамичным характером ландшафта IoT и его разнообразными приложениями в сочетании с неустанной активностью злоумышленников, постоянно ищущих новые способы атак на системы.

Организации сами несут ответственность за внедрение передовых методов и руководств по обеспечению безопасности, чтобы взять на себя контроль за безопасностью своей цепочки поставок ПО. Это начинается с курирования ПО и обнаружения уязвимостей и распространяется на весь жизненный цикл ПО — от разработки до устройства.

Решения IoT генерируют и обрабатывают значительные объемы данных, что требует повышенного внимания к надежности и масштабируемости. Также важна способность применять автоматизацию при регистрации, развертывании, обновлении и поддержке этих интеллектуальных устройств на периферии в масштабе.

Поставщикам IoT-сервисов важно наладить тесное сотрудничество между командами разработчиков ПО, служб безопасности, операционных служб и специалистов по анализу данных, чтобы стимулировать инновации и одновременно поддерживать надежность, производительность и безопасность систем. Такое сотрудничество позволит легче внедрять средства безопасности в IoT-устройства по умолчанию (менталитет «сдвига влево»), а не как ответную реакцию, с целью сделать системы свободными от уязвимостей, которые можно эксплуатировать.