Подключенные к Интернету устройства уже прочно обосновались в потребительском секторе. Но их проникновение на предприятия вызывает опасения по поводу безопасности корпоративных сетей. Как и в случае с теневыми ИТ, сетевые администраторы не обязательно знают о присутствии в сетях устройств IoT. А ведь это очень активный объект атак, сообщил ZDNet глобальный директор корпорации Akamai по стратегии безопасности Патрик Салливан. Поэтому многие правительства задумываются о более строгом регулировании устройств IoT.
Если речь идет о популярных моделях смартфонов, то ИТ-менеджеры знакомы со способами обеспечения их безопасности и многие даже ведут журналы установки исправлений. А устройства IoT не всегда защищены.
Салливан считает, что потребители не придают значения защищенности устройств IoT, поэтому у производителей нет стимула заботиться об их безопасности. (Но тогда непонятно, почему со смартфонами дело обстоит иначе.)
Кроме того, считает он, разработка устройств IoT слабо регулируется, поэтому они выпускаются «незащищенными по умолчанию». У многих устройств нет механизма автоматической установки исправлений.
Другая большая проблема — применение сотрудниками одних и тех же имен пользователей и паролей в различных учетных записях.
При DDoS-атаках преступники, как правило, стремятся вызвать в сети как можно больше шума. А при проверке, не подойдет ли украденное в другом месте сочетание имени пользователя и пароля (атака типа credential stuffing), наоборот, стараются остаться незамеченными. Они используют множество прокси-серверов, чтобы обойти защитные механизмы, выявляющие частые запросы с определенных IP-адресов. Поэтому им важно захватить как можно больше устройств IoT. При атаках типа credential stuffing используется примерно в 10 раз больше IP-адресов, чем при DDoS-атаках, сообщил Салливан.
В некоторых случаях можно использовать такие технологии, как многофакторная аутентификация и КАПЧА (тест для различения компьютеров и людей), но обе они несколько усложняют жизнь пользователей, что может иметь большое значение, если вы занимаетесь торговлей и конкурируете с теми, кто позволяет сделать покупку одним щелчком мышкой.
Хотя технология credential stuffing не нова, она становится преобладающей при атаках правительственных веб-сайтов. Украденные с них данные можно продать. А есть несколько видов их прямого использования в мошеннических целях, выбор которых зависит от конкретного правительственного органа.