Контроль за доступом к данным, порождаемым Интернетом вещей (IoT), может оказаться непростым делом. Опрошенные порталом Information Age эксперты рассказывают, как организовать такой контроль с соблюдением требований безопасности.
По мере развития и появления все большего числа сценариев использования IoT порождает невиданные и растущие объемы данных. Согласно IDC, к 2025 г. будет свыше 41,6 млрд. устройств IoT, создающих почти 80 Зб данных. Это делает эффективный и безопасный контроль доступа к ним все более важным для компаний.
Динамическая авторизация
Прежде всего организациям следует позаботиться о правильном конфигурировании устройств IoT и их защищенном подключении к корпоративным сетям.
По словам Гэри Ричардсона, управляющего директора компании 6point6 по новым технологиям, помочь может динамический процесс авторизации, который защищает данные от доступа со стороны неавторизованного персонала.
«Многие компании ищут способы предотвращения неавторизованного доступа к данным, чтобы снизить вероятность их кражи, — пояснил он. — Плохо сконфигурированные устройства IoT легко могут открыть хакерам пути проникновения в компании или создать возможность утечки данных. Преимущество некоторых систем IoT заключается в том, что они спроектированы с учетом требований безопасности, включая базовые протоколы обмена информацией, сетевую архитектуру и иерархию».
По словамРичардсона, компаниям необходим тонко настроенный контроль доступа для защиты данных, поступающих от устройств IoT. Одним из способов добиться этого является динамическая авторизация, которая обеспечивает контроль доступа на основе атрибутов (ABAC). Данная модель позволяет компаниям безопасно обмениваться данными IoT в масштабе всей организации, разрешая только авторизованным пользователям получать доступ к конфиденциальным данным при соблюдении определенных условий. «Компании должны позаботиться, чтобы сети, к которым подключены устройства IoT, были изолированы и защищены, чтобы данные шифровались при передаче и в состоянии покоя, чтобы была обеспечена безопасность датчиков и шлюзов», — считает он.
Следите за поведением устройств
Ричардсон разъяснил, как возможные аномалии в действиях IoT могут служить сигналами, что необходимо предпринять определенные действия.
«Компании должны также определить поведение и действия, разрешенные подключенным устройствам в рамках данной среды, а затем установить соответствующие средства контроля, не нарушая течения процессов, — сказал он. — Виртуальные сети или сегменты сетей могут накладывать ограничения на устройства IoT или требовать от них расхода ресурсов. Поэтому контроль доступа ко всей сети с учетом контекста — это лучший способ разрешать действия и поведение на уровне соединений, а также на уровнях команд и передачи данных. Аномалии и действия, не соответствующие ожидаемому поведению, будут идентифицированы, и можно будет принять соответствующие меры».
Минимизация данных
В дополнение к мониторингу активности и доступа полезно составить план действий по устранению избыточности данных.
«Организациям следует попытаться добиться того, чтобы получение, сбор и отправка данных происходили одновременно, это повысит эффективность их передачи, — сказал Энди Симпсон-Пири, главный технолог Cyberfort Group. — Придерживаясь стратегии минимизации данных, проще обеспечивать информационную безопасность. Вы можете более точно предсказать, что именно извлекается, куда направляется и что искать, если дело пойдет не так. Это как жонглировать тремя тарелками вместо шести — тоже непросто, но гораздо легче. Создание эшелонированной обороны вокруг сети IoT также усилит контроль доступа. При такой стратегии данные в сети шифруются и защищаются на каждом этапе, как на самом устройстве, так и при передаче или на системе получателя. Идея заключается в использовании на каждом этапе различных механизмов шифрования, что превращает данные в движущуюся мишень».
Три заповеди безопасности
Компаниям также не следует забывать о мерах безопасности, которые они применяют в других случаях, и дважды подумать, прежде чем без проверки использовать уже имеющиеся настройки устройств.
«ИТ-команды должны помнить о применении базовых политик ИТ-безопасности, когда речь идет о контроле доступа к порождаемым IoT данным, — продолжил Симпсон-Пири. — Триединый механизм доступа, аутентификации и авторизации должен применяться к каждому устройству IoT. Императивом является поддержание каждым решением строгой системы безопасности в своем окружении, чтобы в цепи не было слабого звена. Безопасность долго была второстепенной для IoT, но в эпоху GDPR ставки слишком высоки, чтобы просто полагаться на заданные по умолчанию пароли и настройки».
Видимость и сегментация
Безопасность ни в коем случае не является единственным аспектом, который следует рассматривать при контроле доступа к данным IoT. Существуют также проблемы наглядности. А на случай ослабления системы безопасности необходимо иметь план резервного копирования.
По мнению Роба МакНатта, главного технолога компании Forescout, решение заключается в сегментировании сети. «Организациям необходимы полные видимость и контроль над всеми устройствами в своих сетях, и им следует соответствующим образом сегментировать свои сети, — сказал он. — Нельзя защитить данные, поступающие от устройств, которые вы не видите. Без полной видимости всех устройств и их активности в сети невозможно добиться, чтобы только авторизованные пользователи и устройства получали доступ к вашим данным. Если устройство действительно взломано, сегментация сети способна помешать злодеям незаконно перемещаться по сети и при этом получать доступ к данным, которого у них быть не должно».