Обзор новостей IoT: Сингапур отключает интернет, уязвимость IoT к DNS rebinding, ИИ для мира
Прослушать текст
Власти Сингапура отключают от интернета компьютеры в общественных медучреждениях в рамках борьбы с кибератаками. Это решение было принято после того, как в июне хакерам удалось похитить медицинские данные 1,5 млн сингапурцев – это более четверти населения республики. Интранет остальных госучреждений города-государства был отключен от Сети еще в 2016 году.
Почему это важно?
Практика формирования выделенных изолированных сегментов сети достаточно распространена. В России этот подход часто используется в правоохранительных органах и спецслужбах, работающих с конфиденциальной информацией и гостайной, в банковской сфере и промышленности. Зачастую это приводит к тому, что работники имеют две отдельные рабочие станции для разных нужд, в здании тянутся две параллельные сети.
Другое дело, что Сингапур входит в тройку богатейших государств мира и является одним из лидеров в области цифровизации экономики. На первый взгляд, может показаться, что отключение госучреждений от Интернета похоже на бегство; это просто и совсем не так круто, как, например, выставить мощную оборону или просто взять и поймать всех хакеров (спрос на которых сегодня превышает предложение в разы). Ряд экспертов по кибербезопасности еще два года назад называл решение сингапурских властей отключить госучреждения от Интернета «отступлением».
В действительности, если отбросить романтические представления о том, как выглядит настоящая борьба с киберпреступностью, этот выбор можно охарактеризовать как сознательное изменение баланса в пользу безопасности, усложнения и удорожания системы в ущерб ее удобству и управляемости. Сэкономить на отключении от Интернета точно не получится – достаточно представить, что вместо одной сети в каждом медучреждении будет две, соединенные защищенным каналом передачи данных, в кабинетах вместо одного терминала придется разместить два, с Интернетом и без, а обновлять ПО и решать технические проблемы в изолированной внутренней сети придется на месте вручную. В дополнение ко всему этому может потребоваться закупка и внедрение систем предотвращения информационных утечек.
Что мне с этого?
Эксперты назвали физическую изоляцию наиболее критичных информационных систем безальтернативным по эффективности решением, но применять данную меру нужно ограниченно и точечно. Изолировать большой сегмент практически невозможно.
О себе тут же дает знать человеческий фактор: работники подключают к изолированным сетям USB-модемы и копируют на компьютер файлы при помощи флешек. Сотрудники могут и случайно перепутать изолированную и подключенную системы и неумышленно «слить» данные в подключенную сеть. ИТ-специалисты, в свою очередь, часто исходят из того, что риски заражения в изолированной сети ниже, и занимаются ее безопасностью по остаточному признаку. Кроме того, со временем создается столько исключений для различных приложений и сервисов, удаленных подрядчиков и смежных сетей, что от изоляции сегмента остается одно название. Такая ситуация массово встречается в «изолированных» платежных сегментах банков и сетях управления производственными процессами в России.
Сама по себе изоляция значительно снижает вероятность кибератак, но не гарантирует стопроцентной защиты, так как остаются возможности заражения через внешние носители. А для того, чтобы заразить всю сеть, часто бывает достаточно запустить вредоносный файл на одной машине.
В целом в случае с менее критичными системами минусы изоляции перевешивают ее плюсы. Для обеспечения их безопасности имеет смысл обратиться к многочисленным технологиям, позволяющим снизить риски взлома и заражения, не усложняя при этом жизнь бизнесу и пользователям.
Все типы устройств Интернета вещей за малым исключением оказались уязвимы к атакам с помощью техники DNS rebinding. Сейчас в компаниях по всему миру используется около 496 млн таких устройств. В основном это IP-телефоны, умные принтеры, сетевое оборудование и камеры.
Почему это важно?
Ответ лежит на поверхности: безопасность Интернета вещей - серьезная проблема, а это - ее наглядная иллюстрация. IoT-устройства уязвимы как к базовым, так и к сложным, пусть и давно известным атакам, таким как DNS rebinding. В последнем случае специалисты солидарны во мнении, что вендоры не будут исправлять проблему, а заменить все уязвимые устройства - задача нереалистичная.
Что мне с этого?
Заготовьте побольше попкорна, чтобы в ближайшем будущем наблюдать за масштабными кибератаками на IoT, предсказанными аналитиками, а чтобы обезопасить интернет своих вещей, эксперты советуют сменить заводские пароли и интегрировать IoT-устройства в уже имеющиеся средства мониторинга безопасности, либо присмотреться к специализированным платформам для мониторинга IoT-девайсов. Снизить риски поможет выделение IoT в отдельный сегмент сети и изменение учетных записей, паролей и портов, используемых по умолчанию, а также проведение регулярного аудита уязвимостей и пентестов.
Для защиты именно от DNS rebinding следует по возможности запретить на локальном DNS-сервере разрешение внешних доменных имен в локальные адреса, а на web-серверах потенциально уязвимых устройств настроить проверку соответствия параметра Host реальному доменному имени в HTTP-запросах.
В июле ведущие представители технологической отрасли (многие, но не все) подписали открытое письмо, в котором они обязались отказаться от участия в разработке, производстве и финансировании автономного оружия на базе искусственного интеллекта. Подписанты согласились, что «машины никогда не должны получить право на принятие решений о лишении жизни человека», после чего покинули Международную конференцию по ИИ и разъехались по офисам по всему миру – продолжать заниматься своим делом во имя добра.
Почему это важно?
Подобные коллективные письма и обращения — это первые ласточки, которые говорят о том, что разработчики всего мира начали понимать перспективу проблемы: эра искусственного интеллекта, в том самом представлении, в котором мы его видим в различных фантастических фильмах, уже наступает или может наступить. Осознание этого факта толкает представителей IT-отрасли участвовать в подобных движениях и выражать свою озабоченность. Пока в этом не очень много смысла: критерии того, насколько далеко автоматизация должна зайти, чтобы это стало этически неприемлемым, весьма зыбки. Насколько этично создавать оружие вообще? Насколько «автономное оружие» этичнее химического, биологического? А финансово-экономические войны, которые могут убить куда больше людей, чем простой пистолет?
Предсказать, какие из мирных проектов будут использоваться в военных целях, а какие из военных дадут толчок развитию мирных технологий - невозможно. Военная ядерная программа подарила миру новые эффективные вычислительные методы, Интернет начинался с заказа министерства обороны, но сколько сугубо мирных открытий науки позволили создать новые способы убивать?
То, что многие видные ученые, основатели компаний, высказывают свои опасения на тему использования ИИ как базы для автономного оружия - неплохо. Но в то, что это станет серьезной препоной для компаний, специализирующихся на вооружении, создавать новую продукцию - не верится совершенно.
Искусственный интеллект непредсказуем, и результаты деятельности человека в контексте развития ИИ тоже непредсказуемы. Основное ожидание — это то, что ИИ в один момент времени может изменить ход развития человечества. Он может стать новой вехой, какой когда-то стало открытие и приручение огня или аграрная революция.
Может ли отдельное изобретение, являющееся само по себе безобидным, превратиться в новую ключевую угрозу жизни человечества? Скорее всего — да. Никто из подписавших открытое письмо об отказе от участия в разработке, производстве и финансировании автономного оружия на базе искусственного интеллекта не способен решить обозначенную проблему. А способен лишь задекларировать, что такая проблема есть, и она становится все ближе.
Редакция iot.ru благодарит за помощь в подготовке обзора основателя и технического директора DeviceLock DLP Ашота Оганесяна, заместителя директора Центра информационной безопасности компании «Инфосистемы Джет» Андрея Янкина, генерального директора REG.RU Алексея Королюка и начальника отдела информационных технологий Absolute Solutions Георгия Степанова. В материале также использованы комментарии эксперта по информационной безопасности компании SEC Consult Services Олега Галушкина и руководителя направления сетевой безопасности Центра информационной безопасности компании «Инфосистемы Джет» Александра Джаганяна.
Подписаться на новости
Почему это важно?
Практика формирования выделенных изолированных сегментов сети достаточно распространена. В России этот подход часто используется в правоохранительных органах и спецслужбах, работающих с конфиденциальной информацией и гостайной, в банковской сфере и промышленности. Зачастую это приводит к тому, что работники имеют две отдельные рабочие станции для разных нужд, в здании тянутся две параллельные сети.
Другое дело, что Сингапур входит в тройку богатейших государств мира и является одним из лидеров в области цифровизации экономики. На первый взгляд, может показаться, что отключение госучреждений от Интернета похоже на бегство; это просто и совсем не так круто, как, например, выставить мощную оборону или просто взять и поймать всех хакеров (спрос на которых сегодня превышает предложение в разы). Ряд экспертов по кибербезопасности еще два года назад называл решение сингапурских властей отключить госучреждения от Интернета «отступлением».
В действительности, если отбросить романтические представления о том, как выглядит настоящая борьба с киберпреступностью, этот выбор можно охарактеризовать как сознательное изменение баланса в пользу безопасности, усложнения и удорожания системы в ущерб ее удобству и управляемости. Сэкономить на отключении от Интернета точно не получится – достаточно представить, что вместо одной сети в каждом медучреждении будет две, соединенные защищенным каналом передачи данных, в кабинетах вместо одного терминала придется разместить два, с Интернетом и без, а обновлять ПО и решать технические проблемы в изолированной внутренней сети придется на месте вручную. В дополнение ко всему этому может потребоваться закупка и внедрение систем предотвращения информационных утечек.
Что мне с этого?
Эксперты назвали физическую изоляцию наиболее критичных информационных систем безальтернативным по эффективности решением, но применять данную меру нужно ограниченно и точечно. Изолировать большой сегмент практически невозможно.
О себе тут же дает знать человеческий фактор: работники подключают к изолированным сетям USB-модемы и копируют на компьютер файлы при помощи флешек. Сотрудники могут и случайно перепутать изолированную и подключенную системы и неумышленно «слить» данные в подключенную сеть. ИТ-специалисты, в свою очередь, часто исходят из того, что риски заражения в изолированной сети ниже, и занимаются ее безопасностью по остаточному признаку. Кроме того, со временем создается столько исключений для различных приложений и сервисов, удаленных подрядчиков и смежных сетей, что от изоляции сегмента остается одно название. Такая ситуация массово встречается в «изолированных» платежных сегментах банков и сетях управления производственными процессами в России.
Сама по себе изоляция значительно снижает вероятность кибератак, но не гарантирует стопроцентной защиты, так как остаются возможности заражения через внешние носители. А для того, чтобы заразить всю сеть, часто бывает достаточно запустить вредоносный файл на одной машине.
В целом в случае с менее критичными системами минусы изоляции перевешивают ее плюсы. Для обеспечения их безопасности имеет смысл обратиться к многочисленным технологиям, позволяющим снизить риски взлома и заражения, не усложняя при этом жизнь бизнесу и пользователям.
Все типы устройств Интернета вещей за малым исключением оказались уязвимы к атакам с помощью техники DNS rebinding. Сейчас в компаниях по всему миру используется около 496 млн таких устройств. В основном это IP-телефоны, умные принтеры, сетевое оборудование и камеры.
Почему это важно?
Ответ лежит на поверхности: безопасность Интернета вещей - серьезная проблема, а это - ее наглядная иллюстрация. IoT-устройства уязвимы как к базовым, так и к сложным, пусть и давно известным атакам, таким как DNS rebinding. В последнем случае специалисты солидарны во мнении, что вендоры не будут исправлять проблему, а заменить все уязвимые устройства - задача нереалистичная.
Что мне с этого?
Заготовьте побольше попкорна, чтобы в ближайшем будущем наблюдать за масштабными кибератаками на IoT, предсказанными аналитиками, а чтобы обезопасить интернет своих вещей, эксперты советуют сменить заводские пароли и интегрировать IoT-устройства в уже имеющиеся средства мониторинга безопасности, либо присмотреться к специализированным платформам для мониторинга IoT-девайсов. Снизить риски поможет выделение IoT в отдельный сегмент сети и изменение учетных записей, паролей и портов, используемых по умолчанию, а также проведение регулярного аудита уязвимостей и пентестов.
Для защиты именно от DNS rebinding следует по возможности запретить на локальном DNS-сервере разрешение внешних доменных имен в локальные адреса, а на web-серверах потенциально уязвимых устройств настроить проверку соответствия параметра Host реальному доменному имени в HTTP-запросах.
В июле ведущие представители технологической отрасли (многие, но не все) подписали открытое письмо, в котором они обязались отказаться от участия в разработке, производстве и финансировании автономного оружия на базе искусственного интеллекта. Подписанты согласились, что «машины никогда не должны получить право на принятие решений о лишении жизни человека», после чего покинули Международную конференцию по ИИ и разъехались по офисам по всему миру – продолжать заниматься своим делом во имя добра.
Почему это важно?
Подобные коллективные письма и обращения — это первые ласточки, которые говорят о том, что разработчики всего мира начали понимать перспективу проблемы: эра искусственного интеллекта, в том самом представлении, в котором мы его видим в различных фантастических фильмах, уже наступает или может наступить. Осознание этого факта толкает представителей IT-отрасли участвовать в подобных движениях и выражать свою озабоченность. Пока в этом не очень много смысла: критерии того, насколько далеко автоматизация должна зайти, чтобы это стало этически неприемлемым, весьма зыбки. Насколько этично создавать оружие вообще? Насколько «автономное оружие» этичнее химического, биологического? А финансово-экономические войны, которые могут убить куда больше людей, чем простой пистолет?
Предсказать, какие из мирных проектов будут использоваться в военных целях, а какие из военных дадут толчок развитию мирных технологий - невозможно. Военная ядерная программа подарила миру новые эффективные вычислительные методы, Интернет начинался с заказа министерства обороны, но сколько сугубо мирных открытий науки позволили создать новые способы убивать?
То, что многие видные ученые, основатели компаний, высказывают свои опасения на тему использования ИИ как базы для автономного оружия - неплохо. Но в то, что это станет серьезной препоной для компаний, специализирующихся на вооружении, создавать новую продукцию - не верится совершенно.
Искусственный интеллект непредсказуем, и результаты деятельности человека в контексте развития ИИ тоже непредсказуемы. Основное ожидание — это то, что ИИ в один момент времени может изменить ход развития человечества. Он может стать новой вехой, какой когда-то стало открытие и приручение огня или аграрная революция.
Может ли отдельное изобретение, являющееся само по себе безобидным, превратиться в новую ключевую угрозу жизни человечества? Скорее всего — да. Никто из подписавших открытое письмо об отказе от участия в разработке, производстве и финансировании автономного оружия на базе искусственного интеллекта не способен решить обозначенную проблему. А способен лишь задекларировать, что такая проблема есть, и она становится все ближе.
Редакция iot.ru благодарит за помощь в подготовке обзора основателя и технического директора DeviceLock DLP Ашота Оганесяна, заместителя директора Центра информационной безопасности компании «Инфосистемы Джет» Андрея Янкина, генерального директора REG.RU Алексея Королюка и начальника отдела информационных технологий Absolute Solutions Георгия Степанова. В материале также использованы комментарии эксперта по информационной безопасности компании SEC Consult Services Олега Галушкина и руководителя направления сетевой безопасности Центра информационной безопасности компании «Инфосистемы Джет» Александра Джаганяна.
Обсудить
Назад
