Так много предметов повседневного обихода в развитом мире теперь подключены к Интернету, что часто необъяснимо. Это добавляет еще один слой потенциального технологического сбоя, который для персональных устройств может быть чем-то вроде забавного раздражения: жалюзи, которые не открывается, микроволновки, которые не приспосабливаться к изменениям времени, холодильники, которые нужны обновления прошивки.
Но на предприятии, когда устройства Интернета вещей выходят из строя, это не шутка в Твиттере. Заводские сборочные линии останавливаются. Мониторы сердечного ритма в больницах отключаются. Умные доски в начальной школе отключаются.
Сбои интеллектуальных устройств представляют собой растущий риск в корпоративном мире, и не только из-за часто обсуждаемые проблемы безопасности. Это связано с тем, что срок действия некоторых корневых сертификатов этих устройств, необходимых для безопасного подключения к Интернету, истекает.
«Устройства должны знать, чему доверять, поэтому корневой сертификат встроен в устройство в качестве инструмента аутентификации», — объясняет Скотт Хелме, исследователь безопасности, который много написано о проблеме истечения срока действия корневого сертификата. «Как только устройство находится в дикой природе, оно пытается вызвать «дом» — API или сервер производителя — и сверяется с этим корневым сертификатом, чтобы сказать: «Да, я подключаюсь к этой правильной защищенной штуке». По сути [корневой сертификат] — это якорь доверия, точка отсчета, позволяющая устройству знать, с чем оно разговаривает».
На практике эта аутентификация подобна сети или цепочке. Центры сертификации (ЦС) выдают все виды цифровых сертификатов, и объекты «разговаривают» друг с другом, иногда на нескольких уровнях. Но первым и самым основным звеном этой цепочки всегда является корневой сертификат. Без него ни один из вышеперечисленных уровней не смог бы обеспечить связь. Поэтому, если корневой сертификат перестает работать, устройство не может аутентифицировать соединение и не будет подключаться к Интернету.
Вот в чем проблема: концепция зашифрованной сети была разработана примерно в 2000 году, а корневые сертификаты, как правило, действительны от 20 до 25 лет. Таким образом, в 2022 году мы как раз в середине этого периода истечения срока действия.
Центры сертификации выпустили множество новых корневых сертификатов за последние два с лишним десятилетия, конечно, задолго до истечения срока их действия. Это хорошо работает в мире персональных устройств, где большинство людей часто обновляются до новых телефонов и нажимают, чтобы обновить свои ноутбуки, чтобы у них были эти более новые сертификаты. Но на предприятии обновить устройство может быть гораздо сложнее или даже невозможно, а в таких секторах, как производство, машины действительно могут все еще находиться в заводских цехах 20–25 лет спустя.
Без подключения к Интернету «эти устройства ничего не стоят», — говорит Кевин Бочек, вице-президент по стратегии безопасности и анализу угроз в Venafi, поставщике услуг по управлению идентификацией компьютеров. «По сути, они становятся кирпичиками [когда срок действия их корневых сертификатов истекает]: они больше не могут доверять облаку, не могут принимать команды, не могут отправлять данные, не могут получать обновления программного обеспечения. Это реальный риск, особенно если вы производитель или какой-либо оператор».
Предупредительный выстрел
Риск не теоретический. 30 сентября корневой сертификат, выданный крупным ЦС Давайте зашифровать истек - и сломалось несколько сервисов в Интернете. Истечение срока действия не стало неожиданностью, поскольку Let’s Encrypt уже давно предупреждала своих клиентов о необходимости обновления до нового сертификата.
Тем не менее, Хельме писал в блоге За 10 дней до истечения срока действия: «Держу пари, что в этот день, вероятно, что-то сломается». Он был прав. Некоторые сервисы от Cisco, Google, Palo Alto, QuickBooks, Fortinet, Auth0 и многих других компаний вышли из строя.
«И самое странное в этом, — рассказывает Хельме Dark Reading, — то, что места, использующие Let’s Encrypt, по определению очень современные — вы не можете просто зайти на их сайт, заплатить 10 долларов и скачать сертификат вручную. Это должно быть сделано машиной или через их API. Эти пользователи были продвинутыми, и это все еще было большой проблемой. Так что же происходит, когда мы видим [истечение срока действия] более устаревших ЦС, у которых есть эти крупные корпоративные клиенты? Конечно, эффект домино будет больше».
Путь вперед
Но с некоторыми изменениями такого эффекта домино не должно происходить, говорит Бочек из Venafi, который рассматривает проблему как проблему знаний и цепочки подчинения, поэтому он видит решения как в осведомленности, так и в раннем сотрудничестве.
«Я очень рад, когда вижу, как руководители службы безопасности и их команды принимают участие на уровне производителя и разработчика, — говорит Бочек. «Вопрос заключается не только в том, можем ли мы разработать что-то безопасное? но «Можем ли мы продолжать эксплуатировать его?» Часто существует общая ответственность за работу с этими дорогостоящими подключенными устройствами, поэтому нам нужно четко понимать, как мы собираемся справиться с этим как с бизнесом».
Подобные разговоры ведутся и в секторе инфраструктуры, говорит Марти Эдвардс, заместитель технического директора по операционным технологиям и IoT в Tenable. По профессии он инженер-технолог, работал с коммунальными предприятиями и Министерством внутренней безопасности США.
«Откровенно говоря, в промышленном пространстве с коммунальными предприятиями и заводами любое событие, которое приводит к остановке производства или потерям, вызывает беспокойство», — говорит Эдвардс. «Поэтому в этих специализированных кругах инженеры и разработчики, безусловно, рассматривают последствия [истечения срока действия корневых сертификатов] и то, как мы можем их исправить».
Хотя Эдвардс подчеркивает, что он «оптимистичен» в отношении этих разговоров и стремления учитывать соображения кибербезопасности в процессе закупок, он считает, что также необходим больший контроль со стороны регулирующих органов.
«Что-то вроде базового стандарта обслуживания, который, возможно, включает формулировку того, как поддерживать целостность системы сертификатов», — говорит Эдвардс. «Между различными группами по стандартизации и правительствами ведутся дискуссии, например, об отслеживаемости критически важных устройств».
Что касается Хельме, он хотел бы, чтобы корпоративные машины устанавливались для обновлений реалистичным и необременительным для пользователя или производителя способом — возможно, каждые пять лет выдавался новый сертификат и загружались обновления. Но у производителей не будет стимула делать это, если корпоративные клиенты не будут настаивать на этом, отмечает он.
«В целом, я думаю, что индустрия должна это исправить», — соглашается Эдвардс. «Хорошая новость заключается в том, что большинство этих проблем не обязательно связаны с технологиями. Это больше касается понимания того, как все это работает, и подбора нужных людей и процедур».
- блокчейн
- кошельки с криптовалютами
- cryptoexchange
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Темное чтение
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- НексБЛОК
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- безопасности веб-сайтов
