Konieczność "Secure-by-Design" w dzisiejszym szybko zmieniającym się świecie

Konieczność "Secure-by-Design" w dzisiejszym szybko zmieniającym się świecie
marca 11, 2021

 

Nowy świat "Internetu rzeczy" charakteryzuje się milionami podłączonych urządzeń. Przy większej niż kiedykolwiek wcześniej liczbie niezabezpieczonych urządzeń i punktów dostępu do sieci, zasady "Secure-by-Design" są niezbędne do ochrony przed rosnącymi zagrożeniami cyberbezpieczeństwa. 

 

W ciągu ostatnich kilku lat technologie cyfrowe zmieniły świat, wpływając na wszystkie sektory działalności gospodarczej i życia codziennego. Wynikiem tego jest świat Internetu Rzeczy (IoT), w którym wszystko jest oprzyrządowane i połączone ze sobą. 

 

Szacuje się, że pod koniec 2018 roku na całym świecie było w użyciu 22 miliardy urządzeń podłączonych do IoT. Prognozy sugerują, że liczba ta wzrośnie do 50 miliardów do 2030 roku - tworząc ogromną sieć połączonych ze sobą urządzeń. [1]

 

Aby wspierać tę wysoce połączoną przyszłość, każdego dnia do sieci podłączane są tysiące urządzeń Internetu Rzeczy (IoT). Dodatkowo, apetyt na nowe cechy i funkcje stworzył "potrzebę szybkości" w zakresie rozwoju i wdrażania nowych typów urządzeń. 

 

Szybki wzrost liczby złożonych, połączonych urządzeń

Wiele połączonych urządzeń IoT jest obecnie bardzo złożonych, wyposażonych w zaawansowane algorytmy sztucznej inteligencji i inne funkcje nowej generacji. 

 

Kamery bezpieczeństwa wideo oparte na protokole IP są tego dobrym przykładem. W ciągu ostatnich 15 lat z prostych, analogowych kamer wideo przekształciły się one w złożone, w pełni zdigitalizowane urządzenia IoT, napędzane przez uczenie maszynowe (ML) i sztuczną inteligencję. 

 

Podobnie jak w przypadku innych typów urządzeń, ewolucja była napędzana przez zapotrzebowanie klientów na lepszą funkcjonalność i łączność. Zapotrzebowanie to spowodowało również pilny proces rozwoju, w którym dostawcy konkurowali w oferowaniu najbardziej zaawansowanych funkcji w jak najkrótszym czasie, aby zdobyć klientów i udział w rynku. 

 

Równoważenie szybkości tworzenia oprogramowania z kwestiami bezpieczeństwa

Wyścig mający na celu opracowanie bogatszych w funkcje i bardziej połączonych urządzeń IoT zaspokoił potrzeby operacyjne klientów, ale często wiązał się z kompromisami w zakresie bezpieczeństwa. 

 

Wbudowanie zabezpieczeń we wszystkie aspekty procesu produkcyjnego wymaga jednak czasu - cennego zasobu, który nie zawsze jest dostępny. Ze względu na presję czasu, wielu producentów urządzeń przedkłada szybkość rozwoju i produkcji nad bezpieczeństwo. 

 

Konsekwencje: globalny wzrost liczby incydentów związanych z bezpieczeństwem cybernetycznym

Konsekwencją przewagi szybkości nad bezpieczeństwem jest ogromny wzrost liczby poważnych incydentów związanych z bezpieczeństwem cybernetycznym IoT. Cyberprzestępcy byli w stanie stosunkowo łatwo uzyskać dostęp do milionów urządzeń IoT, po prostu dlatego, że urządzenia te nie były projektowane i produkowane z myślą o bezpieczeństwie. 

 

Pod koniec 2016 r., na przykład, botnet Mirai stał się światową wiadomością, a bezpieczeństwo IoT zaczęło być przedmiotem poważnej uwagi. Jest to wyraźny przykład tego, co może pójść źle, gdy niezabezpieczone urządzenia IoT, takie jak monitory dziecięce, routery sieciowe, urządzenia rolnicze, urządzenia medyczne, sprzęt domowy, rejestratory DVR, kamery lub czujniki dymu są podłączone do Internetu bez odpowiedniego zabezpieczenia. 

 

W przypadku Mirai napastnicy byli w stanie włamać się do milionów niezabezpieczonych urządzeń IoT - w tym przypadku kamer. Następnie wykorzystali łączną moc komputerową tych urządzeń do przeprowadzenia ukierunkowanych ataków internetowych typu DDoS (Distributed Denial of Service). 

 

A lekcja nadal nie została odrobiona

Niestety, od 2016 roku doszło do znacznie większej liczby cyberincydentów z udziałem urządzeń IoT - i nadal dochodzi do nich każdego dnia. Badacze bezpieczeństwa z F-Secure wydali ostrzeżenie w 2019 roku, że cyberataki na urządzenia IoT rosną w niespotykanym dotąd tempie. Zmierzyli "trzykrotny wzrost ruchu związanego z atakami do ponad 2,9 miliarda zdarzeń." 

 

W badaniach, to rosnące zagrożenie zostało przypisane, po części, do "podstawowego braku obrony w starzejącym się firmware lub architekturze, a po części do braku zarządzania bezpieczeństwem informacji. Często działy IT nie są nawet świadome istnienia tych wszystkich urządzeń w swoich sieciach". [2] 

 

Kluczowe znaczenie produkcji "Secure-by-Design"

Jednym z kluczowych sposobów zapobiegania szkodliwym atakom na urządzenia IoT jest ulepszenie zabezpieczeń tych urządzeń. Niestety, niezwykle trudno jest dodać skuteczne zabezpieczenia po wyprodukowaniu i/lub zainstalowaniu urządzenia IoT. Zamiast tego, najbardziej skutecznym sposobem zapobiegania naruszeniom jest wdrożenie zabezpieczeń podczas produkcji urządzenia - często znane jako produkcja "Secure-by-Design". 

 

Secure-by-Design polega na wbudowaniu bezpieczeństwa w każdy etap procesu produkcyjnego, od fazy koncepcyjnej do końcowej fazy dostawy - jak pokazano na poniższej grafice: 

 

Печать

 

W fazie koncepcyjnej definiowane są wymagania dotyczące bezpieczeństwa; w fazie projektowania opracowywana jest architektura bezpieczeństwa dla projektu produktu; w fazie opracowywania ma miejsce przegląd kodu oprogramowania i skanowanie kodu; w fazie weryfikacji przeprowadzane są testy penetracyjne, a w fazie dostawy zapewniane są szkolenia z zakresu bezpieczeństwa i wsparcie techniczne. Wszystkie te środki bezpieczeństwa w procesie produkcji zwiększają odporność cybernetyczną kamery bezpieczeństwa wideo i sprawiają, że kosztowne ulepszenia bezpieczeństwa cybernetycznego stają się później niepotrzebne.

 

Jak sprawić, aby Secure-by-Design stało się priorytetem organizacyjnym

Istnieje kilka warunków wstępnych dla producentów, którzy chcą zintegrować zasady Secure-by-Design we wszystkich aspektach procesu produkcyjnego. Po pierwsze, musi istnieć zaangażowanie na poziomie organizacyjnym, aby inwestować w bezpieczeństwo każdego produktu. Może to mieć wpływ na koszty produkcji, ale również radykalnie poprawi bezpieczeństwo i wiarygodność - a więc i wartość - produktów poprzez zapewnienie klientom pewnych gwarancji bezpieczeństwa. 

 

Jako dodatkowy wymóg, Secure-by-Design wymaga od producentów otwartości na testy penetracyjne (pen testing) przeprowadzane przez strony trzecie po zaprojektowaniu, wyprodukowaniu i uruchomieniu urządzeń. Gwarantuje to, że produkty są w stanie sprostać nowym i pojawiającym się zagrożeniom cyberbezpieczeństwa - jak również tym już istniejącym. 

 

Ostatecznie, zasady Secure-by-Design wymagają od producentów, aby byli naprawdę poważni w kwestii wzmocnienia ich cyberbezpieczeństwa i ochrony swoich klientów przed naruszeniami bezpieczeństwa. Tak jest w przypadku Hikvision, gdzie wykorzystujemy zasady "Secure-by-Design", aby zminimalizować ryzyko szkodliwych ataków cyberbezpieczeństwa w całej gamie naszych produktów. Więcej szczegółów o tym, jak to robimy, przeczytaj white paper.

 

Możesz również dowiedzieć się więcej o naszej strategii i możliwościach w zakresie bezpieczeństwa cybernetycznego oraz o tym, jak zapewniamy odporność naszych połączonych kamer i innych produktów na ataki, tutaj.

 

[1]Source: https://statista.com – H.Tankovska, 26 Oct 2020

[2]Source: Forbes.com – September 14, 2019

Ten serwis korzysta z plików cookies. Są one stosowane w celu zapamiętywania prywatnych ustawień użytkownika, oraz wygodniejszego i płynniejszego użytkowania portalu. Korzystając z serwisu wyrażasz zgodę na używanie cookies. Ustawienia te mogą być zmienione w każdej chwili w opcjach przeglądarki.  Polityka Plików Cookie i Polityka Prywatności.

Skontaktuj się z nami