Zero Trust — это хорошо, но что делать с миллионами IoT-устройств без пароля?

Когда компании внедряют модели Zero Trust и SASE, все силы обычно бросают на пользователей: проверку личности, права доступа, защиту от фишинга. Логика понятна — сотрудник, у которого угнали учётную запись, способен нанести бизнесу серьёзный ущерб. Но параллельно с этим в корпоративную сеть заходит совсем другая категория «пользователей» — устройства интернета вещей, и с ними всё гораздо сложнее.

Умный термостат или голосовую колонку фишингом не возьмёшь, но каждое такое устройство — это ещё одна точка входа в сеть. А поскольку число IoT-устройств растёт экспоненциально, растёт и площадь атаки. Разобраться с этой проблемой недавно попыталась Национальный центр передового опыта в области кибербезопасности при NIST (NCCoE).

Почему онбординг IoT — отдельная головная боль

По данным NCCoE, безопасное подключение IoT-устройств к сети зачастую сложнее, чем управление учётными записями сотрудников. Причин несколько.

Во-первых, производители часто «зашивают» один общий набор логина и пароля сразу в миллионы выпускаемых устройств. Это удобно на этапе выпуска, но такая схема не позволяет отличить одно устройство от другого и никак не проверяет, что устройство подключается именно к той сети, к которой должно.

Во-вторых, обратный подход — вручную выдавать каждому устройству уникальные сетевые учётные данные — резко усложняет процесс подключения. Это требует ресурсов, чревато ошибками и в итоге тоже не гарантирует безопасность.

В-третьих, обязать производителей присваивать уникальные учётные данные каждому устройству ещё на этапе производства — тоже не выход: это непрактично, неэффективно и повышает себестоимость продукции.

Наконец, даже если у каждого устройства есть уникальные данные для входа, IT-отделу часто просто не видно, какие устройства подключаются к сети. Эти слепые зоны сводят на нет эффект от продуманных моделей Zero Trust и SASE — какими бы надёжными они ни были со стороны пользователей.

Что предлагает NIST

Чтобы закрыть этот пробел, NCCoE запустил проект под названием «доверенный онбординг и управление жизненным циклом на сетевом уровне» (trusted network-layer onboarding and lifecycle management). Идея — автоматизировать подключение устройств к сети на основе нескольких базовых правил:

  • каждому устройству выдаются уникальные сетевые учётные данные;
  • устройство и сеть проходят взаимную аутентификацию;
  • вся процедура выполняется по зашифрованному каналу, чтобы защитить конфиденциальность учётных данных;
  • никто не получает доступа к самим учётным данным;
  • процедуру можно повторять на протяжении всего жизненного цикла устройства.

Зачем это бизнесу

Автор материала — Ларри Лунетта, вице-президент по маркетингу портфельных решений Aruba (компания Hewlett Packard Enterprise) — подчёркивает, что речь не только о безопасности как таковой. Правильно выстроенная сеть с автоматизированным и защищённым онбордингом даёт бизнесу производительность, масштабируемость и полноценный доступ к данным, которые собирают IoT-устройства.

А данные эти давно вышли за рамки простого мониторинга состояния зданий или посещаемости офисов: они помогают руководству принимать решения — от улучшения условий труда сотрудников до поиска более эффективных методов работы. И чем надёжнее устройства подключены к сети, тем больше пользы бизнес может извлечь из этого потока информации.

Источник: NetworkWorld.