Когда компании внедряют модели Zero Trust и SASE, все силы обычно бросают на пользователей: проверку личности, права доступа, защиту от фишинга. Логика понятна — сотрудник, у которого угнали учётную запись, способен нанести бизнесу серьёзный ущерб. Но параллельно с этим в корпоративную сеть заходит совсем другая категория «пользователей» — устройства интернета вещей, и с ними всё гораздо сложнее.
Умный термостат или голосовую колонку фишингом не возьмёшь, но каждое такое устройство — это ещё одна точка входа в сеть. А поскольку число IoT-устройств растёт экспоненциально, растёт и площадь атаки. Разобраться с этой проблемой недавно попыталась Национальный центр передового опыта в области кибербезопасности при NIST (NCCoE).
Почему онбординг IoT — отдельная головная боль
По данным NCCoE, безопасное подключение IoT-устройств к сети зачастую сложнее, чем управление учётными записями сотрудников. Причин несколько.
Во-первых, производители часто «зашивают» один общий набор логина и пароля сразу в миллионы выпускаемых устройств. Это удобно на этапе выпуска, но такая схема не позволяет отличить одно устройство от другого и никак не проверяет, что устройство подключается именно к той сети, к которой должно.
Во-вторых, обратный подход — вручную выдавать каждому устройству уникальные сетевые учётные данные — резко усложняет процесс подключения. Это требует ресурсов, чревато ошибками и в итоге тоже не гарантирует безопасность.
В-третьих, обязать производителей присваивать уникальные учётные данные каждому устройству ещё на этапе производства — тоже не выход: это непрактично, неэффективно и повышает себестоимость продукции.
Наконец, даже если у каждого устройства есть уникальные данные для входа, IT-отделу часто просто не видно, какие устройства подключаются к сети. Эти слепые зоны сводят на нет эффект от продуманных моделей Zero Trust и SASE — какими бы надёжными они ни были со стороны пользователей.
Что предлагает NIST
Чтобы закрыть этот пробел, NCCoE запустил проект под названием «доверенный онбординг и управление жизненным циклом на сетевом уровне» (trusted network-layer onboarding and lifecycle management). Идея — автоматизировать подключение устройств к сети на основе нескольких базовых правил:
- каждому устройству выдаются уникальные сетевые учётные данные;
- устройство и сеть проходят взаимную аутентификацию;
- вся процедура выполняется по зашифрованному каналу, чтобы защитить конфиденциальность учётных данных;
- никто не получает доступа к самим учётным данным;
- процедуру можно повторять на протяжении всего жизненного цикла устройства.
Зачем это бизнесу
Автор материала — Ларри Лунетта, вице-президент по маркетингу портфельных решений Aruba (компания Hewlett Packard Enterprise) — подчёркивает, что речь не только о безопасности как таковой. Правильно выстроенная сеть с автоматизированным и защищённым онбордингом даёт бизнесу производительность, масштабируемость и полноценный доступ к данным, которые собирают IoT-устройства.
А данные эти давно вышли за рамки простого мониторинга состояния зданий или посещаемости офисов: они помогают руководству принимать решения — от улучшения условий труда сотрудников до поиска более эффективных методов работы. И чем надёжнее устройства подключены к сети, тем больше пользы бизнес может извлечь из этого потока информации.
Источник: NetworkWorld.