Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Возможности пассивного снятия отпечатков ОС для точной идентификации устройств Интернета вещей
По прогнозам, к 2030 году количество IoT-устройств в корпоративных сетях и Интернете достигнет 29 миллиардов. Этот экспоненциальный рост непреднамеренно увеличил поверхность атаки. Каждое взаимосвязанное устройство потенциально может создать новые возможности для кибератак и нарушений безопасности. Ботнет Mirai продемонстрировал именно это, используя тысячи уязвимых устройств IoT для проведения массированных DDoS-атак на критически важную интернет-инфраструктуру и популярные веб-сайты.
Для эффективной защиты от рисков разрастания Интернета вещей решающее значение имеют непрерывный мониторинг и абсолютный контроль. Однако для этого требуется точная идентификация всех устройств Интернета вещей и операционных систем (ОС) в корпоративной сети. Без этих знаний ИТ-командам и командам безопасности не хватает необходимой прозрачности и понимания для эффективного внедрения целевых мер безопасности, мониторинга сетевой активности, выявления аномалий и снижения потенциальных угроз.
Обычно администраторы могут идентифицировать устройства и операционные системы с помощью уникальных идентификаторов устройств, назначаемых программными агентами, которые работают на конечных точках сети и собирают информацию для идентификации устройств. Однако установка таких агентов может быть невозможна или нецелесообразна во всех операционных системах, особенно в тех, которые используются во встроенных системах и устройствах Интернета вещей. Это связано с тем, что устройства Интернета вещей предназначены для выполнения определенных функций и часто имеют ограниченные ресурсы — вычислительную мощность, память и хранилище. Им часто не хватает возможности поддерживать какие-либо дополнительные программные агенты.
По этим причинам нам нужен пассивный подход к идентификации, который не требует установки программного обеспечения и одинаково хорошо работает с системами, которые настроены и упрощены для удовлетворения конкретных требований к устройствам Интернета вещей. Одним из таких методов является снятие отпечатков пальцев на основе сети и пассивное снятие отпечатков пальцев ОС.
На практике пассивный сбор отпечатков пальцев ОС похож на попытку профилировать людей без какого-либо прямого взаимодействия, просто по их внешнему виду и поведению. Аналогичным образом, способ взаимодействия устройства с сетью многое говорит о его личности, возможностях и потенциальных рисках. Вместо установки программного агента пассивное снятие отпечатков пальцев ОС включает в себя анализ моделей сетевого трафика и поведения, генерируемого устройствами, для определения их операционной системы.
Этот метод основан на устоявшихся методах и базах данных отпечатков пальцев, в которых хранятся шаблоны трафика и поведение, специфичные для различных операционных систем. Например, конкретные параметры, установленные в заголовках TCP или запросах протокола динамической конфигурации хоста (DHCP), могут различаться в зависимости от операционной системы. Снятие отпечатков ОС, по сути, представляет собой сопоставление шаблонов и атрибутов сетевого трафика устройства с известными профилями ОС и соответствующую классификацию трафика.
Для снятия отпечатков ОС можно использовать несколько сетевых протоколов:
Несмотря на свои ограничения, анализ поведения и атрибутов нескольких протоколов на сетевых уровнях может помочь в точной идентификации устройства. Администраторы могут использовать отпечатки пальцев ОС для принятия обоснованных решений относительно контроля доступа и политик безопасности.
Снятие отпечатков пальцев ОС может быть полезно для пассивной идентификации устройств, учитывая быстрое расширение сетей IoT и создаваемые ими уязвимости. Однако ручное снятие отпечатков пальцев ОС — сложная задача, требующая обширных знаний и опыта в предметной области.
Основная проблема — масштабируемость. Сопоставить уникальные идентификаторы вручную с тысячами потоков трафика в корпоративных сетях невозможно. Чтобы преодолеть эту проблему, организации могут использовать ресурсы и масштаб облачной конвергентной сети и стека безопасности. Облачный стек безопасности, такой как SASE (Secure Access Service Edge) или SSE (Secure Service Edge), может получить доступ к необходимым ресурсам и включить алгоритмы машинного обучения и статистический анализ для извлечения закономерностей и поведения из больших объемов данных сетевого трафика.
Конвергенция функций сети и безопасности может позволить автоматически собирать и сопоставлять данные о сети и безопасности из нескольких источников, таких как системы обнаружения вторжений, журналы брандмауэра и решения для обеспечения безопасности конечных точек, чтобы обеспечить обзор сетевой активности и ее связи с операционными системами и устройствами Интернета вещей. .