Оперативность, качество, доступные цены!
info@smart-sps.ru

Москва, ул. 6-я Радиальная, д.9​

11 мифов о безопасности

Рост угроз безопасности коррелирует с увеличением неправильных представлений о безопасности. Эта статья бросит вызов некоторым традиционным представлениям о безопасности и развенчает 11 наиболее распространенных мифов.

1. Эффективность защиты через политику безопасности операционной системы

В частности, если будет использоваться операционная система, этот экземпляр ОС следует использовать ТОЛЬКО для реализации политик безопасности. У нее не должно быть доступа к Интернету и чрезвычайно ограниченной связи с другими приложениями. Изолированность "головной" ОС является залогом безопасности.

В этом мире многопроцессорных архитектур использование гипервизора для разделения и распределения системных ресурсов является преподчительным вариантом. После того, как эта архитектура будет создана, вам станет доступен ряд вариантов, включая создание конкретной виртуальной машины, на которой будет запущен эмулятор "голого железа", на которое можно установить конкретную операционную систему.

2. Подключенные системы Интернета вещей лучше других

Около семи лет назад одна компания создала холодильник, которым можно было управлять через беспроводной интерфейс. Я использовал пароль по умолчанию «0000». Да, ненадежный пароль. Но на данный момент перевешивают ли преимущества наличия подключенного холодильника потенциальным сетевым рискам? Недавний взлом водоочистной станции во Флориде в начале этого года представляет собой лишь один пример взлома Интернета вещей, вызывающего проблемы.

Это означает, что перед применением IoT для вашего приложения необходимо оценить, единственное ли это решение? Поскольку как только вы подключаете IoT к интернету, многократно возрастают риски вмещательства.

3. Обратите внимание на надежность «входной двери»

Технологическая отрасль явно расширила возможности своих платформ с точки зрения безопасности за последние пять лет. В качестве примеров можно выделить, такие как архитектура безопасности платформы Arm (PSA) и программа Microsoft Azure Sphere. Однако системный архитектор не может предполагать, что его проблемы будут решены за счет внедрения таких технологий.

Главное соображение заключается в том, что вам нужно беспокоиться о самом слабом звене в цепи. Если использовать аналогию с 2021 годом, то только потому, что количество вакцинаций от COVID растет, это не означает, что общение с людьми без маски разумно.

4. Уровень максимвльной безопасности не достижим

Безопасность не статична. Изощренность атак постоянно развивается. Используя аналогию со стеной, развернутые системы должны продолжать добавлять к стене дополнительные слои кирпича. Это означает, что системы должны иметь возможность безопасно получать обновления программного обеспечения.

5. Поиск компромиссного решения - пустая трата времени

Я видел, как инженерные команды уделяли много внимания снижению вероятности взлома систем. Это чрезвычайно ценная инициатива. О безопасности необходимо заботиться уже при разработке новой системы.

Тем не менее, реальность такова, что системы IoT могут быть развернуты в течение пяти, 10 или 20 лет. Некоторые спецификации интеллектуальных счетчиков требуют, чтобы окончание срока службы определялось износом корпусов и механики, а не отказом электроники. После 20-летнего периода развертывания повышаются шансы того, что станет доступны новые способы незаконного доступа.

Ключ в том, чтобы система самостоятельно могла распознать вторжение. После взлома системы хакеру потребуется некоторое время, чтобы найти "полезную" информацию. Таким образом, время от момента взлома до получения несанкционированных данных является ключевой точкой. Встречаются случаи в ИТ-сфере, когда хакеру требовалось несколько месяцев, прежде чем доступ был распознан.

Методы обнаружения вторжений требуют тщательной проработки. Это одна из областей, в которой должен найти применение искусственного интеллекта, поскольку можно создать образец нормального поведения системы и выявить отклонения от нормы.

6. Разработчик должен заботиться о собранных данных

При разработке своих систем компании должны заботиться о пользовательской информации. Что касается развернутых систем, компании концентрируются на развертывании систем и сборе/передаче своих данных. Как упоминалось ранее, эти системы используются в течение длительного периода времени.

В Европе существует Общий регламент защиты данных (GDPR). Разработчик должен стремиться чтобы его оборудование соответствовала GDPR, даже если новая компания перейдет в собственность другой компании (то есть можете ли вы гарантировать, что информация, собранная владельцем A, не будет автоматически передана владельцу B?). Когда эта система в конечном итоге будет выведена из эксплуатации, можете ли вы гарантировать, что все ценные данные будут уничтожены?

7. Все хакеры плохие

Существует определенная категория талантливых разработчиков, увлекающихся поиском "слабых мест" в системе безопасности. Часто их называют хакерами. Очень полезно для качества разработки, чтобы как можно раньше добавить подобного человека в команду инженеров с единственной целью - составить план того, как систему можно взломать. Этот хакер «в белой шляпе» должен побудить команду ликвидировать обнаруженные в системе дыры, чтобы продукт был максимально защищен от проникновения как на момент поставки, так и на протяжении всего жизненного цикла продукта.

8. Время выхода на рынок - главное

Стремясь выпустить продукт быстрее, компании пренебрегают полным/углубленным тестированием. При таком положении дел чаще всего страдает именно безопасность. Конечно этого делать категорически нельзя.

9. Дело не только в ваших данных

Как оказалось, взлом системы опасен не только похищением данных, но и возможность несанкционированного управления устройством в своих, часто противозаконных, целях. Так, например, произошло в конце 2016 года. Во время атаки Mirai, был получен доступ к цифровым видеорегистраторам, произведена перенастройка для отправки интернет-трафика на набор серверов контента на восточном побережье США, что привело к сбою таких сервисов, как Netflix и Spotify. Системным архитекторам необходимо убедиться, что их новое творение не только способно защитить собственные ценные данные, но и что его функциональность не может быть изменена в неблаговидных целях.

10. Достаточно отсечь вход

Одна из лучших аналогий о безопасности Интернета вещей, которые встречаются в технических изданиях, - это когда Microsoft запустила свою программу Azure Sphere. Вместо того, чтобы предлагать запирать входную дверь дома при выходе, их аналогия с IoT заключалась в том, что нужно запирать каждую комнату в доме. Таким образом, если кто-то взломает, будет доступ к сокращенному объему данных. Для системного архитектора это означает, что необходимо разделение проекта на части, чтобы случайные или злонамеренные атаки (или даже сбои оборудования) не привели к катастрофическому сбою системы.

11. Ваш единственный вариант - протестировать физическое устройство

Одним из наиболее часто используемых в прошлом году технологических словосочетаний был «цифровой двойник». Цифровое представление систем (виртуальную модель) можно использовать для выполнения значительно более строгого и разнообразного набора тестов на проникновение в результате взлома.

Источник: www.electronicdesign.com