사람이 다치기 전에 사물 인터넷을 보호해야 합니다

ACG Research의 Robert Haim

전 미국 부통령인 딕 체니(Dick Cheney)는 테러리스트가 심장마비를 유발할 수 있다는 두려움 때문에 심장 박동기에 대한 무선 액세스를 비활성화한 것으로 유명합니다. 2007년 영화 "Live Free or Die Hard"에서 범죄자들은 ​​워싱턴 D.C.의 모든 교통 신호를 녹색으로 바꿔 교통을 차단하고 사고를 일으켰습니다.

우리가 현재 사물 인터넷(IoT)이라고 부르는 것에 대한 실제 및 가상의 공격은 인명 손실을 초래할 가능성이 있었습니다. 오늘날 전 세계에서 사용되는 모든 IoT 센서와 제어 장치를 고려할 때 약한 보안으로 인해 악의적인 사용자가 제어권을 장악하거나 위험한 행동을 활성화하거나 작업자가 잘못된 행동을 하도록 속이는 것은 시간 문제일 뿐입니다.

시간 문제일 뿐입니다. 누군가가 다치기 전에 사물 인터넷을 보호해야 합니다. 하지만 어떻게?

그 분야에서 많은 도전이 있습니다. 예를 들어, ID 관리. 어떤 사용자, 장치 또는 응용 프로그램이 데이터에 액세스하려고 하는지 정확히 확신한 적이 있습니까? 합리적인 의심 속에서 어떻게 신원을 증명하면서도 테러리스트가 아닌 올바른 사용자를 신뢰했다는 확신을 계속 높일 수 있습니까? 이는 실시간으로 행동 모니터링을 의미합니다.

법률이나 산업에 의해 규제되거나 기업과 도둑에게 매우 중요한 정보를 보호하는 데 도전하십시오. 해당 데이터는 즉시(예:의료 기기) 또는 나중에(예:수력 발전 댐의 보안 시스템에 대한 청사진) 삶에 영향을 미칠 수 있습니다. 데이터와 해당 장치가 변조 또는 불법 액세스로부터 잘 보호되는지 어떻게 확신할 수 있습니까?

또는 모바일 또는 유선 장치를 데이터 센터나 클라우드에 다시 연결하는 네트워킹 연결 자체. 연결이 안전한가요? 해커가 엔드포인트를 파괴하여 액세스 권한을 얻을 수 있습니까? 그리고 이러한 연결이 강력하고 확장 가능하며 침투할 수 없는 것으로 테스트되었습니까? 방법을 알아보겠습니다.

공격을 감지합니다. 공격 중지

ACG Research의 수석 분석가인 Robert Haim은 IoT 부문을 포함하여 "보안" 네트워크를 달성하는 데 있어 문제는 "보안"이 부정적인 목표라는 것입니다. , 그는 네트워킹 및 통신 산업에 중점을 두고 있습니다.

<노스크립트>

"적들이 무엇을 하든 간에 당신은 무언가를 성취하려고 하고 있고 적의 능력이 무엇인지 모릅니다"라고 그는 설명합니다. 많은 IoT 엔드포인트 장치에는 정교한 보안 소프트웨어를 포함하기에 충분한 메모리가 없기 때문입니다. "그래서 우리는 무엇을 할 것인가?"

Haim은 실제로 해결해야 할 두 가지 문제가 있다고 말합니다. "기기 자체의 보안에 대해 걱정해야 하고, 해킹을 당했을 때 어떻게 해야 하는지도 생각해야 합니다." 기업의 55%가 위협이 어디에서 오고 문제가 네트워크의 어디에서 발생하는지조차 모른다는 것은 도움이 되지 않습니다.

신원뿐만 아니라 행동도 살펴보세요

Mark McGovern, CA 위협 분석 그룹 리더 기술 , 일단 시스템에 대한 액세스 권한이 부여되면 사람들이 무엇을 하고 있는지 관찰할 필요성이 크다고 말합니다. 그들이 누구인지보다 그들이 하는 일이 더 중요합니다. “금융 기관이나 대형 케이블 회사에 대해 1억 명의 사용자를 실시간으로 인증하는 기존 시스템이든, 우리가 생각하는 방식은 귀하가 주장하는 사람이나 자격 증명이 아니라 귀하가 하세요.”

그는 “길거리에서 누군가를 만나면 X나 Y라고 할 수 있지만 실제로는 시간이 지남에 따라 무엇을하고 있는지 관찰합니까? 그것이 당신이 사람들에게 줄 수 있는 신뢰 수준입니다.”

CA는 시스템 사용 권한이 있는 개체의 실제 행동을 연구 및 분석하고 해당 개체의 과거 행동과 일치하지 않는 사항에 플래그를 지정합니다.

McGovern은 "IP 주소, 엔드포인트, 로그인 또는 청구된 ID이든, 자신의 행동과 인구의 행동 모두에 대해 눈에 띄는 것은 무엇입니까?"라고 말합니다. "이 데이터는 우리 시스템이 수행하는 학습과 이러한 시스템에 내장된 기계 학습을 강화하고 고객에게 가치를 제공합니다."

위협 모델링 시작

Zimperium 최고 제품 책임자인 John Michelsen은 "IoT 도어록과 같은 모든 장치를 사용하십시오. , AI 기반 모바일 위협 방어 소프트웨어를 만듭니다. "장치 수준, 네트워크 수준 또는 애플리케이션 콘텐츠 수준에서 이 장치가 악용될 수 있는 방법을 식별해야 합니다." 그런 다음 시장에 가기 전에 차단해야 합니다.

이것은 진짜 문제라고 Michelsen은 말합니다. “2017년 Black Hat에서 누군가 15개의 자동 도어 손잡이 중 13개를 작업 후 몇 시간 안에 열 수 있음을 증명했습니다. IoT 소비자 IT 기기의 최소 70%는 해킹 가능합니다.”

이것이 위협 모델링이 필요한 이유입니다. “먼저 위협 모델링을 수행합니다. 그런 다음 방지할 방법을 식별하고 이를 감지하고 이에 대한 솔루션을 구축합니다."

모두 밖을 봐야 합니다

모든 회사에는 소프트웨어, 인프라, 제품 및 서비스를 테스트하기 위한 내부 보안 리소스가 있지만 충분하지 않다고 Ziften의 수석 부사장인 Roark Pollock은 말합니다. , 엔드포인트 보안 솔루션을 제공합니다.

“밖을 봐야 한다. 파트너를 살펴보고 제품을 테스트하는 데 개방적입니다. 그들은 전체 인증 프로세스를 거쳐야 할 수도 있습니다. 이러한 파트너 인증을 통해 스스로를 확인하십시오. 오늘날 보안을 위한 감사 회사가 있습니다. 그들을 고용하십시오.”

<노스크립트>

자신을 믿지 마세요. 그는 주장합니다. 외부 전문가를 통해 엔지니어와 코드를 다시 확인하세요.

"그런 다음 커뮤니티와 오픈 소스 프로젝트를 살펴보고 해당 코드를 다시 확인하고, 다시 확인하고, 푸시하는 사람들의 커뮤니티가 있는지 다시 확인하세요."

Pollock은 보안과 관련하여 모든 것을 스스로 할 수 있다고 가정하는 어떤 회사에도 감동하지 않습니다. "외부 도움을 받는 것이 중요하다고 생각합니다."

인공 지능을 사용하여 신원 확인

Hank Skorny, Neustar 수석 부사장 , ID 관리 회사는 IoT 장치 또는 데이터에 액세스하는 사용자(또는 장치 또는 애플리케이션)의 ID를 확인하는 것으로 시작한다고 말합니다. 하지만 거기서 멈추지 않습니다. “아이덴티티를 확립해야 합니다. 또한 정체성은 확률일 뿐 절대 절대적이지 않기 때문에 항상 의심해야 합니다.”

그 확률에 대한 신뢰도를 어떻게 높일 수 있습니까? 그는 "머신 러닝과 인공 지능을 사용합니다."라고 말하면서 구축 중인 시스템을 지속적으로 모니터링합니다.

“단순히 누군가를 식별하거나 장치를 결정하는 것이 아닙니다. 당신은 그것을 경찰 것입니다. 나노초 규모의 세계를 감시할 수 있는 유일한 방법은 컴퓨터 머신 러닝과 인공 지능을 사용하여 끊임없이 악의적인 행동 패턴을 찾아 인간보다 더 빨리 저지하는 것입니다.

여러 도메인에서 신뢰 증명

일부 데이터는 법으로 보호됩니다. 미국의 1996년 HIPAA(Health Insurance Portability and Accountability Act)가 적용되는 건강에 대한 군사 기밀 또는 개인 식별 정보에 대해 생각해 보십시오. 그러나 특정 규정이 적용되지 않더라도 매우 민감한 다른 정보가 있습니다. 프로 운동 선수의 성과에 대한 데이터를 고려하십시오. HIPPA 건강 정보는 아니지만 수십억 달러 규모의 스포츠 팀에 중요한 정보입니다.

Zebra 스포츠 회사의 부사장인 John Pollard는 미식 축구 선수의 연습 시간과 경기 시간 원격 측정을 수집하는 회사이며 회사는 NFL(National Football League)과 함께 골을 넣으려면 열심히 일해야 한다고 설명합니다.

"NFL이 다양한 기술을 평가하는 기준 중 하나는 확실히 보안이었습니다."라고 그는 말합니다. “우리는 많은 정보를 수집하고 해당 정보를 소프트웨어 및 서비스로 전송하여 주요 업종의 고객이 해당 정보를 평가할 수 있도록 해야 합니다. NFL도 확실히 그것을 구현합니다. 우리는 프로 스포츠를 위해 이전에 캡처한 적이 없는 정보를 캡처하고 있기 때문에 총 시간 동안 가속, 감속, 방향 변경, 근접성에 대해 이야기하고 있습니다."

<노스크립트>

Zebra 점수 획득 지원:소매, 운송, 물류, 제조 및 의료 분야의 IoT에 대한 풍부한 경험

Pollard는 "이러한 산업과 함께 일한 우리의 유산은 확실히 NFL과 함께 그러한 유형의 정보를 수집하는 파트너가 되기 위한 타당한 사례를 구축하는 데 도움이 되었습니다."라고 말합니다.

여기서 보안 교훈은 스포츠라고 해서 그것이 꼭 중요하다는 것을 의미하지는 않는다는 것입니다. NFL과 마찬가지로 군사용 또는 상업용 IoT에도 동일한 원칙이 적용됩니다. 축구 선수를 위한 원격 측정은 경비원이나 미사일을 위한 원격 측정과 다르지 않습니다. 첫 번째 매개변수는 보안을 유지하는 것입니다.

신뢰 영역 생성 및 적용

모든 사용자가 동일하게 생성되는 것은 아니며 모든 사용자가 IoT 장치에서 동일한 정보를 필요로 하는 것도 아닙니다. 병원 IT 직원은 투석 펌프의 데이터가 올바른 애플리케이션에 의해 캡처되고 올바른 환자의 기록에 저장되는지 확인해야 하지만 데이터를 볼 필요가 없으며 실제로 HIPAA에서 액세스를 금지할 수 있습니다. 마찬가지로 IT 직원은 건물의 보안된 부분으로 들어가는 출입구가 제대로 작동하는지 확인해야 하지만 스스로 문을 열 수 있는 권한이 없을 수도 있습니다.

Lantronix의 최고 기술 책임자인 Sanjeev Datla는 "해당 도어록과 상호 작용하는 사람들의 수, 역할, 책임, 신뢰 영역이 계속 구축되는 곳"이라고 말합니다. , 산업용 IoT 기술을 구축합니다. “도어 관리자의 다양한 액세스 수준은 무엇입니까? 투석 기계와 상호작용하는 간호사를 위해?”

그리고 기계에 접근하거나 서비스를 제공하기 위해 오는 현장 서비스 기술자는 어떻습니까? "허용해야 할 것과 허용하지 말아야 할 것에 대한 역할과 책임을 알고 있습니다."라고 그는 말합니다.

Datla는 이것이 간단하지 않다고 주장합니다. “이더넷 포트가 있는 주입 펌프가 있습니다. 해당 포트 주변의 신뢰 링 또는 액세스 제어는 무엇입니까? 그리고 그것은 어떻게 테스트됩니까?” CA의 Mark McGovern이 위에서 말했듯이 이것은 단순한 액세스 제어 목록보다 더 정교해야 합니다.

"우리는 행동 분석을 찾습니다."라고 Datla는 말합니다. 그래서 그들이 그것을 할 때, 당신은 그것에 대해 무엇을합니까? 어떻게 경고를 제기하고 더 높은 수준에서 승인이나 차단을 받습니까?”

잊지 마세요:모든 것이 연결되어 있습니다

Ziften의 Pollock은 "IoT 장치가 점점 더 똑똑해지고 있습니다. “우리는 더 이상 에어 갭 제어 장치용 멍청한 마이크로 컨트롤러에 대해 이야기하지 않습니다. 우리는 네트워크의 스마트 센서에 대해 이야기하고 있습니다. 우리는 스마트 게이트웨이에 대해 이야기하고 있습니다.”

<노스크립트>

또한 그는 "많은 IoT 장치가 모든 실용적인 목적을 위해 완벽하게 작동하는 PC이지만 우리는 기업 네트워크에서 일반 PC를 취급하는 방식으로 이러한 장치를 취급하지 않습니다"라고 지적합니다.

"이봐, 연결된 모든 장치를 사용하려면 해당 장치의 상태와 해당 장치의 위생 상태를 모두 모니터링할 수 있어야 합니다. 당신의 환경을 강화해야 합니다.”

이전 의견을 반영하여 Pollock은 기업이 액세스 제어뿐만 아니라 행동에 대해 IoT 장치를 모니터링해야 한다고 주장합니다. “행동 관점에서 이상치를 찾고 해당 장치에서 무슨 일이 일어나고 있고 무엇을 하고 있는지 식별하기 시작하십시오. 무슨 일이 일어나고 있는지에 대한 곡선의 긴 꼬리를 가진 이상치에 집중하십시오. 비정상적인 작업을 수행하는 장치를 식별하고 이를 살펴보고 잠재적인 문제로 조사하십시오."

결국 공격에 취약한 IoT 기기와 IoT 애플리케이션으로 인해 생명이 당할 위험에 처해 있습니다.

저자는 ACG Research의 비즈니스 분석 및 IoT 수석 분석가인 Robert Haim입니다.