Документы eng

Kaspersky IoT Secure Gateway β*

Интернет вещей (Internet of Things, IoT) — это единая сеть, объединяющая физические объекты, в которой потенциально возможен обмен данными между любыми узлами без прямого участия человека. Отличительной особенностью интернета вещей является возможность взаимодействия и влияния на реальный, физический мир. Именно поэтому успешные атаки на любые звенья интернета вещей могут привести к катастрофическим последствиям.

Многообразие экосистем и устройств IoT/IIoT делает невозможным создать и применить одно универсальное средство, позволяющее сделать весь интернет вещей безопасным. Безопасность — это процесс. Обеспечение его эффективности и непрерывности требует усилий как со стороны производителей устройств и программного обеспечения, так и со стороны пользователей и разработчиков средств защиты. Для того чтобы мир IoT стал действительно безопасным, нужно сделать безопасными не отдельные устройства, а все элементы экосистемы и их взаимодействие между собой.

Решение

В качестве первого шага по защите экосистемы интернета вещей мы предлагаем использовать ПО для гейтвея, в основе которого лежат доверенные технологии.

Гейтвей интернета вещей (IoT Gateway) — одно из центральных и наиболее важных устройств в IoT-сети и в то же время наиболее уязвимое к угрозам безопасности. Подключение к внешним сетям, достаточные вычислительные ресурсы и зачастую прошивка на базе устаревшей версии ОС делают гейтвей мишенью для атак и внедрения вредоносного ПО. Поэтому именно гейтвей в первую очередь нуждается в надежной защите.

Kaspersky IoT Secure Gateway — это программное обеспечение, предназначенное для построения безопасных систем интернета вещей и рассчитанное для широкого спектра аппаратных реализаций гейтвеев на базе исходно безопасной операционной системы KasperskyOS и ряда ключевых технологий безопасности. В текущем релизе в качестве аппаратного обеспечения выбрана платформа Advantech UTX-3117.

KasperskyOS — собственная разработка «Лаборатории Касперского». Это микроядерная операционная система с дополнительными средствами безопасности, делающая большинство кибератак на устройство принципиально невозможными.

Предлагаемое нами решение является настраиваемым и может дополнятся функционалом, уже имеющимся в продуктах партнеров, заинтересованных в сотрудничестве.

Преимущества

Безопасность

  • Защита IoT шлюза от кибератак

    • KasperskyOS
    • Безопасная загрузка
    • Безопасное обновление
  • Защита IoT инфраструктуры

    • IPS/IDS, сетевой экран
    • Корень доверия (Root of trust)

Подключение

  • Ethernet
  • MQTT-брокер
  • OpenSSL/TLS
  • Интеграция с облачными сервисами
  • Маршрутизация и NAT
  • DHCP-сервер

Мониторинг

  • Обнаружение IoT- устройств
  • Классификация устройств
  • Отчеты и уведомления:
    • MQTT, SYSLOG,
    • Push-уведомления

Удобство использования

  • Веб-интерфейс
  • Push-уведомления
  • Система централизованного управления и мониторинга (KSC)

KasperskyOS

В основе KasperskyOS лежит надежное микроядро, которое допускает только определенный способ взаимодействия. Будучи компактным, оно может использоваться на различных платформах. Защитный компонент Kaspersky Security System (KSS) контролирует взаимодействие между всеми частями системы, делая эксплуатацию уязвимостей бесполезной для злоумышленников. Архитектура приложений основана на компонентной модели, благодаря чему разработка решения становится проще и удобнее.

Безопасная загрузка (Secure Boot)

Осуществляет верификацию целостности и подлинности прошивки с использованием криптографических методов на IoT-устройствах перед загрузкой образа. Несанкционированно измененная или поврежденная прошивка не будет загружена. Безопасная загрузка может использоваться совместно с аппаратным хранилищем ключей.

Корень доверия (Root of trust)

Этот подход базируется на цепочке доверия (chain of trust). Начальная точка доверия выбирается в зависимости от требуемых гарантий, и в самых сложных случаях устанавливается на уровне аппаратной части.

Обнаружение и классификация устройств

Обнаруживает и категоризирует IoT-устройства на основе их сетевой активности. В пользовательском интерфейсе можно увидеть все подключенные к сети устройства. Новое устройство будет обнаружено при подключении к сети в течение 60 секунд, при этом администратору будет отправлено соответствующее уведомление

MQTT-брокер

MQTT-брокер на базе Mosquitto позволяет осуществлять сбор данных и управление подключенными IoT-устройствами (сенсорами и актуаторами, «умными» реле и т. п.).

MQTT поверх TLS

MQTT поверх TLS (MQTT over TLS) позволяет осуществлять безопасное подключение и защищенную передачу данных между гейтвеем и облачной платформой.

Безопасный аудит (Secure Audit)

Безопасный аудит – это функция KasperskyOS, которая распознает, записывает и сохраняет журнал аудита, предоставляя гарантии того, что записи журнала не будут подменены.

Ключевые свойства:

  • Аудируемые события определяются независимо на пользовательском и системном уровне и регулируются политиками под управлением KSS.
  • Источник аудируемых событий, признанный KasperskyOS надежным, добавляется в журнал аудита.
  • Безопасный аудит располагает гибкой и масштабируемой архитектурой хранилища журнала аудита.
  • Предусмотрена схема обнаружения подмены журнала аудита.
  • Безопасный аудит соответствует требованиям ISO/IEC 15 408-2.

Безопасное обновление (Secure Update)

Технология Безопасного обновления работает в комплексес Безопасной загрузкой и позволяет обновлять прошивку только с использованием правильно подписанных и зашифрованных образов из доверенных источников. Безопасное обновление работает следующим образом:

  • С консоли управления поступает команда на скачивание.
  • Загрузчик обновления получает образ обновления.
  • Загрузчик сохраняет образ во временное хранилище обновлений и запечатывает его.
  • Данные из хранилища передаются на проверку специальному контроллеру.
  • Этот контроллер выполняет проверку образа и авторизует его в случае успеха.
  • Авторизованный образ поступает в апдейтер.

Защита от сетевых атак

Для защиты от сетевых атак используются два разных механизма, дополняющих друг друга: межсетевое экранирование и обнаружение вредоносной активности на базе сигнатурного анализа (IPS\IDS) трафика. Межсетевое экранирование обеспечивает защиту от несанкционированного сетевого доступа, а обнаружение вредоносной активности позволяет своевременно заблокировать атаку на узлы защищаемой сети.



Система централизованного управления и мониторинга (Kaspersky Security Center)

Посредством подключения гейтвеев к серверу KSC, который обрабатывает события безопасности, полученные со всех подключенных устройств, происходит управление из одной точки всеми продуктами Kaspersky на всех устройствах сети.



Репутационный сервис Kaspersky Security Network (reputation service)

Kaspersky Security Network (KSN) — это комплексная распределенная инфраструктура, которая предназначена для обработки данных о киберинцидентах, которые поступают от миллионов пользователей со всего мира, давших свое согласие на передачу такой информации. Облачная система KSN доставляет эти ценные сведения на каждое устройство, которое использует ее сервисы. KSN позволяет обеспечить высочайший уровень защиты и максимальную скорость реакции на угрозы при минимальном уровне ложноположительных срабатываний.

Сканер устройств интернета вещей и база уязвимостей (IoT Monitor + VulnDB)

Сканер устройств интернета вещей и база уязвимостей — это технология, предназначенная для обнаружения всех устройств интернета вещей (контроллеры, IP-камеры, HMI др.) в сети пользователя. После обнаружения устройств решение проверяет их на наличие уязвимостей, которые могут эксплуатировать хакеры. Если уязвимости найдены, сканер предлагает рекомендации по их устранению и повышению уровня безопасности. Также могут быть предложены меры активного противодействия (Virtual Patching).

Спецификации

Advantech UTX-3117

Processor System

  • Intel Apollo Lake E3900 & N series Processor, 2MB L2 Cache

Memory

  • Dual channel DDR3L 1867MHz, up to 8GB

Graphics

  • Intel Apollo Lake E3900 Series SoC Intel Apollo Lake N series SoC Interface
  • HDMI: 1, max resolution up to 3840 x 2160 @ 30Hz
  • DP1.2: 1, max resolution up to 4096 x 2160 @ 60Hz

Ethernet

  • Support Dual 10/100/1000Mbps LAN
  • LAN1: Intel I210AT
  • LAN2: Realtek RTL8111G

I/O Interface

  • 1 x RS-232 with 5v/12v
  • 1 x RS-422/485 full duplex with Phoenix connector
  • 2 x USB3.0 port
  • 1 x SATA interface, support SSD TPM Infineon SLB9665 chip onboard. Support TPM2.0

Storage

  • 1 x SATA II SSD bay
  • mSATA 1, co-lay with H/S miniPCIE slot

Expansion

  • 1 x Half-Size Mini PCIe support Sub1G module (i.e.: Zigbee ) or mSATA 1 x Full-Size Mini
  • PCIe support 3G/LTE module with SIM holder 1 x M.2 E key support Wi-Fi module

Примеры реализации

Предлагаемое решение может использоваться в качестве центрального элемента для различных вертикалей.

Построение «умного города» на основе Kaspersky IoT Secure Gateway



В доме устанавливаются системы контроля потребления ресурсов, системы управления электричеством и водоснабжением. Внутриквартирные счетчики подключаются по беспроводному протоколу LoRaWAN. Системы видеонаблюдения с удаленным доступом, датчики движения и датчики открытия дверей отвечают за физическую безопасность, а информационную безопасность обеспечивают технологии Kaspersky IoT Secure Gateway, которые блокируют атаки на локальные устройства и рабочие станции, выявляют неавторизованное подключение к сети и защищают периметр сети и связь с облаком.

Построение «умного склада» (retail) на основе Kaspersky IoT Secure Gateway



На складе устанавливаются системы контроля климатических параметров с возможностью управления из облака, что позволяет непрерывно поддерживать и контролировать климат на складе из любой точки. Использование RFID-датчиков и меток позволяет вести автоматизированный складской учет, который контролируется как локально с рабочих мест пользователей в сети, так и централизованно. Системы видеонаблюдения с удаленным доступом и датчики объема и открытия дверей отвечают за физическую безопасность, а информационную безопасность обеспечивают технологии Kaspersky IoT Secure Gateway, которые блокируют атаки на локальные рабочие станции, выявляют неавторизованное подключение к сети и защищают периметр сети и связь с облаком.

«Умное сельское хозяйство» на основе Kaspersky IoT Secure Gateway



На поле устанавливаются системы контроля климатических почвенных параметров с возможностью их облачного управления, что позволяет непрерывно поддерживать и контролировать состояние почвы из любой точки. Системы видеонаблюдения с удаленным доступом отвечают за физическую безопасность, а информационную безопасность обеспечивают технологии Kaspersky IoT Secure Gateway, которые блокируют атаки на локальные устройства, выявляют неавторизованное подключение к сети и защищают периметр сети и связь с облаком.

Материалы

Kaspersky IoT Infrastructure Security

Комплексное решение для защиты и контроля инфраструктуры интернета вещей. Ключевым компонентом является продукт Kaspersky IoT Secure Gateway, который обеспечивает безопасность систем на уровне шлюзов.

Безопасная ОС для интернета вещей

Интернет вещей меняет мир прямо на наших глазах. Он может сделать его безопаснее, улучшить состояние здоровья людей, помочь экономить время и деньги, уменьшить расходы и добавить новое измерение в управление производством и в жизнь в целом.

* Продукт предназначен для некоммерческого пилотирования.