Система и способ обеспечения безопасности iot-устройств посредством шлюза

Область техники

Изобретение относится к технологиям обеспечения информационной безопасности для IoT-устройств, а более конкретно, к системам и способам выявления вредоносных приложений и зараженных IoT-устройств.

Уровень техники

В настоящее время всё большее количество устройств оказывается подключено к сети Интернет (компьютеры, смартфоны, бытовая техника). При подключении устройств к сети Интернет пользователи получают возможность обновления самих устройств, наблюдения за статусом работы устройства (например, холодильника) и интегрирования самого устройства в так называемую концепцию “умный дом” (англ. Smart house). Упомянутая концепция позволяет управлять подобными “умными” вещами (устройствами) из одной точки, проверяя статус работы таких вещей, настраивать их под свои личные нужды. Концепция “умного дома” затрагивает и другую концепцию под названием Интернет вещей (англ. Internet of Things, IoT), которая подразумевает взаимодействие вышеуказанных вещей уже без прямого участия человека.

В настоящее время пользователями широко используются маршрутизаторы, которые позволяют создавать беспроводные сети (кстати, смарт-устройства работают и по проводным сетям), которые в свою очередь позволяют подключать другие умные вещи к Интернету. Многие маршрутизаторы (роутеры, от англ. router) поддерживают возможность создания так называемых неоднородных (гетерогенных) сетей. В качестве примера можно привести сеть из устройств (“умных” вещей), часть из которых соединена с роутером через беспроводную сеть Wi-Fi, а другая часть – через Bluetooth.

Неудивительно, что с ростом количества устройств, которые имеют возможность сетевого взаимодействия, начало расти и количество попыток злонамеренного использования подобных устройств. Значимой проблемой является распространение вредоносных программ, которые заражают IoT-устройства. Ввиду того, что подобные устройства зачастую не имеют высокопроизводительной вычислительной платформы (как правило, это небольшие платформы на базе архитектуры ARM) и работают под управлением небольшой операционной системы (ОС) или простого загрузчика, которые используют малое количество ресурсов, использование каких-либо политик безопасности или антивирусных приложений является избыточным.

Также IoT-устройства могут порождать большой объём трафика, чем пользуются создатели ботнетов. В качестве примера можно привести ботнет Hide'n'Seek, который использует p2p-инфраструктуру, что ещё больше затрудняет его обнаружение.

Стоит отметить, что повсеместное использование IoT-устройств может сопровождаться вторжением в личную жизнь людей. С одной стороны, человек может доверять ряду устройств наблюдение за данными, которые могут прямо или косвенно относиться к его личной информации, – пульс, расход калорий (“умный” фитнес-браслет), частота звонков (“умные” часы), температура и влажность в доме (“умные” приборы, такие как термометр и гигрометр с обратной связью) и другие. Хотя от использования информации от таких устройств напрямую зависит уровень и качество сервиса, не все люди готовы мириться с передачей всей или хотя бы части информации в сеть Интернет.

Одной из последних проблем можно назвать также вопросы безопасности, связанные с функционированием “умной” техники в рамках “умного” дома. Например, недопустимо, чтобы температура воздуха поднималась выше 23-25 градусов Цельсия в теплое время года, даже если настройки позволяют поднять температуру выше. Кроме того, этим могут воспользоваться и злоумышленники, выведя из строя ряд датчиков и сменив настройки.

Подобные проблемы могут быть катастрофическими в том случае, если используются уязвимости для индустриального Интернета вещей (англ. Industrial Internet of Things, IIoT). В это определение входит многоуровневая система, включающая в себя датчики и контроллеры, установленные на узлах и агрегатах промышленного объекта, средства передачи собираемых данных и их визуализации и анализа. Если один из подобных узлов будет скомпрометирован, то вполне возможен отказ в обслуживании не одного устройства или набора устройств в доме, но даже изменение работы или отказ критически важной инфраструктуры в рамках целого города (например, системы управления городским траффиком или работы городских камер).

Известны патентные публикации, которые раскрывают возможные решения по обеспечению информационной безопасности, связанной с IoT-устройствами. Например, в публикации US20180041546 раскрывается дизайн безопасности для IoT-систем на основании желаемых пользователем характеристик. Публикация US20180040172 раскрывает мониторинг взаимодействия транспортного средства с IoT-устройством и анализ возможных информационных рисков. Однако в приведенных публикациях не раскрывается комплексный подход для решения задач информационной безопасности вкупе с обеспечением безопасности и корректной работы IoT-устройств, а также обеспечения необходимого уровня конфиденциальности.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно системой и способом обнаружения посредством роутера вредоносных приложений, способных заразить IoT-устройства.

Раскрытие изобретения

Технический результат настоящего изобретения заключается в повышении безопасности IoT-устройств посредством шлюза.

Согласно одному из вариантов реализации предоставляется система обеспечения безопасности IoT-устройств (далее – устройств), содержащая:

по меньшей мере один шлюз, включающий средство анализа и средство перехвата, который взаимодействует по меньшей мере с одним устройством и по меньшей мере с одним сервисом безопасности, при этом средство перехвата выполняет: получение информации о взаимодействии устройств с по меньшей мере одним из: другим устройством, сервисом, сервером; выявленное средством анализа действие для обеспечения безопасности на основании киберугрозы, определенной средством анализа, при этом действие для обеспечения безопасности применяется по меньшей мере к одному из: к устройству в сети; к сети в целом;

при этом средство анализа, предназначено для: определения киберугрозы посредством взаимодействия с сервисом безопасности на основании данных, полученных от средства перехвата и сервиса безопасности; в зависимости от определенной киберугрозы выявления действия для обеспечения безопасности;

по меньшей мере один сервис безопасности, предназначенный для предоставления данных средству анализа, при этом данные содержатся по меньшей мере в одной базе данных из: базе данных, связанных с устройствами; базе данных с описанием киберугроз.

Согласно другому варианту реализации предоставляется система, в которой действием для получения информации о взаимодействии устройств с другими устройствами, сервисами и серверами является: перехват DNS/HTTP/HTTPS-запросов от устройств; извлечение из перехваченных запросов данных о доменах и URL; перехват входящего трафика на устройства на заранее предопределенный набор TCP/UDP-портов; проверка наличия на устройстве открытых TCP/UDP-портов, обеспечивающих удаленный доступ к устройству.

Согласно еще одному из вариантов реализации предоставляется система, в которой действием для обеспечения безопасности, которое применяется к сети в целом, является: блокирование соединения устройства с другими устройствами; блокирование соединения устройства с доменами и URL.

Согласно еще одному из вариантов реализации предоставляется система, в которой действием для обеспечения безопасности, которое применяется к устройству в сети, является: перезагрузка устройства; обновление пароля устройства; обновление прошивки устройства; проверка доступа к устройству по портам Telnet/SSH; проверка доступа к устройству по паролям.

Согласно еще одному из вариантов реализации предоставляется система, в которой для определения киберугрозы посредством взаимодействия с удаленным сервером безопасности на основании данных, полученных от средства перехвата, выявляют описание устройства, при этом описание содержит по меньшей мере тип устройства, производителя устройства, модель устройства, прошивку устройства; получают информацию об устройстве от сервиса безопасности, при этом информация содержит по меньшей мере порты Telnet/SSH устройства, разрешенные домены и URL для устройства, а также разрешенные для взаимодействия устройства в сети; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств на основании предоставленных сервисом безопасности данных; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств на основании предоставленных сервисом безопасности данных.

Согласно еще одному из вариантов реализации предоставляется система, в которой действие для обеспечения безопасности, которое применяется к устройству в сети, выявляется следующим образом: в случае выявления наличия открытых портов Telnet/SSH на устройстве и/или возможности соединения с устройством по паролю выносят решение по проверке возможности подключения к устройству с использованием базы известных слабых паролей на основании предоставленных сервисом безопасности данных; в случае определения устройства со слабым паролем выносят решение о смене пароля устройства; в случае получения от сервиса безопасности информации о выходе новой прошивки устройства выносят решение об обновлении прошивки.

Согласно еще одному из вариантов реализации предоставляется система, в которой действие для обеспечения безопасности, которое применяется к сети в целом, выявляется следующим образом: в случае обнаружения в исходящем трафике устройства доменов и/или URL из упомянутой базы выносят решение о блокировании соединений с данными доменами и URL; в случае выявления аномалий в перехваченном трафике устройства выносят решение о блокировке соединений, связанных с аномалией.

Согласно еще одному из вариантов реализации предоставляется система, в которой база данных, связанных с устройствами, содержит описание устройств, прошивки устройств, слабые пароли для устройств.

Согласно еще одному из вариантов реализации предоставляется система, в которой база данных с описанием киберугроз содержит домены и URL, используемые вредоносными приложениями для устройств, характерные для устройств открытые порты Telnet/SSH.

Согласно еще одному из вариантов реализации предоставляется система, в которой средство анализа запрашивает сервис безопасности о том, какое действие для обеспечения безопасности необходимо выполнить.

Согласно еще одному из вариантов реализации предоставляется способ обеспечения безопасности IoT-устройств посредством шлюза, в котором: с помощью средства перехвата, которое размещено на по меньшей мере одном шлюзе, получают информацию о взаимодействии по меньшей мере одного устройства с по меньшей мере одним из: другим устройством, сервисом и сервером; с помощью средства анализа, которое размещено на по меньшей мере одном шлюзе, определяют киберугрозы посредством взаимодействия с сервисом безопасности на основании данных, полученных от средства перехвата, при этом сервис безопасности, предназначен для предоставления данных средству анализа, при этом данные содержатся по меньшей мере в одной базе данных из: базе данных, связанных с устройствами; базе данных с описанием киберугроз; с помощью средства анализа в зависимости от определенной киберугрозы выявляют действие для обеспечения безопасности, при этом действие для обеспечения безопасности применяется к по меньшей мере одному из: к устройству в сети; к сети в целом; с помощью средства перехвата выполняют выявленное средством анализа действие для обеспечения безопасности на основании киберугрозы, определенной средством анализа.

Согласно еще одному из вариантов реализации предоставляется способ, в котором действием для получения информации о взаимодействии устройств с другими устройствами, сервисами и серверами является: перехват NS/HTTP/HTTPS-запросов от устройств; извлечение из перехваченных запросов данных о доменах и URL; перехват входящего трафика на устройства на заранее предопределенный набор TCP/UDP-портов; проверка наличия на устройстве открытых TCP/UDP-портов, обеспечивающих удаленный доступ к устройству.

Согласно еще одному из вариантов реализации предоставляется способ, в котором действием для обеспечения безопасности, которое применяется к сети в целом, является: блокирование соединения устройства с другими устройствами; блокирование соединения устройства с доменами и URL.

Согласно еще одному из вариантов реализации предоставляется способ, в котором действием для обеспечения безопасности, которое применяется к устройству в сети, является: перезагрузка устройства; обновление пароля устройства; обновление прошивки устройства; проверка доступа к устройству по портам Telnet/SSH; проверка доступа к устройству по паролям.

Согласно еще одному из вариантов реализации предоставляется способ, в котором для определения киберугрозы посредством взаимодействия с удаленным сервером безопасности на основании данных, полученных от средства перехвата, выявляют описание устройства, при этом описание содержит по меньшей мере тип устройства, производителя устройства, модель устройства, прошивку устройства; получают информацию об устройстве от сервиса безопасности, при этом информация содержит по меньшей мере порты Telnet/SSH устройства, разрешенные домены и URL для устройства, а также разрешенные для взаимодействия устройства в сети; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств на основании предоставленных сервисом безопасности данных; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств на основании предоставленных сервисом безопасности данных.

Согласно еще одному из вариантов реализации предоставляется способ, в котором действие для обеспечения безопасности, которое применяется к устройству в сети, выявляется следующим образом: в случае выявления наличия открытых портов Telnet/SSH на устройстве и/или возможности соединения с устройством по паролю выносят решение по проверке возможности подключения к устройству с использованием базы известных слабых паролей на основании предоставленных сервисом безопасности данных; в случае определения устройства со слабым паролем выносят решение о смене пароля устройства; в случае получения от сервиса безопасности информации о выходе новой прошивки устройства выносят решение об обновлении прошивки.

Согласно еще одному из вариантов реализации предоставляется способ, в котором действие для обеспечения безопасности, которое применяется к сети в целом, выявляется следующим образом: в случае обнаружения в исходящем трафике устройства доменов и/или URL из упомянутой базы выносят решение о блокировании соединений с данными доменами и URL; в случае выявления аномалий в перехваченном трафике устройства выносят решение о блокировке соединений, связанных с аномалией.

Согласно еще одному из вариантов реализации предоставляется способ, в котором база данных, связанных с устройствами, содержит описание устройств, прошивки устройств, слабые пароли для устройств.

Согласно еще одному из вариантов реализации предоставляется способ, в котором база данных с описанием киберугроз содержит домены и URL, используемые вредоносными приложениями для устройств, характерные для устройств открытые порты Telnet/SSH.

Согласно еще одному из вариантов реализации предоставляется способ, в котором средство анализа запрашивает сервис безопасности о том, какое действие для обеспечения безопасности необходимо выполнить.

Краткое описание чертежей

Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

На Фиг. 1 приведена схема IoT-экосистемы (инфраструктуры).

Фиг. 2 отображает систему обеспечения безопасности IoT-устройств посредством шлюза.

Фиг. 3 отображает схему способа обеспечения безопасности IoT-устройств посредством шлюза.

Фиг. 4 представляет пример компьютерной системы общего назначения, c помощью которой может быть реализовано настоящее изобретение

Описание вариантов осуществления изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

IoT-устройства («умные» вещи) – повседневные устройства и вещи, такие как часы, камеры, холодильники, диктофоны, браслеты, пульсометры, термостаты и другие, которые имеют доступ в Интернет (или локальную сеть) через различные виды соединений, такие как Wi-Fi или Bluetooth. Данные вещи создают сетевые соединения, получают и обрабатывают входящий трафик, имеют интерфейс для взаимодействия (API, англ. Application Programmable Interface), что позволяет не только следить за параметрами вещи (устройства), но также настраивать её. Кроме того, к IoT-устройствам можно отнести и ряд сетевых устройств, такие как усилители сигнала или медиаприставки.

IoT-устройства находят своё применение в различных областях, таких как автотранспорт (англ. automotive), потребительские товары (например, умные часы), объекты инфраструктуры (различные датчики, например датчик влажности или датчик температуры), медицина (например, кардиостимулятор с возможностью отправки данных о своей работе на локальный сервер), умный дом (англ. smart home/building) и другие. IoT-устройства объединяются в инфраструктуру, которая позволяет выполнять задачи на уровне не только отдельного человека или домохозяйства, но и на уровне городов или государств.

IoT-устройства используются для различных целей, и их компрометация/кража/повреждение могут привести к различным последствиям для пользователя и всей инфраструктуры в целом.

Киберугроза - угроза потери данных или нарушения работы вычислительной системы или сети в результате кибератаки.

Кибератака - несанкционированное воздействие на вычислительную систему или сеть специальными программными или аппаратными средствами с целью нарушения её работы, получения секретной информации и т. п.

Под средствами системы и удаленным сервером в настоящем изобретении понимаются реальные устройства, подсистемы, компоненты, группы компонентов, реализованные с использованием аппаратных средств, таких как интегральные микросхемы (англ. application-specific integrated circuit, ASIC) или программируемые вентильные матрицы (англ. field-programmable gate array, FPGA), или, например, в виде комбинации программных и аппаратных средств, таких как микропроцессорная система и набор программных инструкций, а также на нейроморфных чипах (англ. neurosynaptic/neuromorphic chips). Функциональность указанных средств системы может быть реализована исключительно аппаратными средствами, а также в виде комбинации, где часть функциональности средств системы реализована программными средствами, а часть - аппаратными. В некоторых вариантах реализации часть средств или все средства могут быть исполнены на процессоре компьютера общего назначения (например, который изображен на Фиг. 4). При этом компоненты (каждое из средств) системы могут быть реализованы в рамках как одного вычислительного устройства, так и разнесены между несколькими связанными между собой вычислительными устройствами.

На Фиг. 1 приведена схема IoT-экосистемы (инфраструктуры).

IoT-устройства 110 (далее по тексту – устройства) могут быть как носимыми предметами для людей (смартфон, умные часы и т.д.), так и датчиками внутри транспортного средства или дома, а также различными датчиками на предприятии. Устройства 110 получают, обрабатывают и передают информацию (например, данные о температуре) другим таким же устройствам 110 и устройствам 150 (например, умные часы могут быть сопряжены со смартфоном, используя протокол Bluetooth) либо посредством шлюза (точки доступа) 120. Шлюз 120 может быть домашним роутером или иным сетевым устройством (таким как концентратор или коммутатор), предназначенным для передачи данных платформе 130 по сети. Шлюз 120 может поддерживать различные протоколы передачи данных, например для некоторых устройств 110 может использоваться протокол ZigBee, а для соединения с платформой 130 - Ethernet-соединение.

Под облачным сервисом 130 (англ. cloud service) понимается один или несколько удаленных серверов обработки данных. В рамках облачного сервиса 130 работают приложения 140, которые позволяют обрабатывать и интерпретировать данные с устройств 110. Пользователи могут использовать отдельные устройства 150 (это могут быть смартфоны, персональные компьютеры и т.д.) для управления устройствами 110 либо напрямую, либо через приложения 140. Как правило, один или несколько шлюзов 120 с подключенными устройствами 110 и 150 образуют персональную сеть (англ. PAN, Personal Area Network).

В качестве примера можно привести платформу умного дома от компании Xiaomi. Устройствами 110 могут быть лампы освещения Yeelight Smartbulb, сетевой фильтр Mi Smart Power Plug, средство управления Mi Smart Remote Center. Для обработки данных с указанных устройств используется собственная платформа 130 Mi Eco Cloud, которая позволяет использовать различные приложения 140 (в том числе и сторонние) для обработки данных и управления устройствами 110.

Фиг. 2 отображает систему обеспечения безопасности IoT-устройств посредством шлюза.

Производители IoT-устройств 110 очень часто не заботятся об их безопасности, делая выбор в пользу простоты настройки и использования конечными пользователями: устанавливают стандартные логины/пароли для доступа к консоли управления на все выпущенные устройства одной модели, вовремя не обновляют установленные на них библиотеки с известным уязвимостями и т.д. Все это позволяет злоумышленникам получать удаленный контроль над данными устройствами 110 и использовать скомпрометированные устройства 110 либо как составную часть бот-сетей, либо для получения приватной информации о пользователе устройства 110 с целью последующего шантажа, либо для других злонамеренных целей.

Специфика данных устройств 110 (нестандартная прошивка или операционная система, малое количество памяти, отсутствие предусмотренной производителем штатной установки стороннего ПО, автономная работа без возможности постоянной зарядки) не позволяет установить на них полноценные защитные и антивирусные решения.

Настоящее изобретение предлагает установку защитного решения на шлюзе 120 (роутере, коммутаторе), через который устройства 110 в домашней сети пользователя выходят в Интернет, что позволяет минимизировать вероятность и последствия заражения устройств 110, а также выявить зараженные устройства 110 в домашней сети.

Система обеспечения безопасности IoT-устройств посредством шлюза содержит по меньшей мере одно устройство 110, взаимодействующее с облачным сервисом 130 и приложениями 140 посредством по меньшей мере одного шлюза 120, который в свою очередь содержит средство перехвата 121 и средство анализа 122, которое взаимодействует с сервисом безопасности 160 и приложениями безопасности 170.

Средство перехвата 121 предназначено для получения информации о взаимодействии устройств 110 с другими устройствами 110, устройствами 150, сервисами и серверами (облачным сервисом 130 и/или вредоносным сервером 190) путем перехвата входящего и исходящего трафика устройств 110, подключенных к шлюзу 120. Стоит понимать, что в случае, если устройство 110 было заражено до установки решения, предлагаемого настоящим изобретением, или скомпрометировано после, например было заражено путем прямого подключения к нему (злоумышленник в отсутствие пользователя подключил флеш-накопитель с вредоносным приложением/скриптом к устройству 110 или подключился к устройству 110 напрямую со своего устройства 150 посредством кабеля или беспроводного соединения, но минуя шлюз 120), то оно будет взаимодействовать не только с облачным сервисом 130, но и с по меньшей мере одним удаленным вредоносным сервером 190.

При взаимодействии устройства 110 с облачным сервисом 130, вредоносным сервером 190 и приложениями 140 возникает трафик (обмен данными). Средство перехвата 121, как было упомянуто выше, выполняет действия для получения информации о взаимодействии устройств 110 с по меньшей мере одним из: облачным сервисом 130, удаленным вредоносным сервером, другими устройствами 110 и устройствами 150. При этом средство перехвата 121:

- перехватывает DNS/HTTP/HTTPS-запросы от устройств 110 в домашней сети пользователя;

- извлекает из них домены и URL;

- перехватывает входящий трафик на устройства 110 на заранее предопределенный набор TCP/UDP-портов (портов Telnet/SSH и других служб, обеспечивающих удаленный доступ к устройству 110), при этом упомянутый набор портов может быть изменен по информации, полученной от сервиса безопасности 160;

- проверяет наличие открытых TCP/UDP-портов (портов Telnet/SSH и других служб, обеспечивающих удаленный доступ к устройству) на устройствах 110.

Кроме того, средство перехвата 121 выполняет выявленное средством анализа 122 действие для обеспечения безопасности на основании киберугрозы, определенной средством анализа 122, при этом действие для обеспечения безопасности применяется к по меньшей мере одному из:

- к устройству 110 в сети;

- к сети в целом.

Средство перехвата 121 для выполнения действия для обеспечения безопасности, которое применяется к сети в целом, выполняет меньшей мере одно из:

- блокирует соединения устройства 110 с доменами и URL по решению средства анализа 122;

- блокирует соединения устройств 110 с другими устройствами 110 по решению средства анализа 122.

Средство перехвата 121 для выполнения действия для обеспечения безопасности, которое применяется к устройству 110 в сети, выполняет меньшей мере одно из:

- перезагружает устройство 110 по решению средства анализа 122;

- обновляет пароль устройства 110 по решению средства анализа 122;

- обновляет прошивку устройства 110 по решению средства анализа 122;

- проверяет доступ к устройству 110 по портам Telnet/SSH, полученным от средства анализа 122, и возвращает средству анализа 122 результат проверки;

- проверяет доступ к устройству 110 по паролям, полученным от средства анализа 122, и возвращает средству анализа 122 результат проверки.

Полученная средством перехвата 121 информация передается средству анализа 122 для выявления возможных проблем обеспечения информационной безопасности и киберугроз в сети. Средство анализа 122 связано с базой данных 123, в которой хранится описание устройств и описание удаленных вредоносных серверов 190. Описание удаленных вредоносных серверов 190 может содержать по меньшей мере URL удаленных вредоносных серверов 190, а также дополнительно сертификаты и цепочки сертификатов удаленных вредоносных серверов 190, свертки по http-ответам или страницам удаленных вредоносных серверов 190. В общем случае в связи с ограниченным количеством памяти на шлюзе 120 база данных 123 содержит наиболее актуальные данные по устройствам 110 пользователя. Стоит отметить, что информацию для заполнения базы данных 123 средство анализа 122 получает от сервиса безопасности 160 (пример будет рассмотрен ниже). Средство анализа 122 выполняет по меньшей мере следующие действия для определения киберугроз:

- выявляет описание устройства 110 (например, посредством запроса к устройству 110 по номеру порта, открытия веб-страницы по адресу устройства 110, прочими известными из уровня техники способами), описание в общем случае содержит тип устройства 110 (например, веб-камера), производителя устройства 110 (например, Xiaomi), модель устройства 110 (например, XVV-B10) и в предпочтительном варианте реализации прошивку устройства 110 (версию программного обеспечения устройства 110);

- получает информацию об устройстве 110 от сервиса безопасности 160 в случае выявления нового устройства 110 в сети, при этом информация содержит по меньшей мере порты Telnet/SSH устройства 110, разрешенные домены и URL для устройства 110, а также разрешенные для взаимодействия устройства 110 в сети (например, веб-камера может взаимодействовать с другими камерами или с IP-видеорегистратором и сама отправлять запросы на инициализацию);

- проверяет домены и URL из перехваченного трафика по базе доменов и URL (является частью базы данных 123), используемых вредоносными приложениями для устройств 110;

- проверяет перехваченный трафик по базе хэшей вредоносных приложений для устройств 110 (является частью базы данных 123).

Также средство анализа 122 в зависимости от определенной киберугрозы выявляет действия для обеспечения безопасности. Примеры рассмотрены ниже:

- в случае обнаружения в исходящем трафике доменов и/или URL из упомянутой базы выносит решение о блокировании соединений с данными доменами и URL и передает решение средству перехвата, при этом устройство 110 вероятно заражено, о чем в одном из вариантов реализации может быть предупрежден пользователь (например, путем отправки предупреждения на устройство пользователя 150 посредством e-mail, push-уведомления и прочих известных способов получения информации, а также средство анализа 122 может передавать данные для оповещения пользователя сервису безопасности 160);

- в случае обнаружения во входящем трафике на устройство 110 хэшей вредоносных приложений для устройства 110 выносит решение о блокировании передачи трафика и в одном из вариантов реализации оповещает пользователя устройства 110;

- в случае выявления наличия открытых портов Telnet/SSH на устройстве 110 и/или возможности соединения с устройством 110 по паролю выносит решение по проверке возможности подключения к устройству 110 с использованием базы известных слабых паролей (является частью базы данных 123) и передает его средству перехвата 121;

- в случае обнаружения вероятно зараженного устройства 110 выносит решение о перезагрузке устройства 110, если возможность такой удаленной перезагрузки присутствует, и передает решение средству перехвата 121, при этом стоит отметить, что зачастую вредоносное приложение, в силу ограниченного объема постоянной памяти устройства 110 и специфичных для производителя протоколов прошивки устройства 110, не прописывается в постоянную память, а выполняется в оперативной памяти устройства 110;

- в случае обнаружения вероятно зараженного устройства 110 или устройства 110 со слабым паролем выносит решение о смене пароля устройства 110, если возможность такой смены существует, и передает решение средству перехвата 121;

- в случае обнаружения вероятно зараженного устройства 110 или в случае получения от сервиса безопасности 160 информации о выходе новой прошивки устройства 110 выносит решение об обновлении прошивки, если возможность такой перепрошивки существует, и передает решение средству перехвата 121;

- в случае выявления аномалий в перехваченном трафике устройства 110 (в данном случае устройство 110 вероятно заражено) выносит решение о блокировании соединений, связанных с аномалией, передает решение средству перехвата 121 и в одном из вариантов реализации предупреждает пользователя об этом.

Аномалия – выявленное отклонение в трафике устройств 110 за период времени. Например, при фактическом переборе паролей извне возрастает число соединений с устройствами 110 с разных IP-адресов. Такие устройства 110 можно считать вероятно зараженными в рамках настоящего изобретения, так как вероятность подбора пароля, даже если он был изменен, существует. Устройства 110 зачастую из-за свой простоты не имеют никакой защиты от перебора паролей, не выставляют таймауты после нескольких некорректных попыток ввода пароля (например, 30 секунд после трех некорректных вводов пароля), поэтому подбор пароля осуществляется сравнительно быстро, и необходимо сделать невозможным сам подбор пароля. В данном случае необходимо заблокировать соединения и предупредить пользователя об этом. Другой пример – устройство 110 сканирует IP-адреса сети и пытается соединиться с другими устройствами 110. В данном случае необходимо заблокировать соединения и предупредить пользователя об этом.

В одном из вариантов реализации в случае, если средство анализа 122 не выявило действие для обеспечения безопасности, средство анализа 122 запрашивает сервис безопасности 160 о том, какое действие необходимо выполнить.

Сервис безопасности 160 взаимодействует со средством анализа 122. В общем случае облачный сервис безопасности 160 представляет собой сервис на удаленном сервере, при этом сервис безопасности 160 может быть облачным сервисом (англ. cloud service), сервисом в локальной сети (англ. on promise). Сервис безопасности 160 предоставляет данные для базы данных 123, которая содержит данные, связанные с устройствами, и данные с описанием киберугроз. В одном из вариантов реализации база данных 123 может быть разделена на две базы данных (база данных, связанных с устройствами, и база данных с описанием киберугроз).

Данными, связанными с устройствами, являются:

- описание устройств 110 (рассмотрено выше);

- прошивки для устройств 110;

- слабые пароли для устройств 110.

Данными с описанием киберугроз являются:

- домены и URL, используемые вредоносными приложениями для устройств 110;

-  характерные для устройств 110 открытые порты Telnet/SSH (нужно понимать, что порты могут различаться в зависимости от текущей прошивки устройства 110).

Стоит отметить, что база данных доменов и URL, используемых вредоносными приложениями для устройств 110, в предпочтительном варианте реализации формируется с помощью приложений безопасности 170, в качестве которых могут быть применены заранее настроенные виртуальные машины, специально размещенные в сети Интернет без защитных решений, эмулирующие устройства 110 и содержащие все известные уязвимости, используемые вредоносными приложениям для взлома. Такие виртуальные машины – это так называемые IoT-Honeypot.

В рамках настоящего изобретения слабые пароли – это как пароли, не соответствующие требованиям безопасности уровня техники (например, слова из словаря без заглавных букв, цифр и/или спецсимволов), так и так называемые «заводские» пароли от производителя, пароли для входа по умолчанию (admin:admin), утекшие в сеть Интернет пароли (например, в публикациях об уязвимостях в прессе, из баз данных паролей известных утечек, распространяемых в «темных» сегментах Интернета, являющихся скрытыми сетями, соединения в которых устанавливаются только между доверенными узлами с использованием нестандартных протоколов и портов, например в DarkNet). В одном из вариантов реализации слабые пароли могут быть получены с помощью упомянутых приложений безопасности 170 – IoT-HoneyPot.

В одном из вариантов реализации сервис безопасности 160 выполняет оповещение пользователя устройства 110 по данным от средства анализа 122.

В одном из вариантов реализации сервис безопасности 160 пополняет базы данных на основании данных от средства анализа 122. Так, например, если средство анализа 122 выявило открытые порты на устройстве 110, ранее неизвестные сервису безопасности 160, или передало данные об аномалии с использованием неизвестных ранее доменов и URL, то данные могут быть проанализированы сервисом безопасности 160 и добавлены в базы данных для дальнейшего использования.

Стоит отметить, что средство перехвата 121 и средство анализа 122 могут быть выполнены как в виде компонента антивирусного решения, так и в виде решения EDR (англ. Endpoint Detection and Response), например Kaspersky EDR (https://www.kaspersky.com/enterprise-security/endpoint-detection-response-edr). При этом принятие решения о действии для обеспечения безопасности происходит в сервисе безопасности 160.

Фиг. 3 отображает схему способа обеспечения безопасности IoT-устройств посредством роутера.

На этапе 310 с помощью средства перехвата 121, которое размещено на шлюзе 120, получают информацию о взаимодействии устройства 110 с по меньшей мере одним из: другим устройством 110, сервисом, сервером. Средство перехвата 121 подробно рассмотрено при описании Фиг.2.

В одном из вариантов реализации действием для получения информации о взаимодействии устройств 110 с другими устройствами 110, сервисами и серверами является:

- перехват DNS/HTTP/HTTPS-запросов от устройств 110;

- извлечение из перехваченных запросов данных о доменах и URL;

- перехват входящего трафика на устройства 110 на заранее предопределенный набор TCP/UDP-портов;

- проверка наличия на устройстве 110 открытых TCP/UDP-портов, обеспечивающих удаленный доступ к устройству 110.

На этапе 320 с помощью средства анализа 122, которое размещено на по меньшей мере одном шлюзе 120, определяют киберугрозы посредством взаимодействия с сервисом безопасности 160 на основании данных, полученных от средства перехвата 121, при этом сервис безопасности 160 предназначен для предоставления данных средству анализа 122, при этом данные содержатся по меньшей мере в одной из баз данных:

- базе данных, связанных с устройствами 110;

- базе данных с описанием киберугроз.

Средство анализа 122 и сервис безопасности 160 подробно рассмотрены при описании Фиг.2.

В одном из вариантов реализации с помощью средства анализа 122 для определения киберугрозы посредством взаимодействия с удаленным сервером безопасности 160 на основании данных, полученных от средства перехвата 121, выявляют описание устройства 110, при этом описание содержит по меньшей мере тип устройства 110, производителя устройства 110, модель устройства 110, прошивку устройства 110; получают информацию об устройстве 110 от сервиса безопасности 160, при этом информация содержит по меньшей мере порты Telnet/SSH устройства 110, разрешенные домены и URL для устройства 110, а также разрешенные для взаимодействия устройства в сети; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств 110 на основании предоставленных сервисом безопасности 160 данных; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств 110 на основании предоставленных сервисом безопасности 160 данных.

В одном из вариантов реализации база данных, связанных с устройствами 110, содержит описание устройств 110, прошивки устройств 110, слабые пароли для устройств 110.

В еще одном из вариантов реализации база данных с описанием киберугроз содержит домены и URL, используемые вредоносными приложениями для устройств 110, характерные для устройств 110 открытые порты Telnet/SSH.

На этапе 330 с помощью средства анализа 122 в зависимости от определенной киберугрозы выявляют действие для обеспечения безопасности, при этом действие для обеспечения безопасности применяется по меньшей мере к одному из:

- к устройству 110 в сети;

- к сети в целом.

В одном из вариантов реализации действием для обеспечения безопасности, которое применяется к устройству 110 в сети, является:

- перезагрузка устройства 110;

- обновление пароля устройства 110;

- обновление прошивки устройства 110;

- проверка доступа к устройству 110 по портам Telnet/SSH;

- проверка доступа к устройству 110 по паролям.

В еще одном из вариантов реализации действием для обеспечения безопасности, которое применяется к сети в целом, является:

- блокирование соединения устройства 110 с другими устройствами 110;

- блокирование соединения устройства 110 с доменами и URL.

В еще одном из вариантов реализации действие для обеспечения безопасности, которое применяется к устройству 110 в сети, выявляется следующим образом:

- в случае выявления наличия открытых портов Telnet/SSH на устройстве 110 и/или возможности соединения с устройством 110 по паролю выносят решение по проверке возможности подключения к устройству 110 с использованием базы известных слабых паролей на основании предоставленных сервисом безопасности 160 данных;

- в случае определения устройства 110 со слабым паролем выносят решение о смене пароля устройства 110;

- в случае получения от сервиса безопасности 160 информации о выходе новой прошивки устройства 110 выносят решение об обновлении прошивки.

В еще одном из вариантов реализации действие для обеспечения безопасности, которое применяется к сети в целом, выявляется следующим образом:

- в случае обнаружения в исходящем трафике устройства 110 доменов и/или URL из упомянутой базы выносят решение о блокировании соединений с данными доменами и URL;

- в случае выявления аномалий в перехваченном трафике устройства 110 выносят решение о блокировке соединений, связанных с аномалией.

В еще одном из вариантов реализации средство анализа 122 запрашивает сервис безопасности 160 о том, какое действие для обеспечения безопасности необходимо выполнить.

На этапе 340 с помощью средства перехвата 121 выполняют выявленное средством анализа 122 действие для обеспечения безопасности на основании киберугрозы, определенной средством анализа 122.

Фиг. 4 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 4. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой. Специалисту в данной области становится понятным, что могут существовать и другие варианты осуществления настоящего изобретения, согласующиеся с сущностью и объемом настоящего изобретения.

1. Система обеспечения безопасности IoT-устройств (далее – устройств), содержащая:

по меньшей мере один шлюз, включающий средство анализа и средство перехвата, который взаимодействует по меньшей мере с одним устройством и по меньшей мере с одним сервисом безопасности, при этом средство перехвата выполняет:

-  получение информации о взаимодействии устройств с по меньшей мере одним из: другим устройством, сервисом, сервером;

- выявленное средством анализа действие для обеспечения безопасности на основании киберугрозы, определенной средством анализа, при этом действие для обеспечения безопасности применяется по меньшей мере к одному из:

- к устройству в сети;

- к сети в целом;

при этом средство анализа, предназначено для:

- определения киберугрозы посредством взаимодействия с сервисом безопасности на основании данных, полученных от средства перехвата и сервиса безопасности;

- в зависимости от определенной киберугрозы выявления действия для обеспечения безопасности;

по меньшей мере один сервис безопасности, предназначенный для предоставления данных средству анализа, при этом данные содержатся по меньшей мере в одной базе данных из:

- базы данных, связанных с устройствами;

- базы данных с описанием киберугроз.

2. Система по п.1, в которой действием для получения информации о взаимодействии устройств с другими устройствами, сервисами и серверами является:

- перехват DNS/HTTP/HTTPS-запросов от устройств;

- извлечение из перехваченных запросов данных о доменах и URL;

- перехват входящего трафика на устройства на заранее предопределенный набор TCP/UDP-портов;

- проверка наличия на устройстве открытых TCP/UDP-портов, обеспечивающих удаленный доступ к устройству.

3. Система по п.1, в которой действием для обеспечения безопасности, которое применяется к сети в целом, является:

- блокирование соединения устройства с другими устройствами;

- блокирование соединения устройства с доменами и URL.

4. Система по п.1, в которой действием для обеспечения безопасности, которое применяется к устройству в сети, является:

- перезагрузка устройства;

- обновление пароля устройства;

- обновление прошивки устройства;

- проверка доступа к устройству по портам Telnet/SSH;

- проверка доступа к устройству по паролям.

5. Система по п.1, в которой для определения киберугрозы посредством взаимодействия с удаленным сервером безопасности на основании данных, полученных от средства перехвата, выявляют описание устройства, при этом описание содержит по меньшей мере тип устройства, производителя устройства, модель устройства, прошивку устройства; получают информацию об устройстве от сервиса безопасности, при этом информация содержит, по меньшей мере, порты Telnet/SSH устройства, разрешенные домены и URL для устройства, а также разрешенные для взаимодействия устройства в сети; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств на основании предоставленных сервисом безопасности данных; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств на основании предоставленных сервисом безопасности данных.

6. Система по п.1, в которой действие для обеспечения безопасности, которое применяется к устройству в сети, выявляется следующим образом:

- в случае выявления наличия открытых портов Telnet/SSH на устройстве и/или возможности соединения с устройством по паролю выносят решение по проверке возможности подключения к устройству с использованием базы известных слабых паролей на основании предоставленных сервисом безопасности данных;

- в случае определения устройства со слабым паролем выносят решение о смене пароля устройства;

- в случае получения от сервиса безопасности информации о выходе новой прошивки устройства выносят решение об обновлении прошивки.

7. Система по п.1, в которой действие для обеспечения безопасности, которое применяется к сети в целом, выявляется следующим образом:

- в случае обнаружения в исходящем трафике устройства доменов и/или URL из упомянутой базы выносят решение о блокировании соединений с данными доменами и URL;

- в случае выявления аномалий в перехваченном трафике устройства выносят решение о блокировке соединений, связанных с аномалией.

8. Система по п.1, в которой база данных, связанных с устройствами, содержит описание устройств, прошивки устройств, слабые пароли для устройств.

9. Система по п.1, в которой база данных с описанием киберугроз содержит домены и URL, используемые вредоносными приложениями для устройств, характерные для устройств открытые порты Telnet/SSH.

10. Система по п.1, в которой средство анализа запрашивает сервис безопасности о том, какое действие для обеспечения безопасности необходимо выполнить.

11. Способ обеспечения безопасности IoT-устройств посредством шлюза, в котором:

а) с помощью средства перехвата, которое размещено на по меньшей мере одном шлюзе, получают информацию о взаимодействии по меньшей мере одного устройства с по меньшей мере одним из: другим устройством, сервисом и сервером;

б) с помощью средства анализа, которое размещено на по меньшей мере одном шлюзе, определяют киберугрозы посредством взаимодействия с сервисом безопасности на основании данных, полученных от средства перехвата, при этом сервис безопасности, предназначен для предоставления данных средству анализа, при этом данные содержатся по меньшей мере в одной базе данных из:

- базы данных, связанных с устройствами;

- базы данных с описанием киберугроз;

в) с помощью средства анализа в зависимости от определенной киберугрозы выявляют действие для обеспечения безопасности, при этом действие для обеспечения безопасности применяется к по меньшей мере одному из:

- к устройству в сети;

- к сети в целом;

г) с помощью средства перехвата выполняют выявленное средством анализа действие для обеспечения безопасности на основании киберугрозы, определенной средством анализа.

12. Способ по п.11, в котором действием для получения информации о взаимодействии устройств с другими устройствами, сервисами и серверами является:

- перехват DNS/HTTP/HTTPS-запросов от устройств;

- извлечение из перехваченных запросов данных о доменах и URL;

- перехват входящего трафика на устройства на заранее предопределенный набор TCP/UDP-портов;

- проверка наличия на устройстве открытых TCP/UDP-портов, обеспечивающих удаленный доступ к устройству.

13. Способ по п.11, в котором действием для обеспечения безопасности, которое применяется к сети в целом, является:

- блокирование соединения устройства с другими устройствами;

- блокирование соединения устройства с доменами и URL.

14. Способ по п.11, в котором действием для обеспечения безопасности, которое применяется к устройству в сети, является:

- перезагрузка устройства;

- обновление пароля устройства;

- обновление прошивки устройства;

- проверка доступа к устройству по портам Telnet/SSH;

- проверка доступа к устройству по паролям.

15. Способ по п.11, в котором для определения киберугрозы посредством взаимодействия с удаленным сервером безопасности на основании данных, полученных от средства перехвата, выявляют описание устройства, при этом описание содержит по меньшей мере тип устройства, производителя устройства, модель устройства, прошивку устройства; получают информацию об устройстве от сервиса безопасности, при этом информация содержит по меньшей мере порты Telnet/SSH устройства, разрешенные домены и URL для устройства, а также разрешенные для взаимодействия устройства в сети; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств на основании предоставленных сервисом безопасности данных; проверяют домены и URL из перехваченного трафика по базе доменов и URL, используемых вредоносными приложениями для устройств на основании предоставленных сервисом безопасности данных.

16. Способ по п.11, в котором действие для обеспечения безопасности, которое применяется к устройству в сети, выявляется следующим образом:

- в случае выявления наличия открытых портов Telnet/SSH на устройстве и/или возможности соединения с устройством по паролю выносят решение по проверке возможности подключения к устройству с использованием базы известных слабых паролей на основании предоставленных сервисом безопасности данных;

- в случае определения устройства со слабым паролем выносят решение о смене пароля устройства;

- в случае получения от сервиса безопасности информации о выходе новой прошивки устройства выносят решение об обновлении прошивки.

17. Способ по п.11, в котором действие для обеспечения безопасности, которое применяется к сети в целом, выявляется следующим образом:

- в случае обнаружения в исходящем трафике устройства доменов и/или URL из упомянутой базы выносят решение о блокировании соединений с данными доменами и URL;

- в случае выявления аномалий в перехваченном трафике устройства выносят решение о блокировке соединений, связанных с аномалией.

18. Способ по п.11, в котором база данных, связанных с устройствами, содержит описание устройств, прошивки устройств, слабые пароли для устройств.

19. Способ по п.11, в котором база данных с описанием киберугроз содержит домены и URL, используемые вредоносными приложениями для устройств, характерные для устройств открытые порты Telnet/SSH.

20. Способ по п.11, в котором средство анализа запрашивает сервис безопасности о том, какое действие для обеспечения безопасности необходимо выполнить.