Информационная безопасность в Интернете

Оглавление

1 Физический уровень 2
2 Сетевой уровень 4
3 Уровень обработки данных 6
4 Прикладной уровень 9
Список использованных источников 13

1 Физический уровень

Из-за открытости и совместного использования IoT и
широковещательного характера беспроводной передачи, информационная
безопасность чрезвычайно уязвима для вредоносных атак, таких как
подслушивание и помехи, атаки с захватом узлов, атаки с повторным
воспроизведением, атаки с подменой, атаки с вредоносным кодом /
внедрением данных, атаки криптоанализа и т.д. Следовательно, безопасные
подходы, ориентированные на характеристики физического уровня,
вызывают все больше проблем, которые обычно включают безопасное
кодирование прослушивания, распределение ресурсов, обработку сигналов,
взаимодействие с несколькими узлами, генерацию ключей физического
уровня и аутентификацию физического уровня.
Было продемонстрировано, что недостатки беспроводных каналов,
вызванные шумом, замиранием и помехами, больше не являются бременем
для реализации защищенной связи на физическом уровне. И наоборот, с
помощью подходящих конструкций безопасного кодирования негативные
последствия несовершенных беспроводных каналов могут быть
использованы для достижения не только исправления ошибок для законных
пользователей, но и теоретической информационной безопасности от
злоумышленников. С этой целью безопасное кодирование прослушивания
является основной рассматриваемой стратегией безопасности в IoT, которая
обычно включает в себя стохастическое кодирование, кодирование с
контролем ошибок и сетевое кодирование.
Широко исследовано, что беспроводные сетевые ресурсы обладают
большим потенциалом для повышения физической безопасности. Используя
многомерные ресурсы беспроводных сетей, можно намеренно увеличить
разницу между законными каналами и каналами прослушивания, чтобы
можно было достичь высокой скорости кодирования секретности для
повышения уровня секретности. Таким образом, безопасное распределение

ресурсов является доступной контрмерой против атак безопасности в IoT,
которая может выполняться между конечными устройствами и мобильным
пограничным облаком или реализовываться между сотрудничающими
пограничными узлами.
В качестве дополнения информационная безопасность может быть
обеспечена за счет использования характеристик физического уровня, даже
несмотря на то, что противники обладают бесконечными вычислительными
возможностями. Благодаря недавним достижениям в области
вычислительной техники, искусственного интеллекта, обработки сигналов,
кодирования и т. д. физическая безопасность может быть дополнительно
усилена для защиты данных и аутентификации законных пользователей в
IoT. Интерес и применение физической безопасности в IoT также растут.

2 Сетевой уровень

В IoT новые объекты, поступающие в сеть, настраиваются
автоматически. Эта характеристика делает IoT очень восприимчивым к
угрозам безопасности. Среди нескольких видов угроз в сети Интернета
вещей наиболее распространенными являются сбои и отказ в обслуживании
(DoS), подслушивание, проблемы с аутентификацией и физические атаки на
устройства в различных формах.
Поэтому важно разработать меры безопасности, не вмешиваясь в
работу сети Интернета вещей. Кроме того, следует использовать надежные и
безошибочные аналитические инструменты и алгоритмы, которые будут
обнаруживать злонамеренные и неэтичные действия, одновременно улучшая
сервис, предлагаемый клиентам. Как правило, системы обнаружения и
предотвращения вторжений и повышения безопасности пакетов путем
включения подходящих полей в заголовок пакета являются мерами
безопасности, связанными с уровнем беспроводных.
В то время как настройка каждой конечной точки, чтобы сделать ее
максимально безопасной, должна быть необходимостью, нереалистично
предполагать, что это практично или что в цепочке не будет слабого звена,
которое нельзя было бы использовать. Вместо этого следует сосредоточиться
на мониторинге сетевого трафика, чтобы убедиться, что он достигает
намеченного места назначения, чтобы можно было быстро обнаружить
вторжение. Преимущество большинства устройств Интернета вещей
заключается в том, что они предсказуемы в своей повседневной работе и
поведении.
Фирмы должны стремиться к единой ‘стеклянной панели’ – консоли
управления, которая представляет данные со всех устройств Интернета
вещей в одном месте. На сетевом уровне это означает направление всего
трафика Интернета вещей в облако через безопасные "туннели", которые
полностью независимы от сети, по которой они передаются. Облачные

соединители не зависят от сети, в которой они находятся – не имеет
значения, является ли это 5G, 4G или фиксированной широкополосной
связью, трафик надежно перенаправляется на облачные шлюзы
безопасности, чтобы пункты назначения можно было проверить на
безопасность, содержимое можно проверить на наличие вредоносных
данных, а поведение можно отслеживать на предмет аномалий и уровней
риска.
Управляя трафиком таким образом, можно ограничить трафик
Интернета Вещей только авторизованными и безопасными пунктами
назначения, снижая риск их компрометации. Большинство злоумышленников
попытались бы перенаправить сетевой трафик на фишинговый URL-адрес, но
могут быть применены политики, ограничивающие сетевой трафик только
доверенными веб-сайтами или IP-адресами, обеспечивая необходимый
уровень безопасности как от киберпреступников, так и от государственных
субъектов.
Другой подход, который могли бы принять фирмы, заключается в
проверке того, что устройства не отправляют трафик в заведомо плохие
места назначения с помощью систем, интегрированных со "списками",
включающими индикаторы компрометации (IOC), которые сопоставляются
профессионалами индустрии безопасности и поставщиками. Эти подходы
могут быть дополнены использованием искусственного интеллекта, который
со временем может проводить еще более глубокий анализ того, как ведут
себя устройства Интернета Вещей, чтобы можно было быстро выявлять и
устранять аномалии.

3 Уровень обработки данных

Неотъемлемые характеристики устройств Интернета вещей, такие как
ограниченная память и вычислительная мощность, требуют новой
платформы для эффективной обработки данных. Концепция туманных
вычислений была введена в качестве технологии для преодоления разрыва
между удаленными центрами обработки данных и устройствами Интернета
вещей. Туманные вычисления обеспечивают широкий спектр преимуществ,
включая повышенную безопасность, меньшую пропускную способность и
меньшую задержку. Эти преимущества делают fog подходящей парадигмой
для многих сервисов Интернета Вещей в различных приложениях, таких как
подключенные транспортные средства и интеллектуальные сети. Тем не
менее, устройства fog (расположенные на границе Интернета), очевидно,
сталкиваются со многими угрозами безопасности и конфиденциальности, во
многом аналогичными тем, с которыми сталкиваются традиционные центры
обработки данных.
Приложения Fog предполагают взаимодействие в реальном времени
вместо пакетной обработки, и они часто взаимодействуют напрямую с
мобильными устройствами. Узлы Fog также имеют различные форм-факторы
и развертываются в различных средах.
Из-за различных характеристик туманных вычислений, таких как
географическое распределение, мобильность и гетерогенность,
существующие методы обеспечения безопасности и конфиденциальности
облачных вычислений не могут работать в сети туманных вычислений.
Следовательно, новая современная система безопасности необходимы
механизмы для решения проблем безопасности и конфиденциальности
облачных вычислений.
Хотя туманные вычисления предоставляют ряд преимуществ по
сравнению с системами облачных вычислений, но существуют некоторые
проблемы безопасности, которые могут создать препятствия на пути

развертывания современных систем с использованием туманных
вычислений.
Исследования сохранения конфиденциальности в сетях с туманными
вычислениями состоят из следующих обобщенных шагов по защите данных
между устройством конечного пользователя и сетью:
Они собирают данные датчиков и извлекают функции;
Размытие данных путем добавления гауссова шума в данные с
определенным уровнем дисперсии, чтобы снизить вероятность
подслушивания;
Внедрение инфраструктуры открытых ключей для шифрования
каждого блока данных;
Передача отдельных данных на узел Fog, где пакеты данных
расшифровываются и переупорядочиваются.
Система также включает в себя возможность уменьшения функций для
минимизации обмена данными с узлами Fog, чтобы помочь минимизировать
риск. Эта работа имеет важное значение, поскольку она сосредоточена на
сохранении личных и важных данных во время передачи. Предложенный
метод может быть улучшен путем выбора алгоритма шифрования и
управления ключами, сосредоточив внимание на тех, которые играют
важную роль в поддержании конфиденциальности данных. Кроме того, мало
обсуждаются требуемые вычислительные накладные расходы для
выполнения обширных манипуляций с данными (размытие, разделение,
шифрование, дешифрование и упорядочение, изменение порядка) до и после
обмена данными. Это может иметь значение при проектировании и
производстве системы защиты, поскольку требуемые накладные расходы на
вычисления могут быть недоступны. Другим важным аспектом, на который
следует обратить внимание, является то, что датчики передают данные
непрерывно, возможно, в течение более длительных периодов времени, и

предлагаемая структура конфиденциальности может привести к перегрузке
или даже сбою базовой системы Fog.

4 Прикладной уровень

Ландшафт угроз Интернета Вещей чрезвычайно широк и сложен и
включает в себя широкий спектр аппаратных и программных технологий. В
этой среде безопасность протоколов прикладного уровня имеет
первостепенное значение, поскольку эти протоколы лежат в основе
взаимодействия между приложениями и службами, работающими на
различных устройствах Интернета вещей и в облачных/пограничных
инфраструктурах. Обеспечение безопасности на прикладном уровне является
очень сложной задачей. Устройства Интернета вещей подвержены
многочисленным рискам безопасности из-за отсутствия соответствующих
служб безопасности в протоколах, а также из-за уязвимостей или
неправильной конфигурации развертываемых продуктов и служб. Более того,
ограниченные возможности этих устройств влияют на типы служб
безопасности, которые могут быть реализованы.
Прикладной уровень - это самый верхний уровень, построенный поверх
всего, от реальных физических проводов и волоконно-оптических кабелей на
первом уровне до протоколов передачи данных на четвертом уровне и
сериализации данных чуть ниже на шестом уровне. Прикладной уровень -
это та часть модели OSI, с которой люди фактически взаимодействуют,
облегчая связь между человеком и компьютером по сети. Безопасность
прикладного уровня просто означает защиту этого уровня и пользователей,
которые взаимодействуют с ним.
В модели OSI, если один уровень системы скомпрометирован, все
уровни “над” ним также уязвимы, потому что они построены друг на друге.
Следовательно, если атакован транспортный уровень, то может быть
затронут и прикладной уровень. Однако, в отличие от этого, атака на
прикладной уровень не повлияет на слои под ним.
Но это не означает, что можно оставлять прикладной уровень широко
открытым для угроз — на самом деле, совсем наоборот. Прикладной уровень

имеет более широкую поверхность атаки, потому что он предназначен для
использования людьми и, следовательно, будет преднамеренно открыт как
хорошим, так и потенциально злонамеренным субъектам. Это воздействие
является ключевым отличием между прикладным уровнем и другими
уровнями в модели OSI.
Различные виды угроз безопасности могут влиять на каждый уровень
модели OSI, но уровень приложений часто подвергается распределенным
атакам типа "отказ в обслуживании" (DDoS), HTTP-потокам, SQL-
инъекциям, межсайтовому скриптингу, изменению параметров и атакам
Slowloris.
То, как обеспечивается безопасность прикладного уровня, зависит от
конкретного приложения. Приложения имеют самые разные цели и виды
использования, поэтому безопасность должна быть адаптирована к
уникальной ситуации.
Кроме того, необходимо знать о компромиссах, которые могут
сопровождать ужесточение мер безопасности. Повышение уровня
безопасности может означать увеличение затрат на передачу данных и
вычислительную мощность.
Например, некоторые решения для обеспечения безопасности, хотя и
эффективны в предотвращении атак, могут немного замедлить работу
приложения.
Протоколы связи
Безопасность прикладного уровня начинается с выбранного протокола
связи, будь то HTTP, MQTT (популярный выбор для проектов Интернета
вещей) или один из множества других. Каждый отдельный протокол будет
иметь свои собственные методы для выполнения аутентификации
пользователя — некоторые из них более безопасны, чем другие, — поэтому

важно быть знакомым с шаблонами, присутствующими в каждом из них,
чтобы знать о любых изменениях безопасности, которые нужно будет внести.
Например, к методу аутентификации на основе HTTP-сервера обычно
относятся неодобрительно, поскольку он по своей сути не является очень
безопасным методом. Если нужна дополнительная безопасность, то стоит
выбрать другой протокол.
В качестве альтернативы можно сохранить протокол, но добавить
более безопасную форму многофакторной аутентификации, такую как
аутентификация на основе HTTP-токена. При аутентификации на основе
токенов приложение проверяет учетные данные пользователя при первом
входе в систему, а затем предоставляет клиенту подписанный токен. Клиент
сохраняет токен, а затем должен предоставлять его при каждом запросе на
вход в систему, помогая предотвратить атаки CSRF (когда
несанкционированные команды передаются от пользователя, которому
доверяет приложение).
Также следует отметить, что большинство протоколов будут иметь как
стандартную версию, так и защищенную версию. В то время как стандартная
версия будет более легкой и менее безопасной, защищенная версия будет
более сложной, вероятно, основанной на DLS, и обеспечит большую защиту.
Одна из распространенных ошибок в защите прикладного уровня на
самом деле связана с другими уровнями, такими как транспортный уровень.
Как упоминалось ранее, из-за структуры всех слоев атака на данном
уровне может повлиять на все слои над ним, но не на нижележащие. И хотя
крайне важно обеспечить безопасность транспортного уровня и других более
глубоких уровней самостоятельно, не стоит всегда полагаться на эти уровни
для обработки всего шифрования. Если по какой-то причине злоумышленник
использует уязвимость на транспортном уровне, например печально

известную ошибку Heartbleed, данные, не зашифрованные на прикладном
уровне, могут внезапно стать доступными.
По этой причине всегда рекомендуется следовать рекомендациям по
шифрованию данных на прикладном уровне, чтобы избежать
незапланированного раскрытия.
Брандмауэры
Возможно использовать брандмауэры приложений для защиты
прикладного уровня, а также других уровней. Большинство брандмауэров
создаются с учетом конкретных приложений, хотя многие брандмауэры
могут быть настроены для нескольких приложений.
Брандмауэр может контролировать весь сетевой трафик на любом
уровне OSI вплоть до уровня приложений. По сути, это гарантирует, что все
коммуникации следуют желаемым протоколам.
При разработке приложения на каждом устройстве Интернета вещей
необходимо применять передовые методы как безопасного кодирования, так
и тестирования безопасности приложений. Кроме того, приложения
Интернета вещей должны подвергаться такому же тщательному
тестированию, как и любое другое приложение. Инструменты проверки
безопасности, такие как статическое тестирование безопасности приложений
(SAST) и анализ состава программного обеспечения (SCA), должны быть
стандартом.

Список использованных источников

1. Мачей Кранц. Интернет вещей. Новая технологическая
революция. – М.: Бомбора,Эксмо, 2018. – 336 с.
2. Петин В.А.. Arduino и Raspberry Pi в проектах Internet of Things. –
СПб.: БХВ-Петербург, 2016. – 320 с.
3. Wei Ren. Lightweight and Robust Security for Applications in
Internet of Things. – М.: LAP Lambert Academic Publishing, 2013. – 188 с.
4. Omar Said and Yasser Albagory. Internet of Things. – М.: LAP
Lambert Academic Publishing, 2014. – 136 с.
5. H.-M. Wang, T.-X. Zheng, J. Yuan, D. Towsley, and M. H. Lee,
“Physical layer security in heterogeneous cellular networks,” IEEE
Transactions on Communications, vol. 64, no. 3, pp. 1204–1219, 2016.
6. L. Sun and Q. Du, “A Review of Physical Layer Security Techniques
for Internet of Things: Challenges and Solutions,” Entropy, vol. 20, no. 10, p.
730, 2018.