Trend Micro предупреждает: базовые протоколы IIoT могут быть уязвимы : 1540117 : Пресс-релизы

Пресс-релизы Киев : Новости за 7 дней

Все регионы | Киев и область | Харьков и область | Днепропетровск и область | Донецк и область | Запорожье и область | Винница и область | Житомир и область | Ивано Франковск и область | Кропивницкий и область | Луганск и область | Луцк и Волынская область | Львов и область | Николаев и область | Одесса и область | Полтава и область | Ровно и область | Симферополь и Крым | Сумы и область | Тернополь и область | Ужгород и Закарпатская область | Херсон и область | Хмельницкий и область | Черкассы и область | Чернигов и область | Черновцы и область
Местные новости | Акции и скидки | Объявления | Афиша | Пресс-релизы | Бизнес | Политика | Спорт | Наука | Технологии | Здоровье | Досуг | Помогите детям!
Все регионы > Украина > Киев и область : Последние новости > Пресс-релизы
Подробно

Trend Micro предупреждает: базовые протоколы IIoT могут быть уязвимы

Опубликовано: 2L_pr

Компания Trend Micro Incorporated (TYO: 4704; TSE: 4704), мировой лидер в области решений для обеспечения кибербезопасности, опубликовала результаты своего исследования The Fragility of Industrial IoT’s Data Backbone, в котором описывает уязвимости базовых протоколов M2M (от Machine-to-Machine, или «межмашинное взаимодействие») IIoT, а также предлагает собственные методы защиты от потенциальных угроз.

Протоколы M2M позволяют устройствам «общаться» между собой, передавая команды и данные телеметрии от сенсоров, что является основой для нормального функционирования любой IIoT-системы. Несмотря на то, что в мире существует и используется несколько протоколов M2M, авторы сосредоточили своё внимание на MQTT и CoAP, как на самых распространённых и популярных, а, соответственно, и представляющих наибольший интерес для потенциальных злоумышленников.

Протокол MQTT (Message Queuing Telemetry Transport) — это стандартный протокол для обмена данными, который позволяет конечным устройствам обмениваться информацией по шаблону «издатель-подписчик». Устройства-клиенты в такой сети передают данные, помеченные определёнными заголовками общему «посреднику», у которого другие устройства могут их получить, при условии, что они «подписаны» на эти заголовки. Он применяется, помимо прочего, в медицинском оборудовании и облачных решениях Amazon Web Services, Facebook Messenger и т. д.

CoAP (Constrained Application Protocol) — намного более молодой протокол, ещё не прошедший стандартизацию. Он позволяет передавать команды или информацию по шаблону «клиент-сервер» и создавать специализированные протоколы M2M для решения конкретных задач на предприятии. Благодаря меньшей сложности настройки и сниженным требованиям к оборудованию, CoAP чаще используется в сетях с маломощными устройствами, например, для сбора данных телеметрии от датчиков. Россия находится на 3-м месте в мире по количеству используемых серверов CoAP (3 360).

Оба этих протокола нельзя считать эффективно защищёнными от атак. В частности, MQTT подвержен различного рода DoS-атакам с использованием «запрещённых» символов в заголовках, а CoAP — атакам типа DNS amplification. В результате проведенных тестов исследователям Trend Micro также удалось выявить проблемы с использованием устаревших версий «посредников» MQTT, которые не защищены от уже обнаруженных типов атак. Так, в топ-10 используемых в IIoT-системах версий самого популярного «посредника» Mosquitto даже не попали последние его версии, то есть основная масса используемых устройств является устаревшими и уязвимыми. В то же время CoAP уязвим к спуфингу, и, соответственно, к атакам с его применением.

Злоумышленники могут использовать уязвимости этих протоколов для перехвата данных телеметрии, включая конфиденциальную информацию, перехвата управления устройствами на стадии их настройки и конфигурации либо в момент обновления по воздуху и подмены команд физическим устройствам такими, которые нужны хакерам. Следовательно, последние могут не только получить данные, скажем, о состоянии пользователя от фитнес-трекера или прочитать сообщения из корпоративного мессенджера, но и управлять любым из подключенных к сети IIoT-устройством, например, дистанционно открывать автоматические двери, ведущие в закрытые части офисов.

Среди сфер, которые оказались уязвимыми для атак с использованием M2M-протоколов, по результатам исследований, производство бытовой электроники и мобильных устройств, швейная промышленность, сельское хозяйство, транспорт, услуги доступа в интернет, логистика, производство мониторов и автомобильных запчастей, медицинское обслуживание, а также строительство.

Учитывая рост популярности M2M-протоколов в мире, Trend Micro предлагает придерживаться ряда рекомендаций, которые помогут снизить риск кибератак, включая:
• отказ от использования M2M-систем там, где без них легко можно обойтись;
• периодические автоматизированные проверки сети интернет на предмет утечек конфиденциальной информации, которые могли произойти из-за IoT-устройств;
• внедрение эффективного процесса проверки продуктов на уязвимости ещё на стадии их выпуска (особенно касается продукции, которая редко получает обновления ПО);
• отслеживание изменений в стандартах и изучение новых версий протоколов M2M либо переход к самостоятельной их разработке.

 

Добавить комментарий к новости "Trend Micro предупреждает: базовые протоколы IIoT могут быть уязвимы"

Ваше имя:

Ваш email адрес: (email не публикуется на страницах сайта)

Комментарий:



Календарь
Новых вестей сегодня: 1
Новых вестей вчера: 4

Сегодня | 7 дней | 30 дней

<<

Декабрь 2024

>>
Вс Пн Вт Ср Чт Пт Сб
01 02 03 04 05 06 07
08 09 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31
Комментарии

Кировоград-25: история в погонах

Стрелец. 15-08-2023 08:45
Грязь там осталась, а не офицеры.. ...

Підвищення кваліфікації вчителів онлайн: оптимальний вибір

КатеринаШ. 23-02-2023 10:52
Порадьте зручний LMS для викладання онлайн, бажано не англомовний. . ...

Polly Group Ukraine

Avenue17Ru. 21-10-2022 14:16
Мне кажется это очень хорошая идея. Полностью с Вами соглашусь.
. ...

На дачу едут на одной ноге!
Но на этом испытания пенсионеров не заканчиваются – впереди пешие марш-броски по 3-5 километров

ОbMalv. 19-11-2021 11:51
Спасибо, ваш сайт очень полезный!
. ...

Закупівля нових «Пакунків малюка» під загрозою зриву

Ольга. 11-05-2021 18:00
Господи... Неужели у нас не один процесс не обходится без коррупционных схем? Нормально же выпускали эти бейби боксы до 2020-го года. Что потом пошло не так? Такое ощуще. ...

Что делать, если шиномонтажник сорвал резьбу на шпильке авто?

MSCLYPE. 31-03-2021 15:52
Группа компаний "Азия-Трейдинг" предлагает услуги таможенного оформления в морских портах Владивостока и порт Восточный. Вместе с таможенным оформлением мы оказываем услуги международной перевозки сборных и контейнерных грузов. ...

IT сервисы Google Cloud для рядового сотрудника от Wise IT

Наталушко. 31-10-2020 04:47
На заметку! Полезная статья как обезопасить личные данные в интернете. Актуально, как никогда ранее. Имхо. ...

Человек-легенда Лев Абрамович Наймарк

Андрей Александрович Снежин. 23-10-2020 17:24
Я бывший ученик Льва Абрамовича Наймарка. Благодаря ему я успешно поступил в Харьковский авиационный институт, успешно его окончил. Работал в авиации в г. Ульяновске на АО "Авиастаре - СП", бывший УАПК. ...

DINERO підсумовує результати року

Тимофій. 16-01-2020 15:17
Стабільне положення команії Дінеро на ринку МФО красномовно підтверджує 2 аспекти: по-перше, що банківські методи підходу до кредитування фізичних осіб віджили себе, і їх однозначно потрібно змінювати. ...

Після голкотерапії люди стають сильнішими

Анна. 06-10-2019 21:22
надайте контактні дані Марії Миськів. ...

Что такое ВсеВести.com?

ВсеВести.com - это система поиска региональных новостей и объявлений, где вы сможете найти ежеминутно обновляемую информацию из тысяч источников, опубликовать свои новости и объявления, обсудить события или, за считанные минуты, создать собственную ленту новостей. Подробнее...

Погода

Книга жалоб Казахстана

Книга жалоб - это сайт для подачи жалобы или отзыва на государственые учреждения, бизнес, на определенных людей и на государственных служащих на территории республики Казахстан. Жалобная книга Казахстана EGOV.PRESS не является официальным ресурсом. Например, для подачи жалобы на незаконные действия прокуратуры или суда, необходимо авторизаваться через социальные сети. Также мы рекомендуем доску объявлений.

Киев



Курсы валют

Курсы валют







О проекте | Контакты | Реклама на сайте | Карта сайта