Bezpečnost IoT sítě

Posted on by P. Varga
Bezpečnost IoT sítě

Proč jsou IoT sítě zranitelné

Internet věcí (IoT) propojuje miliardy zařízení – od senzorů ve výrobě, přes chytré měřiče až po zdravotnické přístroje. Tyto uzly často běží na omezeném hardwaru, používají různorodé protokoly a bývají nasazovány v prostředí s omezenou fyzickou ochranou. Výsledkem je rozmanitý a rozsáhlý attack surface, kde jedna slabina může ohrozit bezpečnost celé sítě i přidružených systémů v cloudu.

Model hrozeb pro IoT: vrstvy a aktéři

  • Vrstvy: zařízení (senzory/aktuátory), brány (edge/gateway), komunikační síť (LB, Wi-Fi, mobilní), backend (cloud/on-prem), integrační aplikace.
  • Aktéři: oportunistický útočník, insider, dodavatel/servis, sofistikovaný aktér (APT), automatizovaný botnet.
  • Cíle: získání přístupu, krádež dat, manipulace s měřením/ovládáním, narušení provozu (DoS), výpalné, pivot do IT sítě.

Typické slabiny zařízení (endpointů)

  • Nezabezpečené bootování: absence secure boot, nechráněná flash paměť, možnost zavést modifikovaný firmware.
  • Výchozí/pevná hesla: předkonfigurované účty, chybějící politika rotace či blokace po pokusech.
  • Nedostatečné šifrování a key management: klíče v plaintextu, sdílené klíče napříč zařízeními, žádná rotace.
  • Zranitelné aktualizace: OTA bez podpisu, bez kontroly integrity, absence ochrany proti rollback.
  • Nedostatky v izolaci: sdílené sběrnice bez ochrany, chybějící MPU/MMU politiky a sandboxing.
  • Insufficient logging: minimální telemetrie, nemožnost forenzní analýzy.

Fyzické a blízkoprostorové útoky

  • Fyzická manipulace: přístup k debug portům (UART/JTAG), odčítání paměti, výměna senzorů za záměrně zkreslující.
  • Side-channel: měření spotřeby, elektromagnetické emise, časování pro extrakci tajemství.
  • RF útoky: jamming, replay, downgrade vyjednávání šifer, man-in-the-middle u nezabezpečených protokolů.

Komunikační protokoly a jejich rizika

  • MQTT: pokud běží bez TLS, hrozí odposlech/manipulace; slabá autorizace témat umožní nechtěné subscriby/publish.
  • CoAP: bez OSCORE/DTLS je náchylný na spoofing a replay; i s DTLS je potřeba správná správa klíčů.
  • HTTP/REST: nedostatečné TLS či API klíče uložené v klientu; riziko útoků typu IDOR a rate abuse.
  • Bluetooth LE, Zigbee: slabé párování či sdílené klíče; možnost sniffingu, replay a key extraction.
  • LPWAN (LoRaWAN, Sigfox): nutnost oddělit network a application klíče, chránit join procedury a bránit replay.
  • Mobilní sítě (NB-IoT/LTE-M): rizika IMSI catchers, špatné řízení SIM/eSIM profilů, nedostatečná segmentace APN.

Hrozby na úrovni sítě

  • Botnety a skenování: masové zneužití slabých přihlašovacích údajů, stavba DDoS botnetů.
  • Pivot mezi IoT a IT: využití brány jako mostu do vnitřní sítě, laterální pohyb a exfiltrace.
  • DoS vyčerpáním zdrojů: malé zásoby CPU/RAM/energie; útoky na baterii a vyvolání častých wake-upů.
  • Rogue gateway: podvržené brány odposlouchávající či upravující provoz, downgrade politik.

Hrozby na úrovni brány a edge

  • Nesprávná konsolidace dat: injektování škodlivých payloadů při převodech protokolů (např. CoAP→HTTP).
  • Zanedbané aktualizace: stará jádra OS, kontejnerové obrazy bez patchů, chybějící immutability.
  • Slabá izolace workloadů: absence politik seccomp/AppArmor, sdílené privilegované kontejnery.

Cloud a backend: integrita, identita a přístup

  • Chybná autorizace: příliš široké role pro device twin, špatně nastavené scopes pro publikaci/příjem dat.
  • Integritní rizika: chybějící podpisy zpráv a firmware, nechráněné webhooks (bez HMAC/JWS, bez replay window).
  • Únik tajemství: klíče v logách/konfiguraci, sdílené účty bez rotace; nedostatečný audit trail.

Supply-chain a výrobní fáze

  • Backdoory ve výrobě: testovací účty ponechané v produkčních obrazech.
  • Komponenty třetích stran: zneužitelné knihovny, absence SBOM a řízení zranitelností.
  • Falešné či kompromitované senzory: náhrada certifikovaných dílů levnými klony bez bezpečnostních prvků.

Ochranné principy na úrovni zařízení

  • Secure boot a atestace: ověřování podpisu firmware (RSA-PSS/ECDSA), ochrana proti rollback, measured boot s TPM/TPM-like/PUF.
  • Oddělení tajemství: bezpečné úložiště (TEE/SE/HSM on-chip), nikdy neukládat klíče v plaintextu.
  • OTA s podpisem: podepisování aktualizací, A/B partitions, fail-safe a atomicita.
  • Hardening: vypnutí debug portů, zabezpečení bootloaderu heslem/klíčem, minimalizace služeb.

Identita a správa klíčů

  • Jednoznačná identita zařízení: unikátní certifikát/klíč na zařízení; žádné sdílené klíče napříč flotilou.
  • Provisioning: bezpečné zavádění (factory provisioning, zero-touch), vázání na konkrétní tenant a životní cyklus.
  • Rotace a expirování: krátká životnost certifikátů/klíčů, automatická obnova, okamžitá revokace.

Šifrování a integrita v přenosu

  • TLS 1.3/DTLS 1.3: preferovat moderní šifry s PFS (AES-GCM, ChaCha20-Poly1305), session resumption s opatrností.
  • OSCORE pro CoAP: objektová bezpečnost zpráv, ochrana proti replay a nezávislost na transportu.
  • Podpisy zpráv: JWS/COSE, HMAC s nonce a timestampem pro telemetrii a webhooks.

Autentizace a autorizace

  • mTLS: vzájemné ověření zařízení a brokeru/gateway; mapování certifikátu na identitu a role.
  • Tokeny s krátkou životností: omezené scopes, vazba na klíč (DPoP) tam, kde to dává smysl.
  • Politiky ABAC: rozhodování podle atributů (typ zařízení, lokalita, stav firmware, rizikové skóre).

Segmentace sítě a Zero Trust

  • Mikrosegmentace: oddělit IoT VLAN/VRF, striktní L3/L7 pravidla, deny by default.
  • NAC a 802.1X: ověřování na portu, MAB jako výjimka; dynamické přidělování profilů.
  • Policy enforcement v bráně: validace schémat, limity velikosti a frekvence, detekce anomálií.

Detekce a reakce: observabilita IoT

  • Telemetrie: strukturované logy, metriky a trasování (OpenTelemetry), korelační ID mezi zařízením, bránou a cloudem.
  • Behaviorální analýza: modely normálního chování, detekce outlierů, neobvyklé vzory přenosu či příkazů.
  • Forenzní připravenost: tamper-evident logy, synchronizace času (NTP/PTP s autentizací), konzervace důkazů.

Testování a kontinuální zlepšování

  • Threat modeling: STRIDE/LINDDUN pro každou novou funkcionalitu a změnu topologie.
  • SAST/DAST/IAST a fuzzing: automatizovat v CI/CD, cílit na parsování binárních protokolů a ovladače.
  • Red teaming a penetrační testy: zahrnout fyzické testy, RF analýzu a pokusy o extrakci klíčů.

Ochrana soukromí a regulace

  • Minimalizace dat: sbírat jen nezbytné údaje, edge agregace a anonymizace, maskování identifikátorů.
  • Práva subjektů údajů: dohledatelnost původu dat, možnost výmazu/deaktivace čidla, mapování dat na účely.
  • Bezpečné sdílení: řízení přístupu k datovým proudům, šifrování at rest v cloudu pomocí KMS/HSM.

Životní cyklus zařízení: od výroby po vyřazení

  • Onboarding: ověřený dodavatelský řetězec, bezpečný provisioning identity, validace integrity.
  • Provoz: pravidelné OTA, monitoring stavu a driftu konfigurací, vynucení minimálních verzí.
  • Servis a dekomise: bezpečný wipe tajemství, revokace certifikátů, odpojení z registrů.

Praktická opatření pro brány a middleware

  • Konverze protokolů s validací: schema-based filtrování, sanitizace metadat, blokace neznámých příkazů.
  • Rate limiting a kvóty: na úrovni témat/koncových bodů; prevence vyčerpání zdrojů a ochraně baterie.
  • Bezpečnostní profily: různé politiky pro senzory, aktuátory a servisní nástroje; odlišné SLO/SLA.

Checklist bezpečné IoT sítě

  • Unikátní identita a klíče na zařízení, bezpečné úložiště tajemství.
  • Secure boot, podepsané OTA s ochranou proti rollbacku.
  • TLS 1.3/DTLS 1.3 nebo OSCORE; mTLS mezi uzly a bránou.
  • Segmentace IoT sítě, NAC/802.1X, přísná firewall pravidla.
  • Validace schémat zpráv, limity frekvence a velikosti, HMAC/JWS pro webhooks.
  • SBOM, řízení zranitelností, pravidelné patchování a rotace klíčů.
  • Telemetrie a detekce anomálií, časová synchronizace s autentizací.
  • Incident response runbooky, testy obnovy a forenzní postupy.

Závěr

Bezpečnost IoT není jednorázový projekt, ale proces zahrnující hardware, firmware, síť, brány i cloud. Kombinace identit založených na silných klíčích, end-to-end šifrování, segmentace a politik zero trust, s důrazem na životní cyklus zařízení a observabilitu, výrazně snižuje rizika. Uspět lze postupnou implementací opatření podle rizika a kritičnosti, s průběžným testováním a řízením zranitelností napříč celým ekosystémem.

Related Posts

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *