Verkadaハッキングの最近のニュース 150,000万台の監視カメラに違反したことで、セキュリティの世界に衝撃波が送られました。 エッジコンピューティング業界の私たちにとって、それは単に私たちがすでに知っていることを強調しました—分散デバイスの保護は ハード. インテリジェントシステムがますますこの分野に拡大するにつれて、データセンターや安全な通信施設などの境界のある場所で数十年にわたって使用してきたのと同じセキュリティスタンスとツールを活用し続けると、この種の攻撃がますます増えるでしょう。

この記事では、業界で広く引用されているエッジ違反のいくつかを取り上げ、エッジの固有の課題に最適化されたゼロトラストセキュリティモデルがそれらの発生を防ぐのにどのように役立つかを強調します。

教訓

ヴェルカダを彷彿とさせるハックで、2016年 みらいウイルス 何百万ものカメラに感染し、それらをボットに変えて、上流のネットワークに大規模なDDOS攻撃を仕掛け、米国北東部のインターネットを一時的に停止させました。 開発者がこれらのセキュリティクレデンシャルを簡単に変更したり、変更することさえできなかったため、ユーザー名とパスワードの組み合わせがXNUMX未満程度の何かがこれらすべてのカメラに組み込まれました。 多くの場合、これは、セキュリティよりもユーザビリティとユーザーの即時満足を優先するためでした。

別の一般的に引用される例は、大規模なものです 標的型データ侵害 2014年には、攻撃者がネットワーク化されたHVACシステムを介して何百万もの顧客のクレジットカード情報にアクセスした結果でした。 ハッカーはHVAC請負業者から資格情報を盗み、HVACが存在する運用ネットワークがITネットワークから適切にセグメント化されていなかったため、支払いシステムにアクセスできました。

最後の例では、2010年 Stuxnet違反 USBフラッシュドライブを使用してネットワークのエアギャップをバイパスすることにより、プロセス制御システムにロードされたマルウェアが関与していました。 その後、ワームは内部プロセス制御ネットワーク全体に伝播し、産業用PCでSiemensS7ソフトウェアをスキャンしました。 成功すると、ウイルスは、オペレーターに通常の操作のビューを提供しながら、産業プロセスを制御するPLCに予期しないコマンドを送信します。

産業システムの侵害に焦点を当てたStuxnetのようなウイルスは、攻撃が生産の即時損失、さらに悪いことに生命の損失につながる可能性があるため、特に懸念されています。 これは、プライバシー、財務データ、およびIPが侵害され、通常は長期間にわたって発生するITシステムの侵害と比較されます。

分散エッジコンピューティングを保護するための課題

これらの例を念頭に置いて、セキュリティをそのような課題にしていることわざのエッジのユニークな点は何ですか？

• 規模：IoTとエッジコンピューティングの価値の一部は、組織全体でデバイスを接続し、運用の全体像を提供することから得られます。 時間の経過とともに、エッジデバイスの展開は数兆にまで拡大し、セキュリティと管理のための従来のデータセンターソリューションはこの種の規模向けに設計されていません。
• 物理的およびネットワーク境界の欠如： 分散エッジコンピューティングリソースが、XNUMXつの物理的な壁や従来のネットワーク境界を防御することはめったにありません。 これには、これらのリソースが物理的に改ざんされる可能性があり、防御のために所有されているネットワークに依存しないことを前提としたセキュリティアプローチが必要です。
• 異質性： エッジは、物理的な世界とデジタルの世界の融合にあります。 テクノロジーの非常に異質なランドスケープに加えて、ITとOTにまたがる多様なスキルセット（ネットワークおよびセキュリティ管理者、DevOps、本番、品質および保守エンジニア、データサイエンティストなど）も考慮する必要があります。
• さまざまな優先順位： OTとITはエッジで収束するため、各組織のしばしば相反する優先順位を考慮する必要があります。 OTは通常、稼働時間と安全性を重視しますが、ITはデータのセキュリティ、プライバシー、およびガバナンスを優先します。 セキュリティソリューションを成功させるには、これらの優先順位のバランスをとる必要があります。
• 制約のあるデバイスとレガシーシステム： 多くのIoTデバイスは、暗号化などのセキュリティ対策をホストするにはリソースに制約があります。さらに、この分野のレガシーシステムの幅広いインストールベースは、インターネットはもちろん、より広範なネットワークに接続することを意図したものではありませんでした。 これらの制限があるため、これらのデバイスとシステムは、信頼のルートや暗号化などの機能を提供する最初の防衛線として機能するために、すぐ上流のより高性能な計算ノードに依存する必要があります。

EVE-OS：分散エッジコンピューティング用に構築されたゼロトラストファンデーション

Verkadaハックとその前身は、エッジコンピューティングには、エッジの固有のセキュリティ要件に対応するゼロトラストアーキテクチャが必要であることを明確にしています。 ゼロトラストは基本的なテナントから始まります—誰も信用せず、すべてを検証します。

プロジェクトEVE LinuxFoundationの2019年に開始されました LFエッジ 分散エッジコンピューティングワークロードをホストするための、オープンソースでベンダーにとらわれない標準化された基盤を提供することを目的とした組織。 Project EVEは、リモートライフサイクル管理用のオープンでベンダーに依存しないAPIを備えた、軽量で安全なオープンなユニバーサルなLinuxベースの分散エッジオペレーティングシステムであるEVE-OSによって駆動されます。 このソリューションは、任意のハードウェア（x86、Arm、GPUなど）で実行でき、さまざまなハイパーバイザーとコンテナーランタイムを活用して、アプリケーション、ホストハードウェア、およびネットワーク間のポリシーベースの分離を保証します。 Project EVEコミュニティは、現在60人を超えるユニークな開発者です。

EVE-OSゼロトラストコンポーネント

EVE-OSゼロトラストセキュリティフレームワークの個々のコンポーネントを見てみましょう。

• 信頼のハードウェアルート： EVE-OSは、ハードウェアセキュリティモデル（TPMチップなど）で生成された秘密鍵の形式で、工場またはサプライチェーンで作成された暗号化IDを活用します。 このIDはそのチップを離れることはなく、信頼のルートは追加のキーを格納するためにも使用されます（たとえば、Azure IoT Edgeなどのアプリケーションスタックの場合）。 次に、公開鍵はリモートコンソールに保存されます。
• ユーザー名とパスワードなし： EVE-OSを実行しているエッジコンピューティングノードは、IDにシリコンベースのトラストアンカー（TPMなど）を利用し、リモートコントローラーと直接通信して自身を検証します。 これにより、フィールド内の各エッジデバイスのユーザー名とパスワードが不要になり、代わりに、すべてのアクセスが集中コンソールのロールベースのアクセス制御（RBAC）によって管理されます。 エッジコンピューティングノードに物理的にアクセスできるハッカーは、デバイスにローカルでログインする方法がありません。
• 分散ファイアウォール： EVE-OSには、きめ細かいソフトウェア定義のネットワークコントロールが組み込まれているため、管理者は、ポリシーに基づいて、アプリケーション、コンピューティングリソース、およびその他のネットワークリソース間のトラフィックを管理できます。 分散ファイアウォールを使用して、エッジノード上のアプリケーションとオンプレミスおよびクラウドシステム間の通信を管理し、ネットワークトラフィックの異常なパターンを検出できます。 ベアメタルソリューションとして、EVE-OSは、USB、イーサネット、シリアルなどのエッジデバイスの未使用のI / Oポートをリモートでブロックする機能も管理者に提供します。 ローカルログイン資格情報がないことと相まって、この物理的なポートブロッキングは、USBスティックを利用したインサイダー攻撃に対する効果的な対策を提供します。
• 階層化されたセキュリティモデル： これらのツールはすべて、人、プロセス、およびテクノロジーを考慮して多層防御を確立するために、精選された階層化された方法で実装されます。
• 一元管理： EVE-OS内のすべての機能は、選択したユーザーのコンソールからリモートでアクセスされる、ベンダーに依存しないオープンなAPIを介して公開されます。 エッジノードは、一方的なインバウンド命令をブロックします。代わりに、スケジュールされた間隔で集中管理コンソールにアクセスし、更新を実装する前に安全な接続を確立します。

予防のオンス>治療のポンド

上記のセキュリティ違反の例に戻ると、システムがEVE-OS上で実行されている場合、これらの攻撃の影響はどのようになりますか？ 要するに、違反を防止するか、少なくともすぐに発見して軽減するための複数の機会があったでしょう。

• 物理的な違反なし： VerkadaとMiraiの例では、エントリポイントはカメラのオペレーティングシステム自体である必要があり、上位のEVE-OS上で単独で実行されていました。 ただし、EVE-OS自体には直接ログイン機能がないため、これは不可能でした。 ターゲットの例でも同じ利点が適用され、Stuxnetの場合、管理者はローカルの産業用PCのUSBポートをロックダウンして、物理的な内部者の攻撃を防ぐことができます。
• 傍受されたネットワーク通信： これらすべての攻撃例では、EVE-OS内の分散ファイアウォールがアプリケーションの通信を制限し、侵害されたデバイスが明示的に許可されていないシステムと通信しようとする試みを傍受します。 さらに、ターゲットデバイスのすぐ上流に展開されたEVE-OSを実行しているエッジコンピューティングノードは、追加のセグメンテーションと保護を提供します。
• 監視対象のアクティビティ： EVE-OSは、すべてのハッカーの活動の詳細なログを提供していました。 ハッカーが、侵害したオペレーティングシステムが実際にEVE-OS上で仮想化されていることに気付いた可能性はほとんどありません。
• 自動検疫： コントローラ内で確立され、EVE-OSによってローカルで適用されるセキュリティポリシーは、ソースでこれらの各デバイスによる異常な動作を検出し、すぐにネットワークの他の部分からそれらを封鎖し、ハッカーがさらなる損害を与えるのを防ぎます。
• ワンクリックの軽減： ダッシュボードからの一元管理により、アプリケーションとそのオペレーティングシステム（カメラOSなど）の更新を、EVE-OSを搭載したエッジハードウェア全体にワンクリックで展開できた可能性があります。 一方、EVE-OSより上で実行されているハッキングされたアプリケーションオペレーティングシステムは、開発者によるその後のフォレンジック分析のために保存されます。
• 評判の維持： 　 ゼロトラストアプローチ、包括的なセキュリティポリシー、および即時通知により、これらの各違反の範囲と損害が大幅に制限され、攻撃の直接的な影響を軽減するだけでなく、会社のブランドも維持されます。

私たちは一緒にこれにいます

エッジコンピューティングソリューションの展開と維持に必要な多様なテクノロジーと専門知識は、セキュリティを特に困難にする可能性があります。 ベンダーに中立なオープンソースコラボレーションを通じてEVE-OSを開発するという共有テクノロジーへの投資は、高レベルの透明性を提供し、ハードウェア、ソフトウェア、およびサービスの専門家のエコシステムを構築するためのオープンアンカーポイントを作成するため重要です。 EVE-OS内のオープンなベンダーニュートラルAPIは、ロックインを防ぎ、誰でも独自のコントローラーを構築できるようにします。 この点で、EVE-OSは「AndroidoftheEdge」と考えることができます。

複雑なものを単純化する

最後に、すべての潜在的な脅威ベクトルに対処するプロセスでは、ユーザーがキー保護をバイパスしようとしたり、接続されたソリューションの使用をまったく拒否したりするほどセキュリティ手順を煩雑にしないことが重要です。 この分野では非常に多様なスキルセットがあるため、セキュリティの使いやすさはIoTとエッジコンピューティングで特に重要です。 一例では、現場でハッキングされた多くのスマートカメラの開発者が、ユーザーがパスワードの変更をバイパスして即座に満足できるようにした一方で、EVE-OSは、シリコンの作成を自動化することにより、セキュリティを損なうことなく同様のゼロタッチユーザビリティを提供しますオンボーディング中のベースのデジタルID。

理想的なソリューションは、分散エッジコンピューティングソリューションの展開と調整のライフサイクル全体で使いやすさを合理化するように設計されているため、ユーザーは自信を持って接続し、ビジネスに集中できます。 大規模な攻撃対象領域が 2020ソーラーウィンズハック 一元化されたITデータセンターとエッジでした。これは、複雑なサプライチェーンがネットワークにどのようにアクセスしているかを理解できるオープンで透過的な基盤を持つことの重要性の明確な例です。

締めくくりに

分散エッジでのセキュリティは、ゼロトラストの基盤、高度なユーザビリティ、およびオープンコラボレーションから始まります。 業界は協力して当て推量を排除し、お客様がハードウェア、アプリケーション、クラウドを選択してエッジコンピューティングの展開を安全に調整できるようにしていますが、必要なIT知識は限られています。 目標は、ユーザーが分散エッジコンピューティングを採用して、不必要なリスクを冒すことなく、新しいエクスペリエンスを推進し、ビジネスの成果を向上できるようにすることです。

でも公開 https://medium.com/zededa/how-do-we-prevent-breaches-like-verkada-merai-stuxnet-and-beyond-it-starts-with-zero-trust-c46b24cf456e

コインスマート。 BesteBitcoin-ヨーロッパのBörse
ソース：https：//hackernoon.com/zero-trust-strategies-to-combat-breaches-like-mirai-stuxnet-verkada-and-beyond-zmx33zs？source = rss