Зачем мы отключили умные устройства в корпоративной сети

от

Общая поверхность атаки — не отвлечённая метрика, а сумма доверия ко всем подключённым к сети объектам. Каждое «умное» устройство, это акт такого доверия, чаще всего неоправданного. Отключение кажется радикальным шагом, но для многих организаций это первый и единственный осмысленный способ взять под контроль то, чем они на самом деле не управляют. https://seberd.ru/5133

Почему мы отключили «умные» устройства

История началась не с масштабного аудита безопасности, а с неожиданного инцидента. Система мониторинга трафика зафиксировала аномальные DNS-запросы с IP-адреса, который не был закреплён ни за одним из серверов. Расследование привело не в серверную, а в переговорную комнату, где стоял «умный» телевизор последней модели, используемый для презентаций. Он, оказывается, не только транслировал изображение, но и в фоне постоянно «звонил домой», обновлял прошивку и отправлял телеметрию на серверы производителя, расположенные за пределами страны. Мы не могли проверить целостность его ПО, не контролировали его сетевую активность и не могли гарантировать, что его уязвимости не станут точкой входа в корпоративную сеть. Это был не единичный случай, а симптом системной проблемы.

В тот момент стало очевидно: поверхность атаки, это не только наши серверы и рабочие станции. Это любой объект, получивший доступ к сети. «Умный» холодильник в столовой, система «умного» освещения, медиаплееры, IP-камеры с облачным управлением, даже кофе-машина с Wi-Fi — каждый из них представляет собой полноценный компьютер с операционной системой (часто устаревшей и не обновляемой), сетевым стеком и потенциальными уязвимостями. Производители этих устройств ориентированы на удобство и функциональность, а не на безопасность в корпоративном понимании 152-ФЗ и требований ФСТЭК.

Мы приняли решение не пытаться «залатать» каждый такой девайс, это было бы сизифовым трудом, — а кардинально сократить их количество. Целью было не просто снизить абстрактный риск, а вернуть себе реальный контроль над периметром сети, который был размыт десятками автономных «чёрных ящиков».

Что мы считали «умным» устройством и подлежащим отключению

Критерий был прост: любое устройство, которое для своей основной или дополнительной функции требует постоянного или эпизодического выхода в интернет или даже просто в локальную сеть, и при этом не является управляемым IT-отделом стандартными средствами (агентами, политиками групповой безопасности, системами мониторинга). Мы составили категории:

  • Бытовая IoT-техника: Умные колонки, телевизоры, медиаплееры, роботы-пылесосы, климатическая техника с Wi-Fi.
  • Офисная «гик»-техника: Светильники, розетки и выключатели с дистанционным управлением, цифровые фоторамки, «умные» доски.
  • Оборудование с облачными функциями: Принтеры и МФУ, которые отправляют отчёты производителю; IP-камеры, записывающие в облако; системы контроля доступа, синхронизирующие логи через внешние серверы.
  • Персональные гаджеты сотрудников, подключаемые к корпоративному Wi-Fi для личных целей: умные часы, фитнес-браслеты, личные ноутбуки.

Ключевым фактором было отсутствие агента безопасности. Мы не могли установить на «умный» чайник EDR-агент или проверить его на соответствие базовому профилю ФСТЭК. Его сетевая активность была для нас слепым пятном.

Как мы это делали: техническая и организационная сторона

Процесс не сводился к простому отключению вилки. Мы разбили его на этапы, чтобы минимизировать операционные риски.

1. Инвентаризация и картографирование

Мы использовали сочетание пассивных и активных методов. Анализ логов DHCP-серверов, NetFlow/sFlow-данных с коммутаторов и запросов к внутреннему DNS позволил выявить устройства по их hostname, MAC-адресам и шаблонам запросов (например, запросы к `*.iot.company.com` или `*.cloud-camera-vendor.ru`). Активное сканирование сети (с осторожностью, чтобы не нарушить работу чувствительного оборудования) с помощью инструментов вроде Nmap по специфическим сигнатурам помогло найти устройства, которые не проявляли активность в момент пассивного сбора.

Результатом стала карта сети, на которой все «неменеджерные» устройства были выделены красным.

2. Оценка критичности и поиск альтернатив

Для каждого устройства мы задавали вопросы:

  • Какую бизнес-функцию оно выполняет? (Оказалось, что часто — только «удобство» или «крутость».)
  • Существует ли управляемый аналог? (Вместо умной розетки — реле, управляемое через контроллер в защищённом сегменте; вместо облачной камеры — локальная IP-камера, записывающая на внутренний NVR.)
  • Что будет, если его отключить? (Для большинства устройств — ничего, кроме недовольства одного-двух сотрудников.)

3. Изоляция и отключение

Там, где отключение было невозможно по операционным причинам (например, специализированное лабораторное оборудование), мы шли на компромисс — жёсткую сегментацию. Устройства помещались в отдельный VLAN с изолированным доступом. На границе этого сегмента настраивались строгие ACL (Access Control Lists), запрещающие любое взаимодействие с основными сегментами сети, кроме минимально необходимого для выполнения функции (например, доступ к конкретному порту на конкретном сервере). Весь исходящий интернет-трафик из таких VLAN блокировался.

Остальные устройства были физически отключены от сети. В некоторых случаях мы просто отключали у них Wi-Fi-модуль или выдёргивали Ethernet-кабель.

4. Изменение политик и информирование сотрудников

Мы внесли изменения в политику информационной безопасности, прямо запрещающую подключение к корпоративной сети неуправляемых устройств. Это подкрепили техническими мерами: на корпоративном Wi-Fi включили 802.1X с аутентификацией по сертификатам, что автоматически блокирует анонимные устройства. Сотрудникам была разослана памятка с чёткими объяснениями: почему это важно для безопасности компании в целом и как получить санкционированную альтернативу, если она действительно нужна для работы.

Что изменилось: количественные и качественные результаты

Через месяц после завершения основной фазы мы провели повторный аудит.

  • Количественно: Количество активных IP-адресов в основных сегментах сети сократилось на 18%. В логах систем обнаружения вторжений (СОВ) уменьшилось количество «шумных» событий низкого уровня риска, связанных со сканированием портов или аномальными запросами от внутренних устройств.
  • Качественно: Исчезли «слепые зоны». Теперь мы могли с уверенностью сказать, что знаем обо всех устройствах в ключевых сегментах сети. Это резко упростило расследование инцидентов и выполнение требований регуляторов о предоставлении полной схемы сети. Поверхность атаки сузилась до управляемых и контролируемых точек.
  • Неожиданный бонус: Снизилась нагрузка на сетевую инфраструктуру и канал интернет. Фоновый трафик телеметрии, обновлений и «звонков домой» исчез.

Почему это важно в контексте 152-ФЗ и ФСТЭК

Требования регуляторов, такие как приказы ФСТЭК, часто фокусируются на защите информационных систем (ИС). Но современная корпоративная сеть, это уже не просто совокупность ИС. Это гибридная среда, где критичная бизнес-логика соседствует с потенциально уязвимыми бытовыми устройствами. При проверке регулятор может задать вопрос: «А это что у вас в сети?» И если ответ — «умный чайник в кабинете директора», это создаёт серьёзные репутационные и, возможно, правовые риски, демонстрируя отсутствие контроля над периметром.

Принцип минимизации привилегий и сегментации, лежащий в основе многих требований ФСТЭК, в полной мере применим и к «умным» устройствам. Они не должны иметь свободный доступ к ресурсам, содержащим персональные данные или критичную для бизнеса информацию. Кардинальное сокращение их количества или жёсткая изоляция, это прямое и самое эффективное выполнение этого принципа.

Что делать, если отключить совсем нельзя

В промышленных, исследовательских или медицинских организациях часто встречается специфическое оборудование с сетевыми интерфейсами, которое нельзя просто выдернуть из розетки. Алгоритм действий для таких случаев:

  1. Полная изоляция в отдельный сегмент сети (VLAN/подсеть). Это базовый и обязательный шаг.
  2. Микросергментация на уровне фаервола. Настройка правил, разрешающих устройству общаться только с конкретным IP-адресом и портом сервера, который ему необходим (например, сервер сбора телеметрии), и ни с чем более.
  3. Мониторинг трафика. Установка датчиков СОВ или анализаторов трафика на границе сегмента для выявления любой аномальной активности, которая может свидетельствовать о компрометации устройства.
  4. Договорённости с вендором. Включение в договоры на поставку и обслуживание оборудования пунктов об ответственности за безопасность, предоставлении обновлений безопасности и процедур проверки целостности ПО.

Вывод

Отключение «умных» устройств, это не про борьбу с технологиями. Это про восстановление суверенитета над своей сетью. В российском IT-контексте, где импортозамещение и суверенизация стали ключевыми трендами, странно оставлять в своей инфраструктуре «чёрные ящики», управляемые из-за рубежа и неподконтрольные внутренним политикам безопасности. Каждое такое устройство, это дыра в периметре, доверенная третья сторона, о которой вы ничего не знаете. Снижение поверхности атаки начинается не со сложных систем класса SIEM, а с простого, почти физического действия: взять и отключить то, в чём вы не уверены. Часто это оказывается самым эффективным и быстрым способом повысить реальный, а не формальный, уровень безопасности.

Оставьте комментарий