КАК НЕ ДОПУСТИТЬ ПОЯВЛЕНИЯ ВРЕДОНОСНОГО КОНТЕНТА НА ПУБЛИЧНЫХ ЭКРАНАХ?

Что нужно учесть при определении рисков и требований к безопасности проектов Digital Signage. Рассказываем подробно.
Введение в программирование для плееров SpinetiX

Кибербезопасность: главное требование к проектам DS

IT-безопасность при выборе продуктов для нового проекта часто уступает место другим аспектам принятия решений. Например, цена приобретения, эксплуатационные расходы, технические характеристики и производительность. В процессе планирования системы Digital Signage со стороны заказчика участвуют отделы с совершенно разным подходом к безопасности - как правило, это маркетинг, HR и ИТ. Все это провоцирует риски того, что безопасность не будет серьезно приниматься во внимание.

С ростом популярности систем Digital Signage растет количество кибер-атак, и важно, чтобы роль и значение безопасности при планировании, внедрении и эксплуатации решений Digital Signage повысились.

Постоянно появляются новые риски. Из последних – модель услуг «Услуги по предоставлению программ-вымогателей» (RaaS). О ней много говорили в 2021 г. в связи с атакой группы «REvil», глобальной атаки на инфраструктуры компании «Kaseya», а также ее новой тактикой «двойного вымогательства». Тактика направлена на монетизацию угрозы публичного раскрытия украденной конфиденциальной информации. Поэтому крайне важно оценивать безопасность продукта не только во время покупки, но и в контексте поддержки безопасности решения со стороны вендора.

Как избежать скрытых расходов

Часто медиаплееры Digital Signage подключены к интернету напрямую. Большинство плееров работают на операционных системах, которые не поддерживаются вендорами. Слабые места таких систем хорошо известны. Это позволяет злоумышленникам получить полный удаленный доступ к устройству. Несмотря на это, регулярный мониторинг и установка обновлений часто рассматривается как дорогостоящий и ненужный процесс, которого легче избегать.

Использование небезопасного аппаратного и программного обеспечения приводит к незапланированным тратам. Известны случаи, когда различные сетевые устройства были использованы для создания ботнетов, сдаваемых в аренду с целью получения прибыли: Persirai (скомпрометировано 120 000 систем) и Mirai (скомпрометировано 600 000 систем).
ЗАПОМНИТЬ

Чтобы избежать незапланированных трат – выбирайте решения, в которых вендор гарантирует бесплатную поддержку безопасности. SpinetiX обеспечивает регулярные обновления системы и исправление уязвимостей в течение всего срока службы продукта.
Цитата из отчета Trend Micro:

«В ходе нескольких мощных DDoS-атак, Mirai, нацеленная на Linux, показала, насколько уязвима экосистема Интернета вещей. Вредоносная программа продолжает разрушительные действия, благодаря новому трояну Windows, который значительно расширяет возможности ее распространения».

В последние годы было много атак, характерных для Digital Signage. Более низкого профиля, но не менее разрушительных. Их последствия варьируются от относительно безобидного сообщения «пожалуйста, защитите свою систему» до требования выкупа, и даже показа порнографии в общественных местах, таких как станция «Вашингтон Юнион»

Три частых заблуждения лиц, принимающих решения

1
Все поставщики решений одинаково безопасны
2
Вероятность того, что кто-то воспользуется уязвимостью системы, ничтожно мала
3
Влияние нарушения безопасности на работу системы равно нулю
Риск атаки на систему безопасности высок, а последствия - неизбежны. Атака может стоить простоя, потери доходов от рекламы или имиджа вашей компании. Скомпрометированная система Digital Signage может быть использована для атаки на другую ИТ-инфраструктуру. Любое программное обеспечение имеет уязвимости. Важно их своевременно обнаруживать и исправлять.
Еще одно распространенное заблуждение – хакеров не интересует индустрия Digital Signage. На самом деле, для хакера любое незащищенное устройство является потенциальной целью. Ведь его можно использовать для получения доступа к более ценным данным внутри корпоративной сети. Самые изощренные атаки всегда в поиске самой слабой точки входа. Устройства Интернета вещей являются предпочтительной целью. Этот метод, называемый «Lateral Movement», в 2019 г. стал одной из сильнейших угроз для корпоративных сетей. Метод значительно расширил список точек входа для вымогательства или утечки данных. Несмотря на то, что автоматические обновления стали более распространенными, взлом вредоносом Sunburst в 2020 г. в очередной раз подтвердил реальность возникновения новых атак.


Нарушение безопасности решений Digital Signage влечет за собой прямые затраты.

Скомпрометированные устройства или учетные записи пользователей могут использоваться для отображения незаконного или наносящего ущерб репутации контента. Такие устройства должны быть переведены в автономный режим, восстановление обходится дорого.
Это приводит к потере доходов от рекламных или сервисных контрактов. В случаях несанкционированного доступа к личным персональным данным – уровень ущерба может быть гораздо выше.
ЗАПОМНИТЬ

Выбирайте решения, которые упрощают соблюдение требований безопасности и снижают затраты. Такие решения могут стоить дороже "на входе", но быстро окупаются за счет отсутствия дополнительных платежей за обновления безопасности и закрытия новых уязвимостей.

Контрольный список безопасности


Что следует учитывать при оценке безопасности решения




В любом Digital Signage решении есть много слабых мест, которые нужно принимать во внимание. Наиболее очевидное и простое – физическая безопасность в месте расположения экрана. Особенно когда он находится в общественном месте. Гораздо сложнее оценить безопасность генератора контента (плеера), безопасность дисплея или сети, к которой подключено оборудование.

Кроме того, важно обеспечить безопасность производства и распространения контента.

Все эти моменты следует учитывать на этапе выбора продуктов и планирования системы Digital Signage. Исправление ошибок безопасности в дальнейшем может оказаться невозможным или очень дорогостоящим.

Оценка безопасности системы - сложный процесс. Используйте приведенные ниже критерии для оценки выбранного решения Digital Signage на соответствие современным требованиям безопасности.
СО СТОРОНЫ ПОСТАВЩИКА:

Ответы на приведенные ниже вопросы покажут, правильно ли производитель решения обслуживает свой продукт с точки зрения безопасности.
Хорошо ли зарекомендовал себя поставщик решений? Имеются ли у него референсы?
Предоставляет ли производитель регулярные обновления системы безопасности?
Как долго будет обслуживаться выбранный продукт?
Есть ли у производителя отлаженный процесс выявления уязвимостей, например, по перечню общих уязвимостей и рисков (CVE)?
Как устанавливаются обновления и насколько дорого их внедрение?
Есть ли четко определенный процесс выпуска, включая примечания к выпуску со списком проблем безопасности, исправленных в обновлении?
Насколько обновления совместимостимы с предыдущими версиями? Есть ли служба поддержки, с которой вы можете связаться?
СО СТОРОНЫ РЕШЕНИЯ:

Убедитесь, что выбранное решение соответствует критериям безопасности, приведенным ниже.
На экране ровно то, что было запланировано:
Никакого вредоносного, незаконного или недоброжелательного контента
Проданная реклама показывается в согласованное время и в оговоренном месте
Система обеспечивает своевременные обновления и распространение контента
Медиаплеер не представляет угрозы для безопасности другого оборудования в сети: плеер не должен быть уязвимым местом, которое может быть использовано для кражи данных, распространения вредоносных программ или программ-вымогателей
Данные клиентов надежно защищены от несанкционированного доступа третьих лиц. В случае нарушения безопасности или краже данных, есть возможность предоставить материалы для судебного расследования
Обновления совместимы с предыдущими версиями. Есть служба поддержки, с которой вы можете связаться в любой момент
Решение соответствует политике ИТ-безопасности заказчика. Обеспечена дополнительная защита сети заказчика за счет поддержки протоколов корпоративного уровня

Цена безопасности

Все это имеет свою цену, и неудивительно, что безопасное решение обходится дороже, хотя, конечно, обратное не является верным. Разработка безопасных систем, обслуживание безопасности платформы и активный мониторинг уязвимостей требуют много времени и, следовательно, дополнительных затрат.

После того как вы выбрали поставщика решения, важно продолжать придерживаться принципов безопасности при внедрении и дальнейшей эксплуатации. Уменьшите вероятность атаки. Для этого отключите ненужные службы, не предоставляйте услуги по сети. Только если это действительно необходимо. Не размещайте свои устройства непосредственно в Интернете и не используйте брандмауэр для защиты сети. Убедитесь, что все операторы прошли обучение, используйте надежные и уникальные пароли.
РЕЗЮМЕ
Если с самого начала проекта ответить себе на вопросы, связанные с безопасностью, это облегчит процесс выбора правильных продуктов и снизит риск появления атаки

Об авторах:

Жан-Клод Мишелу,
Вице-президент по исследованиям и разработкам в SpinetiX

В SpinetiX Жан-Клод участвует в разработке крупномасштабных сетевых программных инфраструктур и управлении сложными технологическими проектами. Он возглавляет проекты компании по разработке инновационных продуктов.

После окончания Политехнического университета в Париже (X94) Жан-Клод занимал многочисленные исследовательские и инженерные должности в стартапах Силиконовой долины, таких как AltaVista и BigVine. Затем он стал соучредителем VisioWave, где в качестве вице-президента по исследованиям и разработкам и главного архитектора программного обеспечения разработал технологию потоковой передачи видео, которая обеспечивает безопасность сотен систем общественного транспорта по всему миру.
Диего Санта Круз, кандидат наук
Архитектор технологий в SpinetiX

Диего занимается безопасностью продуктов SpinetiX уже более 10 лет, прилагая все усилия для предоставления безопасных, надежных и должным образом интегрируемых продуктов. Он является соучредителем SpinetiX и отвечает за развитие системного уровня в компании.

Основной опыт Диего охватывает разработку систем и ядер, сетевые протоколы, безопасность, ИТ и электронику, а также системы изображения и видео. Он также является автором нескольких патентов и одним из первых пользователей Linux, был участником комитетов JPEG и MPEG.

Полезные ссылки:

Пришлите мне отчет по анализу защищенности плееров SpinetiX от компании BASTION
ПЛЕЕРЫ
СОФТ
Смотреть далее
ГОТОВЫЙ КОНТЕНТ