کسب و کارها میتوانند از مزایای اینترنت اشیا (IoT) بهره ببرند. اما تجهیزات اینترنت اشیا بیشتر و اکوسیستم پیچیدهتر اینترنت اشیا نیز به معنای افزایش آسیبپذیریهای امنیتی است.
متأسفانه، بسیاری از شرکتها هنوز اتخاذ استراتژی امنیت سایبری اینترنت اشیا را به تعویق میاندازند و زمانی متوجه خطرات امنیتی اینترنت اشیا میشوند که خیلی دیر شده است. و COVID-19 این تهدیدها را برجستهتر کرده است. توسعه یک درک کامل از مسائل امنیت سایبری اینترنت اشیا و اجرای یک استراتژی برای کاهش خطرات مرتبط به حفاظت از کسب و کار شما و ایجاد اعتماد در فرآیندهای تحول دیجیتال کمک خواهد کرد.
در اینجا، شش چالش مهم امنیتی اینترنت اشیا را بررسی خواهیم کرد:
• حفاظت از رمز عبور ضعیف
• عدم وجود پچها و آپدیتهای منظم و ضعف در مکانیزم به روز رسانی
• رابط های ناامن
• حفاظت ناکافی از داده ها
• مدیریت ضعیف دستگاه اینترنت اشیا
• شکاف مهارت های اینترنت اشیا
ابزارهای بیشماری کوههایی از اطلاعات را ارائه میکنند که کسبوکارها میتوانند از آنها استفاده کنند، تجزیه و تحلیل کنند و بر اساس آن عمل کنند. تحول دیجیتال ابتدا شامل اتصال دستگاه ها و سپس پیاده سازی تجزیه و تحلیل برای تبدیل داده ها به ارزش افزوده است. جای تعجب نیست که همهگیری جهانی نشان داده است که استراتژی دیجیتال چقدر برای انعطافپذیری کسبوکار حیاتی است.
گزارشی که توسط IDC انجام شده است نشان میدهد که عجله برای استقرار فناوریهای دیجیتال جدید اغلب بدون اقدامات امنیتی مناسب صورت میگیرد. اغلب آسیبپذیریهایی پیرامون امنیت زیرساختهای جدید IoT و شکافهایی در حفاظت از سیستمهای قدیمی وجود دارد که ممکن است به محیطهای بیشتری متصل شوند. در این حالت ، نقض یک دستگاه اینترنت اشیا حتی ممکن است منجر به دسترسی غیرمجاز به سیستمهای قدیمی شود.
1. حفاظت از رمز عبور ضعیف
اعتبارنامههای رمزگذاری شده و جاسازی شده برای سیستم های فناوری اطلاعات و به همان اندازه برای دستگاههای اینترنت اشیاء خطرناک هستند. اعتبارنامه های قابل حدس یا رمزگذاری شده برای هکرها برای حمله مستقیم به دستگاه، یک سود بادآورده است. درصورت عدم تغییر رمزهای عبور پیش فرض، مهاجم به راحتی رمز عبور دستگاه را حدس می زنند. بدافزار Mirai نمونه خوبی از چنین حمله ای است.
Mirai با تلاش موفقیت آمیز برای ورود به سیستم با استفاده از جدولی متشکل از 61 نام کاربری و رمز عبور پیشفرض، دستگاههای IoT را از مسیریابها گرفته تا دوربینهای ویدئویی و ضبطکنندههای ویدئویی را آلوده کرد.
در ژانویه 2020، ZDNet شرح داد که چگونه یک هکر لیستی از اعتبارنامه Telnet را برای 515000 سرور، روتر و دستگاه IoT منتشر کرد. این تخلیه رمز عبور با استفاده از نامهای کاربری و رمزهای عبور پیشفرض و از پیش تعیینشده کارخانه و حدس زدن آسان رمزهای عبور به دست آمد.
آنها باید شامل تنظیمات پیشفرض انعطافپذیر و ایمن و بهویژه مکانیسمهای اختیاری مانند پیچیدگی رمز عبور، انقضای رمز عبور، قفل کردن حساب، رمز عبور یکبار مصرف باشند که کاربران را مجبور میکند اعتبار پیشفرض را هنگام راهاندازی دستگاه تغییر دهند. مدیران شبکه با استفاده از راهحلهای تطبیق یافته IoT و مدیریت دسترسی، طیف گستردهای از ویژگیهای احراز هویت دستگاه برای کاهش قرار گرفتن در معرض حملات IoT را دارند.
احراز هویت دو مرحلهای، احراز هویت چند مرحلهای، احراز هویت بیومتریک یا گواهیهای دیجیتال (با استفاده از زیرساخت کلید عمومی) میتواند تضمین کند که هیچکس نمیتواند دسترسی غیرمجاز به دستگاههای متصل داشته باشد. گارتنر خاطرنشان میکند که مدیریت دسترسی ممتاز (PAM) برای همه دستگاهها برای کاهش مشکلات امنیتی اینترنت اشیا و اطمینان از هک شدن شبکههای اینترنت اشیا ضروری است.
2. فقدان پچها و آپدیتهای منظم و مکانیزم ضعیف به روز رسانی
محصولات اینترنت اشیا با در نظر گرفتن سهولت استفاده و اتصال توسعه یافته اند. آنها ممکن است در زمان خرید ایمن باشند اما زمانی که هکرها مسائل امنیتی یا باگ های جدیدی را پیدا کنند آسیب پذیر می شوند. اگر با بهروزرسانیهای منظم برطرف نشوند، دستگاههای اینترنت اشیا به مرور زمان در معرض خطر قرار میگیرند.
اجازه دهید این نگرانی امنیتی IoT را با Satori توضیح دهیم. Satori بدافزار دیگری است که مشابه Mirai منتشر شده و عمل می کند. Satori یک کرم را آزاد می کند تا عفونت از دستگاهی به دستگاه دیگر بدون تعامل انسانی سرایت کند.
• اول اینکه، فقط از طریق حدس زدن اعتبار منتشر نمی شود، بلکه مشخص شده است که آسیب پذیری های شناخته شده را در محدوده خاصی از روترهای WiFi هدف قرار می دهد.
• دوم، Satori معماریهای پردازندههای هوشمند را که قبلاً توسط بدافزار IoT، SuperH و ARC نادیده گرفته شده بودند، آلوده میکند.
سازندگان مسئول باید تلاش بیشتری برای ایمن سازی کامل نرم افزار یا سیستم عامل تعبیه شده در دستگاه هایشان داشته باشند. آنها بهروزرسانیهای امنیتی را برای دستگاههای IoT خود در صورت کشف آسیبپذیریها منتشر میکنند. سپس شرکتها میتوانند بهروزرسانیهای امنیتی حیاتی را برای دستگاههای IoT در این زمینه ارائه کنند.
مدیران شبکه باید به مکانیسمهای بهروزرسانی توجه ویژهای داشته باشند که تنها شامل بهروزرسانیهای امضا شده و مبادلات رمزگذاریشده برای صحت باشد. بهروزرسانیهای غیرمنتظره سختافزار به توسعهدهندگان درسهای سختی در مورد اهمیت استراتژی برنامهریزیشده سفتافزار در هوا (FOTA) آموخته است.
جای تعجب نیست که قوانین امنیت سایبری اینترنت اشیاء کالیفرنیا و اورگان (قابل اجرا از 1 ژانویه 2020) یا قانون پیشنهادی امنیت سایبری اینترنت اشیاء بریتانیا (2020) دستگاه های اینترنت اشیاء فروخته شده در قلمرو مربوط به خود را ملزم می کند که دارای "ویژگی های امنیتی منطقی" مانند رمزهای عبور منحصر به فرد ،بهروزرسانیهای امنیتی منظم و افشای آسیبپذیریها باشند.
3. رابط های ناامن
همه دستگاههای اینترنت اشیا دادهها را پردازش کرده و با هم ارتباط برقرار میکنند. آنها به برنامهها، سرویسها و پروتکلها برای ارتباط نیاز دارند و بسیاری از آسیبپذیریهای اینترنت اشیا از رابطهای ناامن سرچشمه میگیرند. آنها مرتبط با وب، API برنامه، رابط های ابری و تلفن همراه هستند و می توانند دستگاه و داده های آن را به خطر بیندازند. مشکلات رایج عبارتند از فقدان/یا نقص در احراز هویت دستگاه و مجوز کافی و رمزنگاری ضعیف یا نبود رمزنگاری است.
راه حلها شامل:
• احراز هویت دستگاه. از آن برای دسترسی ایمن به یک دستگاه متصل و دادههایی که تولید میکند، فقط برای افراد و برنامههای مجاز ، استفاده میشود.
• گواهی های دیجیتال. آنها یک نهاد دیجیتالی (دستگاه اینترنت اشیا، کامپیوتر و غیره) را قادر می سازند تا داده ها را به طور ایمن به اشخاص مجاز منتقل کند. گواهیهای X509 فرمتهای گواهی استاندارد هستند که معمولاً توسط یک مرجع معتبر گواهی امضا میشوند. آنها به ما این امکان را می دهند که هر دستگاه IoT را به طور منحصر به فرد شناسایی و تأیید کنیم.
اولین کاری که باید انجام دهید ساخت اپلیکیشن ها با استفاده از آخرین استانداردها و پروتکل های امنیتی است. انواع خطمشیها، استانداردها، بهترین شیوهها و دستورالعملها از منابع مختلف در دسترس هستند.
در ایالات متحده، مؤسسه ملی استانداردها و فناوری (NIST) در ژانویه 2020 دومین پیش نویس خود را از «توصیههایی برای سازندگان دستگاههای اینترنت اشیا: فعالیتهای بنیادی و پایه قابلیت امنیت سایبری دستگاه اصلی» منتشر کرد.
آژانس اتحادیه اروپا برای امنیت شبکه و اطلاعات (ENISA) فعالانه به سیاست امنیت سایبری اروپا کمک می کند. ENISA در حال ایجاد یک چارچوب گواهی برای دستگاه های IoT است. ENISA اخیراً "روش های خوب برای امنیت اینترنت اشیا - چرخه عمر توسعه نرم افزار امن" (نوامبر 2019) را منتشر کرده است. این سند نحوه پیاده سازی امنیت با طراحی برای اینترنت اشیا را توضیح می دهد. این به عنوان مکملی برای انتشار خود در سال 2017 در مورد "توصیه های امنیتی پایه برای امنیت اینترنت اشیا" آمده است.
این نتیجه قانون بهبود امنیت سایبری اینترنت اشیا ایالات متحده است که در 4 دسامبر 2020 به یک قانون عمومی تبدیل شد و قانون امنیت سایبری (مقررات 2019/881 از 17 آوریل 2019) که در 27 ژوئن 2019 لازم الاجرا شد و در اتحادیه اروپا و انگلستان به قانون تبدیل شد.
4. حفاظت ناکافی از داده ها (ارتباطات و ذخیره سازی)
بیشترین نگرانی ها در امنیت داده های برنامه های کاربردی Iot ناشی از ارتباطات ناامن و ذخیره سازی داده ها است. یکی از چالش های مهم برای حریم خصوصی و امنیت اینترنت اشیا این است که می توان از دستگاه های در معرض خطر برای دسترسی به داده های محرمانه استفاده کرد.
در سال 2017، محققان Darktrace فاش کردند که یک حمله پیچیده به یک کازینو ناشناس کشف کرده اند. هکرهای سایبری با دسترسی به شبکه از طریق یک ترموستات متصل به مخزن ماهی، به پایگاه داده آن دسترسی پیدا کردند. زمانی که آنها در شبکه جای پایی پیدا کردند، حدود 10 گیگابایت داده استخراج شده بود. اهمیت ذخیره سازی امن داده ها و جداسازی شبکه هرگز به این اندازه مشهود نبوده است.
یک مسئله حریم خصوصی اینترنت اشیا: عروسک کایلا (2014-2017): "کایلا، آیا می توانم به تو اعتماد کنم؟" پاسخ: "نمی دانم."
آژانس شبکه فدرال آلمان، کایلا را به عنوان "دستگاه جاسوسی غیرقانونی" طبقه بندی کرد. دسترسی به عروسک از طریق بلوتوث کاملاً ناامن و بدون محافظت با رمز عبور بود. این موضوع هم حریم خصوصی و هم امنیت کودکان را به خطر انداخت. این زنگ خطری برای صنعت اسباب بازی های هوشمند بود.
رمزنگاری روشی موثر برای مقابله با این چالش است. رمزگذاری داده ها مانع از مشاهده داده ها در صورت دسترسی غیرمجاز یا سرقت می شود. این روش معمولاً برای محافظت از داده ها در حال انتقال استفاده می شود و به طور فزاینده ای برای محافظت از داده ها در حالت سکون نیز استفاده می شود.
رمزگذاری و رمزگشایی داده ها اطمینان می دهد که حریم خصوصی و محرمانه بودن داده ها حفظ می شود و خطرات سرقت داده ها به حداقل می رسد. این یک راه حل کارآمد در برابر حملات شنود است (که در جاسوسی صنعتی استفاده می شود)، همچنین به عنوان حملات sniffing شناخته می شود، زمانی که مجرم سایبری به طور منفعلانه به داده هایی که در حال ارسال یا دریافت در شبکه هستند دسترسی پیدا می کند.
رمزنگاری همچنین دفاع استاندارد در برابر شنود فعال (معروف به حمله Man-in-The-Middle) است که در آن هکر تمام پیام های مرتبط را رهگیری می کند و پیام های جدید را بین دو دستگاه تزریق می کند. همین قانون برای ارتباط بین اشیاء هوشمند متصل و رابط مانند وب و برنامه های تلفن همراه اعمال می شود.
5. مدیریت ضعیف تجهیزات اینترنت اشیا
مطالعه ای که در ژوئیه 2020 منتشر شد، بیش از 5 میلیون IoT، IoMT (اینترنت اشیا پزشکی) و دستگاه های متصل مدیریت نشده در مراقبت های بهداشتی، خرده فروشی، و تولید و همچنین علوم زیستی را مورد تجزیه و تحلیل قرار داد.
این نشاندهنده تعداد بسیار زیادی از آسیبپذیری و خطرات در یک مجموعه بسیار متنوع از اشیا متصل شده میباشد. آنها شامل اینترنت اشیاء سایه (دستگاههایی که بدون اطلاع IT مورد استفاده فعال قرار دارند)، نقض مقررات، و دستگاههای پزشکی (معیوب و خطرناک) فراخوان شده توسط سازمان غذا و داروی ایالات متحده است.
این گزارش حقایق و روندهای نگران کننده را آشکار می کند:
• تا 15 درصد از دستگاه ها ناشناخته یا غیرمجاز بودند.
• 5 تا 19 درصد از سیستم عامل های قدیمی پشتیبانی نشده استفاده می کردند.
• ۴۹ درصد از تیمها حدس زده بودند و یا از راهکارهای موجود برای به دست آوردن قابلیت دید استفاده کردند.
• 51 درصد از آنها ازاینکه چه نوع اشیاء هوشمند در شبکه آنها فعال است بی اطلاع بودند.
• 75 درصد از استقرارها نقض VLAN داشتند
• 86 درصد از استقرار مراقبت های بهداشتی شامل بیش از 10 دستگاه فراخوان شده توسط FDA بود.
• 95 درصد از شبکه های مراقبت های بهداشتی دستگاه های آمازون الکسا و اکو را در کنار تجهیزات مراقبت بیمارستانی یکپارچه کردند.
نیازی به گفتن نیست که داشتن بلندگوهای هوشمند متصل به شبکه بیمارستانی الزامات حریم خصوصی را نقض می کند زیرا مهاجمان می توانند مکالمات را استراق سمع یا ضبط کنند.
باندهای باج افزار به طور خاص مراقبت های بهداشتی را بیش از هر حوزه دیگری در ایالات متحده هدف قرار می دهند. در حال حاضر این مساله، تا حد زیادی، علت اصلی نقض مراقبت های بهداشتی در کشور است.
• براساس اطلاعات و امنیت حوزه سلامت، حملات باج افزار به ارائه دهندگان مراقبت های بهداشتی در سه ماهه چهارم 2019 تا 350 درصد افزایش یافت و 560 ارائه دهنده مراقبت های بهداشتی در سال 2020 قربانی باج افزار شدند.
• یک مقاله تحقیقاتی که در پایان سال 2020 منتشر شده، نشان داد که میانگین تعداد حملات روزانه باج افزار در سه ماهه سوم نسبت به نیمه اول 2020، 50 درصد افزایش یافته است.
ترکیبی از سیستمهای قدیمی و دستگاههای متصل مانند مانیتورهای بیمار، ونتیلاتورها، پمپهای تزریق، چراغها و ترموستاتها با ویژگیهای امنیتی بسیار ضعیف، گاهی اوقات مستعد حملات هستند.
بنابراین، این مجرمان میدانند که توقف برنامههای کاربردی حیاتی و نگهداری دادههای بیمار میتواند جان انسانها را به خطر بیندازد و احتمال اینکه این سازمانها باج بپردازند زیاد است.
نتایج حملات اخیر باج افزار عبارتند از:
• اختلال در عملیات،
• به خطر انداختن دادههای مشتری و ایمنی
• از دست دادن اطلاعات، زیانهای مالی
• صدمه به شهرت
این آسیبپذیریها و تهدیدات امنیتی اینترنت اشیا را میتوان با پیادهسازی پلتفرمهای مدیریت دستگاههای اینترنت اشیا به شدت کاهش داد. آنها قابلیتهای مدیریت چرخه حیات پیشرو را برای استقرار، نظارت، نگهداری، مدیریت و بهروزرسانی دستگاههای اینترنت اشیا ارائه میکنند. آنها به نیازهای راهحلهای end-to-end مشتریان و چالشهای امنیتی ضروری که با مدیریت دستگاه برطرف میشوند، پاسخ میدهند.
آنها یک نمای واحد از همه دستگاه ها ارائه می دهند که به فعال کردن امنیت یکپارچه و انتزاع مشتری یکپارچه برای پروفایل های قطعه قطعه شده دستگاه کمک می کند. این نوع توابع پلتفرم میتوانند، برای مثال، به بهبود تأمین دارایی، ارتقاء سیستمافزار، وصلههای امنیتی، هشدار و گزارش در مورد معیارهای خاص مرتبط با داراییهای اینترنت اشیا کمک کنند. ترکیبی از چنین داده های اطلاعاتی می تواند در تشخیص تهدیدات مضر و یافتن راه حل بسیار موثر باشد. اما چه کسی قرار است اینترنت اشیا را برای تجارت شما مدیریت کند؟
6. شکاف مهارت اینترنت اشیا
به گفته فوربس (30 ژوئیه 2019)، شرکتها با شکافی حیاتی در مهارتهای اینترنت اشیا مواجه هستند که مانع از بهرهبرداری کامل از فرصتهای جدید میشود. از آنجایی که همیشه امکان استخدام استعدادهای جدید وجود ندارد، گزینه تکیه بر تیم های موجود است.
برنامه های آموزشی و ارتقای مهارت باید اجرا شود. کارگاههای آموزشی، خبرنامهها و بولتنهای خبری، که در آن اعضای تیم میتوانند یک دستگاه هوشمند خاص را هک کنند، میتوانند تفاوت بزرگی ایجاد کنند. هرچه اعضای تیم شما توانایی و آمادگی بیشتری در مورد اینترنت اشیا داشته باشند، اینترنت اشیا شما قدرتمندتر خواهد بود.
پرداختن به خطرات امنیتی اینترنت اشیا
شکی نیست که امنیت اینترنت اشیا پیچیده است، اما متخصصان در این زمینه به خوبی بهترین شیوه ها را برای ارزیابی و کاهش ریسک کارآمد می دانند. همکاری کارشناسان استقرار اینترنت اشیا را ساده می کند. یکی از اصول کلیدی این است که امنیت باید در همان ابتدای فرآیند طراحی در نظر گرفته شود و دانش تخصصی در اسرع وقت - در صورت لزوم - از خارج از شرکت تجهیز شود. این روش بدون شک به امنیت بهتر منجر می شود.
به خاطر داشته باشید:
هرچه فرآیند ارزیابی، آزمایش و سختسازی راهحلهای اینترنت اشیا به عقب بیافتد، درست کردن آن دشوارتر و پرهزینهتر است.
• بدتر از آن، کشف نقاط ضعف حیاتی یا برنامههای اضطراری ناکافی پس از وقوع یک رخنه میتواند پرهزینهتر باشد.
این امر به ویژه برای مشاغل کوچک صادق است. گزارش سال 2018 توسط Hiscox نشان داد که بازیابی مشاغل کوچک از یک حمله سایبری بیشتر طول می کشد، که به معنای اختلال بیشتر و از دست دادن درآمد است. به عبارت دیگر، بهتر است به متخصصان مراجعه کنید و هر چه زودتر شروع کنید.
امنیت سایبری اینترنت اشیا از پایه
به گفته استفن سورل، تحلیلگر اصلی در Juniper Research، امنیت سایبری در IoT کاملاً حیاتی است. اولین مرحله برای شرکت ها ایجاد امنیت از پایه و تمرکز بر روی اصول است. این بدان معناست که دستگاه ها و شبکه ها، درگیر چه نوع خطراتی هستند. برای کسبوکارهای کوچکتر یا کسبوکارهایی که خیلی با بهترین شیوههای امنیتی آشنا نیستند، بهترین راه پیشروی این است که برخی از متخصصهای شخص ثالث را برای ارزیابی ریسک و ارائه بهترین راهحل برای حرکت رو به جلو به آنها وارد کنید.
فناوریای که می تواند برای بهبود امنیت اینترنت اشیا پیاده سازی شود شامل چندین راه حل است.
• اول از همه، برای مثال، این عنصر امن است. می توان آن را روی دستگاه جوش داد و عملکردهای رمزنگاری ایمن را فراهم کند.
• یکی دیگر از اجزای سختافزاری زنجیره امنیتی، ماژول امنیتی سختافزاری (HSM)است. در اینجا با زیرساخت کلید عمومی ترکیب میشود تا توزیع ایمن کلیدهای رمزگذاری را کنترل کند تا اطمینان حاصل شود که دادهها و ارتباطات رمز شدهاند.
اهمیت امنیت از طریق طراحی در دستیابی به امنیت IoT مناسب را نمی توان اغراق کرد - به ویژه وقتی در نظر بگیریم که دستگاه های IoT برای ده یا بیست سال در این زمینه خواهند بود. بنابراین، راه حل های امنیتی باید انعطاف پذیر باشند. این بدان معناست که اعتبارنامه ها، گواهی های دیجیتال، کلیدهای رمزنگاری نیاز به تمدید دارند. مدیریت چرخه زندگی ضروری است.
ما باید امنیت را از پایه (دستگاهها، شبکهها، برنامههای کاربردی، ابر) بهطور جامع در نظر بگیریم، از نظر اینکه چگونه میتوان از آنها نه تنها در حال حاضر بلکه برای ملاحظات آینده محافظت کرد.
رسیدگی موثر به نگرانیهای امنیتی IoT
استراتژی کلی امنیت سایبری باید با هدف محافظت از سه ستون اصلی که دستگاهها و خدمات متصل را تشکیل میدهند، باشد:
• محرمانگی
• یکپارچگی،
• در دسترس بودن.
تضمین اینکه اهداف سه رکن امنیتی برآورده شوند، مساله امنیت مناسب با طراحی است. شرکتها با اجرای گزینههای امنیتی پیشنهادی مانند راهحلهای مدیریت دستگاه و احراز هویت، مبتنی بر تکنیکهای رمزنگاری، با بسیج دانش تخصصی در اسرع وقت، میتوانند از دسترسی غیرمجاز به دادهها، دستگاهها و نرمافزارها جلوگیری کنند. در عوض، این کنترل ها به تضمین یکپارچگی داده ها و در دسترس بودن خدمات کمک می کند. ما می دانیم که امنیت یک بعد مهم در هر طراحی اینترنت اشیا است.
منبع: پایگاه اطلاعرسانی پلیس فتا
دریافت لینک صفحه با کد QR
