امنیت اینترنت اشیا IOT Security

به نظر می رسد صنعت کامپیوتر زمانی که صحبت از امنیت میشود دوست دارد بازی بیا منو بگیر را اجرا کند . هنگامی که رایانه های شخصی و سرورها به وجود آمدند ، در برابر ویروس ها آسیبپذیر بودند. سالها طول کشید تا اقدامات امنیت اساسی تدوین ، ترویج و تصویب شود. و اکنون امنیت موبایل فقط اخیراً و بعد از چند حمله بدافزارهای تبلیغاتی موبایل به خوبی جلب توجه کرده است .آیا شما فکر میکنید که در حال حاضر ما درس امنیت رو به خوبی یادگرفته ایم ؟ امنیت رو در زمان طراحی پیاده سازی در نظر بگیریم تا بعد ها به مشکل نخوریم خیر اینطور نیست ما در همون مسیر قبل به سرعت به سمت پایین در حرکتیم .امنیت در صنعت اینترنت اشیا به طور کامل نیمکت نشین است .

به نظر می رسد اینترنت اشیاء (IoT) برای جلوگیری از تکرار خطاهای گذشته و پیامدهای آن تدابیری اندیشیده باشد . اما اینطور نیست و فقط زمانی که آسیب پذیری جدی امنیتی رخ دهد وصله ای برای آن تولید خواهد شد .اما تا آن زمان ، ممکن است خیلی دیر شود.

بازار صنعت اینترنت اشیا اکنون به حدود 50 میلیارد دلار رسیده است و این عدد سرعت زیاد این صنعت را توجیه میکند.

IoT امکان خودکارسازی و همزمانی فرآیندهای تجاری و دستگاه هایی را که قبلاً به دلیل عدم توانایی آنها در سازگاری مداوم با متغیرهای محیطی ، ورودی ها و تغییر تقاضا ، ناکارآمد بوده اند ، فراهم می کند. نفوذ و انتشار IoT نوید راحتی ، پاسخ دقیق به رویدادها در زمان واقعی و تخصیص به مراتب بهترمنابع در صورت تقاضا را در پی دارد .

“دستگاه های IoT به مشاغل در پاسخگویی در زمان واقعی کمک بیساری میکنند . آنها به بیماران و متخصصان مراقبت های پزشکی این امکان را می دهند تا به طور مداوم شرایط را تحت نظر بگیرند همچنین آنها را به اپراتورهای شبکه برقی امکان می دهند که تولید جریان برق را مطابق با نیاز واقعی تنظیم کنند.

نگراني هاي امنيتي اينترنت اشیا

امروزه با وجود صدها شرکت که تلاش می کنند بازارهای کاملاً جدیدی ایجاد کنند  امنیت به شدت بدتر شده است. شاهدیم که شرکتهای پیشرو در این زمینه رقبایی دارند که حذف ابتدایی ترین قابلیت های امنیتی سعی در پایین آوردن قیمت دارند .

حمله DDoS سال گذشته به ارائه دهنده DNS مدیریت شده Dyn ، این خطر را به شدت مورد توجه قرار داد.

Tom Byrnes ، بنیانگذار و CTO از ThreatSTOP می گوید: “همانطور که در حمله Dyn نشان داده شد ، ما محکومیم که اشتباهاتی را که در کامپیوترها و موبایل ها انجام دادیم را در اینترنت اشیاء نیز تکرارکنیم .کاهش هزینه باعث شده است امنیت کمتر مورد توجه قرار بگیرد و این امر پیامدهای بسیار بدی در پی خواهد داشت .

با این حال امنیت اینترنت اشیا ممکن است این مسئله را فاجعه امیز تر نشان دهد . رویداد Mirai botnet به جنایتکاران و کشورها نشان داد که استفاده از سنسورها و دستگاههای IoT به عنوان هواپیماهای بدون سرنشین چقدر آسان است.

اهمیت امنیت اینترنت اشیا

اینتل پیش بینی میکند تا سال 2020 200 میلیارد دستگاه IoT بصورت آنلاین مورد استفاده قرار گیرد که تقریباً 26 دستگاه برای هر نفر است. البته که با این ارقام آسیب پذیری های احتمالی نگران کننده است.

اسکات گفت: “بیشتر دستگاه ها و سنسورهای IoT فاقد هر نوع امنیت یا طراحی امنیتی هستند.” “بدون امنیت هکتیویست ها می توانند عملیات تجاری را مختل کنند ، مجرمان سایبری می توانند سازنده باج افزارها باشند و جهادگران سایبری می توانند شبکه را به خطر بیاندازند و کنترل کنند.” اینها قسمتی از سناریوهای حمله امنیتی IoT میباشد .

اسکات خواستار توجه جدی به امنیت دستگاههای IoT مطابق با بهترین روشهاست. این امر با تبدیل امنیت به عنوان بخشی اساسی در طراحی سیستم ، دستگاه ها ، حسگرها یا تجهیزات مرتبط با IoT آغاز می شود. اگر امنیت اینترنت اشیا به صورت یک اولویت پایین در نظر گرفته شود . به سرعت تعداد زیادی IoT خواهیم داشت که به اهداف راحتی برای مهاجمان تبدیل خواهند شد و به آنها قدرت خرابکاری بیشتری ارائه خواهند داد .

بیاین یک مثال ملموس رو در نظر بگیریم : میلیون ها جاده ها در جاده وجود دارند که دارای مشکل در سیستم ترمز هستند حتی با وجود داشتن شبکه ای بزرگ از مراکز خدمات نمیتوانید اصلاح همه آنها را در مدت زمان کوتاهی انجام دهید حالا اگر در مقیاس میلیارد فکر کنید واقعا اصلاح غیر ممکن میشود .

اسکات می گوید: “هر دستگاه IoT دارای آسیب پذیری های ذاتی و ضعف هایی است که ناشی از فرهنگی اشتباهی است که امنیت را در روند طراحی به نفع اقتصادی بودن محصول و عجله برای ارائه محصول به بازار فدا بکنند .”غلبه بیش از حد دستگاه های IoT ناامن در آینده امنیت را غیرممکن می سازد.”

آسیب پذیری های امنیتی دستگاه های IoT

تام دزوت ، مدیر ارشد اطلاعات دفاعی دیجیتال ، معتقد است که هرچه ترموستات هوشمند ، یخچال ، تجهیزات پزشکی و تعداد بیشماری از دستگاه های IOT به صورت آنلاین بیشتر شوند سوئ استفاده های احتمالی اجتناب ناپذیرتر خواهد بود. این حملات می تواند در مقیاس وسیع باشد ، یا در بسیاری موارد می تواند در یک حمله هدفمند از سوی یک فرد یا مشاغل تنظیم شود در نظر بگیرید که ناگهان از توستر موجود در کافه کارکنان یا باشگاه تناسب اندام برای نفوذ به کل شبکه استفاده می شود.

در مورد چه نوع آسیب پذیری هایی صحبت می کنیم؟ برخی از آسیب پذیری های اصلی که امروزه وجود دارد ، نام کاربری و رمزعبورهای هارد کد شده در Firmware علاوه بر این ، ممکن است سرویس هایی مانند وب سرور در حال اجرا باشد که به عنوان رابط کاربری که نمی تواند به روز شود .

درک کامل از مقیاس یا تاثیر مشکل شاید کمی سخت باشد . دیگر این یک کامپیوتر ، یک لپ تاپ یا حتی یک شرکت نیست. سنسورهای بخش انرژی و نیرو می توانند برای آسیب رساندن به سیستم های بحرانی یا تسهیل حرکت جانبی در داخل شبکه به خطر بیفتند. ضربان سازها ، پمپ های انسولین و مورفین و سایر وسایل پزشکی به راحتی و از راه دور می توانند برای آسیب رساندن به بیماران به خطر بیفتند. موردی که میتواند جان افراد را به خطر بیاندازند .

اسکات گفت: “یك تیم تحقیقاتی حتی كرم ایجاد كردند كه بتواند به طور جانبی در سراسر شهر به هر دستگاه IoT منتقل شود و به مهاجمان این امکان را بدهد كه وسایل را كنترل كند.”

چالش های امنیتیِ اینترنت اشیا

اگر بخواهیم ضمن حفظ امنیت اینترنت اشیا به دنیای متصل به هم بپیوندیم چالشهای عمده ای در مسیر ما نهفته است. از همه مهتر این است که این صنعت باید بر تمایل خود برای حذف امنیت در تجهیزات تولید شده غلبه کند . برای بالا بردن آگاهی از ایمنی تجهیزات IoT باید کمپین هایی اجرا شوند. Plug-and-play ، تنظیمات پیش فرض و دستگاه های بدون امنیت نباید در شبکه های امن استفاده شوند .

تجهیزات IoT برای امنیت بیشتر نیاز به توان پردازشی بالاتر و میزان مصرف برق بیشتری دارند که در اینصورت بسیاری از تجهیزات تولید شده این توان را ندارند  و این مانع از اجرای راه حل های امنیتی لایه بندی شده کامل می شود. تلاش برای اجرای امنیت معقول IoT نمی تواند بهانه ای برای افزایش چشمگیر هزینه ها باشد. این امر مانع از پیشرفت فناوری می شود و احتمالاً عواقب ضد امنیتی در برابر ضریب امنیت IoT ایجاد می کند.

اسکات می گوید: “ما باید دستگاه های IoT مقرون به صرفه را توسعه دهیم به جای گزینه های ارزان تر که امنیت در زمان طراحی را شامل شود.” “در حالی که ممکن است در کوتاه مدت چند دلار صرفه جویی کند ولی زیرساخت های عمومی و مهم را در معرض خطر از دست دادن میلیون ها دلار و داده های ارزشمند در طولانی مدت می کند.”

چگونه می توان IoT را ایمن کرد

6 مورد از مواردی که در ایجاد امنیت IoT لازم است در نظر بگیرید :

1. دستگاه های IoT را خریداری کنید که مطابق با طراحی NIST 800-160 دارای طراحی امنیتی هستند و قادر به میزبانی یک لایه امنیت درونی هستند
2. بدانید چه دستگاه هایی در شبکه هستند و نقش ها ، قابلیت ها ، محدودیت ها و آسیب پذیری های آن دستگاه ها را بدانبد
3. دسترسی راه دور به تجهیزات IoT را محدود کنید
4. همه تنظیمات پیش فرض را برای تطابق با بهترین شیوه های امنیت تغییر دهید
5. پیشنهاد میشود که از تجهیزاتی استفاده کنید که بر ترافیک منتقل شده بین دستگاه های IoT در زمان واقعی نظارت کرده و واکنش نشان می دهند. راه حل های هوش مصنوعی (AI) و یادگیری ماشینی (ML) نمونه هایی از پدافندهای لایه ای هستند که می توانند فعالیت غیر عادی یا ترافیک را تشخیص دهند و بلافاصله دستگاه به خطر بیانداز را تفکیک کنند و در عین حال افراد را نیز به این موضوع اطلاع دهند.
6. تجهیزات IoT را با توجه به خطرات امنیتی سازمان از طریق اطلاعات به اشتراک گذاشته شده از طریق شبکه های معتبر مربوط به تهدیدات و آسیب پذیری های دستگاه و چشم انداز تهدیدات فعلی بطور فعال نظارت و ارزیابی کنید.

نام کاربری و رمزعبور پیش فرض را بر روی دستگاه ها تغییر دهید ، آنها را از سایر قسمت های شبکه جدا کنید و سرویس های غیر ضروری را برای کاهش سطح حمله غیرفعال کنید و از عملکرد آنها به عنوان نقطه آسیب پذیر که در حملات علیه سایر قسمت های شبکه استفاده می شود جلوگیری کنید .