راه های ساده برای بهبود امنیت اینترنت اشیاء

اینترنت اشیاء در همه جا حاضر است. اما با گسترش این فناوری ، میزان مواجهه با خطر روزافزون افزایش می یابد. امروزه ، با در اختیار داشتن چندین وکتور حمله ، مجرمان سایبری فرصت های زیادی را همراه با تاکتیک ها و روش های هوشمندانه در اختیار دارند. بنابراین جای تعجب نیست که چرا دستگاه های اینترنت اشیا بدون امنیت مستعد هک شدن هستند.

بر اساس گزارشی که توسط F-Secure تنظیم شده است ، حملات از طریق دستگاه های اینترنت اشیا فقط در سال 2019، 300٪ افزایش یافته است.

دنیای اینترنت اشیا رشد چشمگیری داشته است و طبق گفته گارتنر ، تا سال 2021 تعداد 25 میلیارد دستگاه متصل به اینترنت وجود خواهد داشت. این یک افزایش گسترده در حمله به سطح اینترنت اشیا است.

اینترنت اشیا به چه معناست؟

اینترنت اشیا (IoT) مفهومی محاسباتی است که ایده اتصال اجسام فیزیکی روزمره به اینترنت و توانایی شناسایی خود به سایر دستگاه ها و ارسال و دریافت داده ها را توصیف می کند. این اصطلاح از نزدیک با شناسایی فرکانس رادیویی (RFID) به عنوان روش ارتباط شناخته می شود ، اگرچه ممکن است شامل سایر فناوری های حسگر ، فناوری های بی سیم یا کدهای QR نیز باشد.

امنیت با توسعه محصول آغاز می شود

چرا مسائل امنیتی پیرامون دستگاه های اینترنت اشیا وجود دارد؟ و اقدامات ساده ای که می توانیم برای بهبود امنیت این دستگاه ها انجام دهیم چیست؟ من معتقدم پاسخ این سوالات در مراحل مختلف توسعه محصول نهفته است.

مراحل بسیاری از یک پروژه وجود دارد و بسته به اینکه کدام روش دنبال می شود ، (به عنوان مثال ، آبشار ، مارپیچ یا چابک ) مراحل ممکن است شامل انواع مختلفی از نیازها ، تجزیه و تحلیل ، طراحی ، کدگذاری ، پیاده سازی ، آزمایش ، استقرار و نگهداری باشد. در هر مرحله از توسعه فرصتهایی برای افزایش امنیت وجود دارد.

بنابراین ، چگونه یک پروژه در محافظت از شبکه خانگی ما و شبکه های گسترده تری که در کافه ها ، فرودگاه ها و جامعه به طور گسترده در برابر تهدید احتمالی دستگاه های اینترنت اشیاء نا امن قرار می گیریم ، کمک می کند؟

طبق Networkworld.com ، برخی از مراحل مورد نیاز برای افزایش امنیت اینترنت اشیا در واقع اطمینان از آزمایش امنیتی کافی کد منبع ، اجرای کنترل دسترسی ایمن و رعایت سطح مناسب استاندارد امنیتی است. تکنیک های ساده اما غالباً فراموش شده ، مانند تفکیک شبکه ها ، تا حد زیادی خطر را محدود می کنند.

مسئولیت امنیت در دو زمینه مشخص است:

  • تولید کنندگان : تولیدکنندگان دستگاه های اینترنت اشیا باید ایمنی داخلی پروژه را تضمین و روش “Secure by Design ” را دنبال کنند . آنها اطمینان می دهند که قبل از ورود به بازار ، آزمایش امنیتی در مورد کد برنامه و سیستم عامل انجام شده است.
  • کاربران نهایی : چه مصرف کننده جهت یک کار تجاری و چه خانگی باشد ، در نهایت ، اقدامات احتیاطی امنیتی باید انجام گیرد و نمی تواند به تولید کننده خاتمه یابد.

تست امنیت کد

همانطور که می توانید تصور کنید ، مقدار کد موجود در یک برنامه یا سیستم عامل می تواند از چند خط تا هزار خط کد به میزان قابل توجهی متفاوت باشد. به همین ترتیب ، انجام یک بررسی دستی کد در این سطح غیر اقتصادی است و باعث کاهش قابل توجه منابع کارکنان می شود.

تست دستی

آزمایش دستی شامل بازبینی کد ، مرور کد همتا ، یا عبور از آن است. این تکنیک ها نوعی عمل آگاهانه و دعوت سیستماتیک از برنامه نویس های دیگر برای بررسی کد یکدیگر از نظر اشتباه است ، و به طور مکرر نشان داده شده است که روند توسعه نرم افزار را تسریع و ساده می کند.

جفت چشم دوم شرط تأیید دو نفر قبل از اقدام است. اصل چهار چشم گاهی قانون دو نفره نامیده می شود و با روال امنیتی کنترل دوگانه سازگار است.

تست خودکار

آزمایش خودکار به طور فعال کل روند آزمایش امنیت را تسریع می کند و از طریق یک برنامه استاتیک ( جعبه سفید ) یا یک روش پویا ( جعبه سیاه ) انجام می شود.

  • تست امنیت برنامه کاربردی استاتیک (SAST) ، همچنین به عنوان “آزمایش جعبه سفید” نیز شناخته می شود .بیش از یک دهه است که وجود دارد. به توسعه دهندگان این امکان را می دهد تا در چرخه حیات توسعه نرم افزار ، آسیب پذیری های امنیتی را در کد منبع برنامه پیدا کنند.
  • تست امنیت برنامه کاربردی پویا (DAST) یک روش تست جعبه سیاه است که در حال اجرا بودن یک برنامه را برای یافتن آسیب پذیری هایی که یک مهاجم می تواند سواستفاده کند بررسی می کند.

آزمایش خودکار تضمین می کند که آزمایش با توجه به الزامات انطباق مانند موارد تعیین شده توسط انستیتوی ملی فناوری استاندارد (NIST) ، قانون حمل و نقل و مسئولیت پذیری بیمه سلامت (HIPPA) و استانداردهای امنیت داده صنعت کارت پرداخت (PCI) انجام می شود. DSS) .

اسکن امنیتی آسیب پذیری هایی مانند لیست شده در OWASP IoT Top 10 را کشف می کند ، از جمله:

  • ضعیف، آسان و قابل حدس زدن، و یا قوی بودن کلمه عبور.
  • فقدان مکانیزم بروزرسانی ایمن.
  • استفاده از اجزای قدیمی
  • محافظت از حریم خصوصی کافی نیست

شایان ذکر است که در طول تاریخ ، بررسی خودکار کد به دلیل هزینه ها از یک پروژه خارج شده و به عنوان یک الزام در نظر گرفته نشده است.

اجرای کنترل های دسترسی ایمن

طبق مجله بین المللی علوم رایانه و امنیت اطلاعات :

“سازوکار تأیید اعتبار دستگاه و کنترل دسترسی نیز یک مسئله مهم امنیتی در اینترنت اشیا است. مشکلات احراز هویت و کنترل دسترسی در اینترنت اشیا به دلیل تعداد زیادی از دستگاه ها و ماهیت ارتباطی اینترنت اشیا machine با دستگاه (M2M) است.

به طور سنتی ، تولید کنندگان دستگاه های اینترنت اشیا پروتکل های اختصاصی را متناسب با نوع استفاده از یک دستگاه خاص اجرا کرده اند. به همین دلیل ، عدم قابلیت همکاری بین انواع دستگاه ها و انواع مختلفی از درگاه های اتصال که امروزه استفاده می شود ، وجود دارد. 

شبکه های تفکیک شده تضمین می کنند که یک دستگاه یا مجموعه ای از دستگاه ها از سایر شبکه های غیر مرتبط جدا شده است. تفکیک در یک محیط تجاری با استفاده از شبکه های محلی مجازی (VLAN) انجام می شود . که می تواند به عنوان مثال ، روی یک سوئیچ شبکه سازمانی پیاده سازی شود و توسط مجموعه ای از قوانین فایروال کمک و تقویت شود ، اطمینان حاصل شود که دستگاه همچنان می تواند برای هدف مورد نظر خود استفاده شود ، اما به روشی ایمن.

در خانه ، هنوز هم می توانید از طریق یک روتر داخلی VLAN از شبکه های جداگانه استفاده کنید. از طریق کابل شبکه یا Wi-Fi می توانید دستگاه های خود را به روال معمول به روتر متصل کنید.

مجموعه ای از قوانین فایروال را ایجاد کنید که اتصالات VLAN جایگزین را در شبکه خانگی تسهیل می کند. در سطح ابتدایی ، می توانید دو یا سه شبکه مجازی یا VLAN مجزا داشته باشید.

  1. شبکه مهمان
  2. شبکه خصوصی
  3. شبکه اینترنت اشیا

هدف از تقسیم بندی جلوگیری از برقراری ارتباط دستگاه های موجود در یک VLAN با دستگاه های موجود در VLAN دیگر است ، در حالی که دسترسی محدود به اینترنت را همچنان مجاز می داند.

از پروتکلهای رمزگذاری شده استفاده کنید

اجرای رمزگذاری در دستگاه های اینترنت اشیا معمولاً از امنیت کمتری برخوردار است. برخی از دستگاه ها از ارتباطات رمزگذاری شده در پیکربندی اولیه خود استفاده می کنند اما بیشتر آنها از پروتکل های وب معمولی استفاده می کنند که از طریق اینترنت با متن ساده ارتباط برقرار می کنند ، و این باعث می شود در معرض نفوذ هکرها و مشاهده ترافیک شبکه برای شناسایی نقاط ضعف قرار بگیرند.

حداقل ، همه ترافیک وب باید از HTTPS ، امنیت لایه حمل و نقل (TLS) ، پروتکل انتقال فایل امن (SFTP) ، برنامه های افزودنی امنیتیDNS و سایر پروتکل های امنیتی برای ارتباط با ایستگاه های مدیریت و از طریق اینترنت استفاده کنند. علاوه بر این ، دستگاه هایی که به برنامه های تلفن همراه یا سایر دروازه های از راه دور متصل می شوند باید از پروتکل های رمزگذاری شده و همچنین رمزگذاری داده های ذخیره شده در درایوهای فلش استفاده کنند.

آگاهی کاربر نهایی

به عنوان کاربران اینترنت اشیا ، همه ما وظیفه داریم کتابچه راهنما را بخوانیم ، رمز ورود پیش فرض را تغییر دهیم و عملکردهایی را که قصد استفاده از آنها را نداریم ، خاموش کنیم. انجام این کارها به جلوگیری از نقض حریم خصوصی و ایجاد حریم خصوصی توسط دستگاههای متصل به وب امکان پذیر است .

اینترنت اشیا داخلی باید کاربر پسند باشد ، راه اندازی آن آسان باشد و در عین حال از ترافیک ورودی مخرب محافظت کند. ما می خواهیم به اینترنت متصل و بازی کنیم ، اما همچنین می توانیم استاندارد خوبی از امنیت را فراهم کنیم . محافظت در برابر هر یک از کسانی که در اینترنت وجود دارند. 

قبل از خرید دستگاه یا راه حل بعدی اینترنت اشیا ، می خواهم مطمئن شوم که از نظر طراحی ایمن است. همیشه در بعضی موارد امکان پذیر نیست ، به خصوص اگر محصول از نوع قدیمی باشد ، به علاوه قیمت نیز مهم است.

 اگر شبکه داخلی بومی ایمن باشد ، این امر به طور بالقوه نیاز به تفکیک شبکه خانگی من را نفی می کند ؛ البته اگر از رویکرد امنیتی لایه ای چشم پوشی کنید.

برخی از مواردی که باید از دیدگاه مصرف کننده در نظر بگیرید: آیا شما کالای شناخته شده و معتبری را خریداری می کنید ، آیا نسخه های بهتری در دسترس است ، چه استانداردهای امنیتی در آن تعبیه شده است. یک منبع اطلاعاتی خوب برای در نظر گرفتن این نکات TREND Micro است . هنگام خرید دستگاه هوشمند چه مواردی را باید در نظر گرفت.

نتیجه

دنیای محصولات اینترنت اشیا گسترده است و به نظر می رسد در بعضی مواقع طاقت فرسا باشد ، به ویژه هنگامی که می خواهید عاقلانه خرید کنید. با این حال ، می توانید دامنه را با پرسیدن این موارد از خود و استفاده از معیارهای زیر برای جستجوی خود محدود کنید:

  • کجا می خواهید از دستگاه استفاده کنید؟
  • به دنبال چه ویژگی هایی هستید؟
  • بودجه شما چقدر است؟
  • آیا این یک محصول شناخته شده و مورد اعتماد است ، آیا دوستان و خانواده آن را توصیه می کنند؟
  • در آخر ، اطمینان حاصل کنید که طراحی آن ایمن است و هر دری را که می تواند به روی حملات سایبری باز باشد ، ببندید.