امنیت IoT (اینترنت اشیا)
اینترنت اشیا (IoT) چیست؟ به هر چیزی که دارای یک شناسه منحصر به فرد و توانایی انتقال خودکار داده از طریق شبکه را داشته باشد، اطلاق میشود. و این میتواند شامل ماشینهای مکانیکی و دیجیتالی، اشیا، حیوان و یا حتی مردم باشد. اما دسترسی این دستگاهها به اینترنت در صورت عدم محافظت صحیح میتواند آنها را در معرض آسیب پذیریهای جدی قرار دهد. اینجاست که امنیت اینترنت اشیا (IoT) مطرح میشود.
امنیت IoT حوزهای از فناوری اطلاعات است که از آن برای محافظت از شبکهها و دستگاههای متصل به اینترنت استفاده میشود. این موضوع شاید اولین بار بعد از شناسایی نفوذپذیریها و حملات متعدد که در آنها پای یک دستگاه IoT برای حمله و نفوذ به یک شبکه بزرگتر در میان بوده، مورد بررسی قرار گرفت.
چالشهای امنیت IoT
چالشهای زیادی مانع از حفظ امنیت دستگاههای IoT و اطمینان از امنیت end-to-end در محیطهای IoT میشود. از آنجا که ایده اتصال اشیا به شبکه نسبتا جدید است، امنیت در مرحله طراحی در اولویت قرار نگرفته است. علاوه بر این از آنجا که IoT یک بازار نوپا است، بسیاری از طراحان و تولیدکنندگان محصولات، به جای اینکه از ابتدا اقدامات لازم برای ایجاد امنیت را اولویت کار خود قرار دهند، بیشتر علاقه دارند تا محصولات خود را سریعا به بازار عرضه کنند.
چالش اصلی در رابطه با امنیت IoT استفاده از رمزهای عبور پیش فرض است که میتواند منجر به نقض امنیت شود. حتی اگر رمزهای عبور تغییر کنند، باز آنها اغلب به اندازه کافی عنصر قوی نیستند تا از نفوذ جلوگیری کنند.
موضوع متداول دیگر در رابطه با امنیت دستگاههای IoT محدود بودن منابع آنها میباشد. به همین دلیل آنها منابع محاسباتی لازم برای اجرای امنیت قوی در خود ندارند. به همین ترتیب، بسیاری از دستگاهها ویژگیهای امنیتی پیشرفتهای را ارائه نمیدهند یا اصلا نمیتوانند. به عنوان مثال، سنسورهایی که دما و رطوبت را رصد میکنند، قادر به رمزگذاریهای پیشرفته و یا سایر اقدامات امنیتی نیستند. بعلاوه بسیاری از دستگاههای IoT پچها یا بروزرسانیهای امنیتی را دریافت نمیکنند. از نظر تولیدکنندگان، ساختن امنیت در ابتدای کار میتواند پرهزینه باشد و باعث کند شدن توسعه کار شود و دستگاه آنطور که باید نتواند کار کند.
اتصالات قدیمی که ذاتا برای اتصالات IoT طراحی نشدهاند یکی دیگر از چالشهای امنیتی است. جایگزینی زیرساخت های قدیمی با تکنولوژی شبکهای، هزینه بر است. بنابراین بسیاری از سیستم ها با حسگرهای هوشمند مقاوم سازی میشوند. با این حال، به عنوان دستگاههای قدیمی که احتمالا بروزرسانی نشدهاند یا در برابر تهدیدات مدرن امنیت ندارند، سطح حمله در این نوع دستگاهها گسترش مییابد.
از نظر بروزرسانی، بسیاری از سیستمها فقط برای یک بازه زمانی مشخصی پشتیبانی میشوند. در صورت اضافه نشدن پشتیبانی برای دستگاههای قدیمی یا جدید، امنیت میتواند از بین برود. و از آنجا که بسیاری از دستگاههای IoTسالها در شبکه باقی میمانند، ایجاد امنیت میتواند چالش برانگیز باشد.
چالش دیگر در رابطه با امنیت IoT فقدان استانداردهای صنعتی پذیرفته شده است. در رابطه با امنیت IoT هیچ چارچوب امنیتی توافق شده واحدی وجود ندارد. شرکتهای بزرگ و سازمانهای صنعتی ممکن است استانداردهای خاص خود را داشته باشند. در حالی که بخشهای خاصی مانند صنعت IoT دارای استانداردهای وابسته و اختصاصی و ناسازگار از سوی رهبران صنعت هستند. تنوع این استانداردها، نه تنها امنیت سیستمها، بلکه قابلیت همکاری و ارتباط بین آنها را دشوار میکند.
همگرایی یا تطابق شبکههای فناوری اطلاعات و فناوری OT باعث ایجاد چالشهای بسیاری برای تیمهای امنیتی، به ویژه افرادی که وظیفه محافظت از سیستمها و امنیت end-to-end را در مناطقی که خارج از حوزه تخصصیشان را دارند، شده است، به همین دلیل تیمهای IT با مجموعه مهارتهای مناسب باید مسئولیت امنیت IoT را بر عهده بگیرند.
سازمانها باید امنیت را به عنوان یک مسئله مشترک در نظر بگیرند، از تولید کننده و ارائه دهنده خدمات گرفته تا کاربر نهایی. تولیدکنندگان و ارائه دهندگان خدمات باید امنیت و حریم خصوصی محصولات خود را در اولویت قرار دهند. برایی مثال، رمزگذاری و اعطای مجوز را به صورت پیش فرض در اختیار کاربر قرار دهند. اما این تعهدات به همین جا ختم نمیشود، بلکه کاربر نهایی هم حتما باید اقدامات امنیتی لازم از جمله تغییر رمز عبور، نصب پچهای ارایه شده و استفاده از نرم افزارهای امنیتی را انجام دهند.
نفوذپذیریها و حفرههای امنیتی حوزه IOT
کارشناسان امنیتی از مدتها پیش از نا امن بودن دستگاههای متصل به اینترنت هشدار میدهند. زیرا مفهوم IoT یرای اولین بار در اواخر دهه 1990 مطرح شده است. لازم به ذکر است که بسیاری از هکهای IoT خود دستگاهها را هدف قرار نمیدهند، بلکه از دستگاههای IoT به عنوان نقطه ورود به شبکه بزرگتر استفاده میکنند. به عنوان مثال، از نمونه نفوذهایی که به طور مداوم در بالاترین سطح قرار دارند، استفاده از یخچال و تلویزیون برای ارسال اسپم به هکرهایی که در مانیتورهای کودک نفوذ کرده و با کودکان صحبت میکنند.
به عنوان مثال در سال 2010، محققان فاش کردند که ویروس stuxnet برای صدمه فیزیکی به سانتریفیوژهای ایرانی مورد استفاده قرار گرفته است. این حمله اغلب به عنوان یکی از اولین نمونههای حمله IoT در نظر گرفته میشود. ویروس stuxnet سیستمهای جمعآوری، کنترل و نظارت در سیستمهای کنترل صنعتی را با استفاده از بدافزار و آلوده کردن دستورالعملهای ارسال شده توسط کنترل کنندههای قابل برنامه ریزی، مورد هدف قرار میدهد.
حمله به شبکههای صنعتی با بدافزارهایی مانند Trion and VPNFilter, CrashOverride/Industroyer که سیستمهای آسیبپذیر OT و IoT صنعتی را هدف قرار دادهاند،همچنان ادامه دارد.
در دسامبر 2013، یک محقق در شرکت امنیتی Proofpoint Inc اولین بات نت IoT را کشف کرد. به گفته این محقق بیش از 25% بات نتها از دستگاههای دیگری غیر از کامپیوترها ساخته شده است، از جمله تلویزیونهای هوشمند، مانیتور کودک و لوازم خانگی.
در سال 2015، محققان امنیتی چارلی میلر و کریس والاسک یک هک بیسیم را روی چیپ اجرا کردند. و با استفاده از آن ایستگاه رادیویی مرکزی رسانه خودرو را تغییر داده برف پاک کن شیشه جلو و سیستم تهویه مطبوع آن را روشن و کار شتاب دهنده را متوقف کردند. آنها حتی توانستند موتور را از کار بیاندازند، ترمزها را درگیر کرده و آنها را به طور کلی غیرفعال کنند. میلر و والاسک توانستند از طریق سیستم اتصال درون خودروی کرایسلر به شبکه خودرو نفوذ کنند.
میرای یکی از بزرگترین باتنتهای اینترنت اشیا تا به امروز میباشد. این باتنت موفق شد برای اولین بار به وب سایت یک روزنامه نگار به نام برایان کریس و یک میزبان وب در فرانسه به اسم OVH در سپتامبر 2016 حمله کند. حملات به ترتیب در 630 گیگابیت بر ثانیه و 1.1 ترابیت در ثانیه انجام شد. ماه بعد سرویس DNS از طریق این باتنت مورد حمله قرار گرفت و تعدادی از وب سایت ها از جمله آمازون، نتفلیکس، توییتر و نیویورک تایمز را برای ساعتها از دسترس خارج کرد. این حملات از طریق دستگاههای IoT، از جمله دوربینهای IP و روترها در شبکه اتفاق افتاد.
در اطلاعیه ژانویه 2017، سازمان غذا و داروی آمریکا (FDA) در مورد سیستمهای تعبیه شده در دستگاههای مجهز به فرکانس رادیویی از جمله ضربان سازها و دستگاههای تنظیم مجدد، هشدار داد که میتوانند در معرض حملات امنیتی قرار گیرند.
ابزار و قوانین امنیتی IoT
همانطورکه قبلا نیز اشاره کردیم بسیاری از چارچوبهای امنیتی IoT وجود دارد، اما تاکنون هیچ استاندارد پذیرفته شده صنعتی واحدی وجود ندارد. با این حال، اتخاذ یک چارچوب امنیتی IoT میتواند کمک کند. این چارچوبها ابزارها و چک لیستهایی را برای کمک به شرکتهای تولیدکننده و ارایه دهنده محصولات IoT ارائه میدهد. چنین چارچوبهایی توسط انجمن GSM، بنیاد امنیتی IoT، کنسرسیوم اینترنت صنعتی و دیگران منتشر میشود.
در ماه سپتامبر 2015، دفتر تحقیقات فدرال اعلامیه خدمات عمومی را منتشر کرد که هشدارهایی در مورد آسیبپذیریهای احتمالی دستگاههای IoT و همچنین توصیههایی در مورد محافظت و دفاع از این محصولات ارائه داده است.
در آگوست سال 2017، کنگره، قانون بهبود فضای مجازی IoT را معرفی شد که بر اساس آن، هر دستگاه IoT که به دولت ایالات متحده آمریکا فروخته میشود، نباید از رمزهای عبور پیش فرض استفاده کنند، آسیبپذیریهای شناخته شده را نداشته باشد و مکانیزمهای لازم جهت پچ دستگاههای IOT نیز در آنها دیده شده باشد. در واقع این قانون مقدمات لازم برای اقدامات امنیتی که همه تولیدکنندگان باید اتحاذ کنند را تعیین کرده است.
همچنین در آگوست 2017، قانون ایجاد نوآوری و رشد اینترنت اشیا (DIGIT)، توانست به مجلس سنا راه پیدا کند، اما هنوز منتظر تصویب مجلس است. این لایحه به وزارت بازرگانی نیاز دارد تا یک گروه کاری تشکیل دهد و گزارشی را در مورد امنیت و حریم خصوصی دستگاههای IoT ایجاد و ارایه نماید.
اگرچه این موضوع خاص IoT نیست، مقررات عمومی حمایت از داده ها (GDPR)، که در می سال 2018 منتشر شد، قوانین حفظ حریم خصوصی دادهها را در سراسر اتحادیه اروپا متحدالشکل کرد. این حمایتها در دستگاههای IoT و شبکههای آنها گسترش یافت و سازندگان دستگاههای IoT باید آنها را مد نظر قرار دهند.
در ژوئن سال 2018، کنگره برنامههای جدید برای تحقیقات و معرفی فرایندهای IoT یا SMART IOT Act را ارایه کرد تا وزارت بازرگانی را مکلف به انجام مطالعه درباره صنعت IoT و ارائه توصیههایی برای رشد امن دستگاههای IoT کند.
در سپتامبر 2018، قانونگذار ایالتی کالیفرنیا قانون SB-327 مربوط به حفظ حریم خصوصی اطلاعات را تصویب کرد: قانونی که الزامات امنیتی دستگاههای IoT را که در این کشور فروخته میشود، معرفی نمود.
چه صنایعی در برابر تهدیدات امنیتی IoT آسیبپذیر هستند؟
نفوذپذیریهای امنیتی IoT میتواند در هر صنعتی اتفاق بیافتد، از خانه هوشمند گرفته تا یک کارخانه تولیدی یا یک ماشین متصل. شدت حمله تا حد زیادی به سیستم مورد حمله، دادههای جمعآوری شده و یا اطلاعات موجود در آن بستگی دارد.
یک حمله به عنوان مثال مانند غیرفعال کردن ترمزهای یک اتومبیل یا ایجاد تغییر در یک وسیله پزشکی مانند پمپ انسولین که برای تجویز بیش از حد دارو برای بیمار هک شده است، میتواند بسیار خطرناک باشد. به همین ترتیب، حمله به یک سیستم خنک کننده دارو که توسط یک سیستم IoT کنترل میشود، میتواند در صورت نوسان دما و بالا رفتن آن، دوام دارو را از بین ببرد. به طور مشابه، حمله به زیرساختهای بحرانی مانند چاه نفت، شبکه انرژی یا منبع آب میتواند فاجعه بار باشد.
نحوه محافظت از سیستمها و دستگاههای IoT
روشهای امنیتی IoT بسته به نوع برنامه IoT و مکان آن در اکوسیستم IoT، میتواند متفاوت باشد. به عنوان مثال، تولیدکنندگان IoT بایستی از ابتدا بر روی امنیت ساخت از جمله ساخت سخت افزار ضد زنگ، ساخت سخت افزار ایمن، اطمینان از قابلیلت ارتقا نقاط امنیتی، ارائه بروزرسانی firmware و انجام تست داینامیک متمرکز شوند. علاوه براین تمرکز توسعه دهندهگان نیزباید بر روی توسعه امن نرم افزارو ادغام آن با سختافزار باشند. همچنین برای کسانی که از سیستمهای IoT استفاده میکنند، فراهم کردن امنیت برای سخت افزار و احراز هویت از اقدامات اساسی محسوب میشود. به همین ترتیب در مورد اپراتورها نیز بروزرسانی سیستمها، کاهش بدافزارها، نظارت، محافظت از زیرساختها و حفظ اعتبار از اهمیت ویژهای برخوردار است.
اقدامات امنیتی مرسوم IoT شامل موارد زیر است:
گنجاندن امنیت در مرحله طراحی. توسعه دهندگان IoT باید امنیت را از ابتدای تولید دستگاه، مبتنی بر مصرف کننده، شرکت و یا مصرف صنعتی مد نظر قرار دهند. فعال کردن امنیت به صورت پیش فرض، همچنین ارائه جدیدترین سیستم عاملها و استفاده از سخت افزار ایمن بسیار مهم است.
مجوزهای هاردکد شده نباید جزئی از فرایند طراحی باشد. اقدامی که توسعه دهندگان میتوانند انجام دهند این است که قبل از راه اندازی دستگاه مجوزهای دسترسی توسط کاربر به روز شود. اگر دستگاه دارای مجوز پیش فرض باشد، کاربران باید در صورت امکان آنها را با استفاده از رمز عبور قوی یا احراز هویت چند فاکتوری یا بیومتریک به روز کنند.
PKI و گواهینامههای دیجیتال. زیر ساختهای کلید عمومی (PKI) و گواهی دیجیتالی 509، نقش مهمی در توسعه دستگاههای IoT ایمن، ایجاد اعتماد و کنترل لازم برای توزیع و شناسایی کلیدهای رمزگذاری عمومی، تبادل امن دادهها از طریق شبکهها و تایید هویت ایفا میکنند.
امنیت API. تامین امنیت APIها برای محافظت از یکپارچگی دادههای ارسال شده از دستگاههای IoT به سیستمهای جمعآوری داده و اطمینان ازدسترسی دستگاهها، توسعه دهندگان و برنامههای مجاز به APIها ضروری است.
مدیریت هویت. ارائه شناسه منحصر به فرد برای هر دستگاهی به منظور شناخت، چگونگی رفتار و نحوه ارتباط آن با سایر دستگاهها و همچنین انجام اقدامات امنیتی مورد نیاز آن، بسیار مهم است.
امنیت سخت افزار. Endpoint hardening شامل ایجاد دستگاههای tamper-proof است. این امر به ویژه در مواردی که از دستگاهها در محیطهای سخت استفاده میشود، و یا در جایی که آنها از نظر فیزیکی کنترل نشوند، مهم است.
رمزگذاری قوی برای برقراری ارتباط بین دستگاهها بسیار مهم است. دادهها در حالت استراحت و انتقال باید با استفاده از الگوریتمهای رمزنگاری محافظت شوند. این موضوع شامل استفاده از سیستم مدیریت کلید میباشد.
امنیت شبکه. محافظت از شبکه IoT شامل تضمین امنیت درگاه، غیرفعال کردن درگاه ارسال و عدم دسترسی به درگاه در صورت عدم نیاز، استفاده از antimalware، فایروالها و سیستم تشخیص نفوذ/سیستم پیشگیری از نفوذ، مسدود کردن آدرسهای IP غیرمجاز و اطمینان از بروزرسانی سیستمها و به روز بودن آنها میباشد.
کنترل دسترسی به شبکه. کنترل دسترسی به شبکه (NAC) میتواند به شناسایی و موجودی دستگاههای IoT که به یک شبکه وصل میشوند، کمک کند. این کار نیازمندی های لازم برای ردیابی و نظارت بر دستگاهها را فراهم میکند.
دستگاههای IoT که نیاز به اتصال مستقیم به اینترنت را دارند باید در شبکههای خود ایزوله شوند و دسترسی محدودی به شبکه سازمانی داشته باشند. بخشهای مختلف شبکه بایستی جهت شناسایی فعالیتهای غیر عادی مانیتور شوند و در صورت شناسایی یک مسئله اقدامات لازم انجام پذیرد.
دروازههای امنیتی. به عنوان واسطه بین دستگاههای IoT و شبکه عمل میکنند. دروازههای امنیتی نسبت به دستگاههای IoT قدرت پردازش، حافظه و توانایی بیشتری دارند که به آنها این امکان را میدهد تا با ارایه ویژگیهایی مانند فایروالها از عدم دسترسی هکرها به دستگاههای IoT اطمینان حاصل کنند.
مدیریت بروزرسانی/بروزرسانیهای مداوم نرمافزار. فراهم کردن کردن ابزارهای بروزرسانی دستگاهها و نرمافزار از طریق اتصالات شبکه یا از طریق اتوماسیون بسیار مهم است. همچنین داشتن یک منبع اطلاعرسانی در مورد آسیبپذیریها جهت بروزرسانی دستگاهها در اسرع وقت حائز اهمیت است.
امنیت IoT و سیستمهای عملیاتی برای بسیاری از تیمهای امنیتی موضوع جدیدی است. آشنایی کارمندان امنیتی با سیستمهای جدید و ناشناخته، یادگیری معماریها و زبانهای برنامه نویسی جدید و آمادگی در مقابل چالشهای امنیتی جدید بسیار مهم است. تیمهای امنیتی نیز باید به طور منظم آموزشهای لازم درباره تهدیدات و اقدامات امنیتی مدرن را دریافت کنند.
یکپارچه کردن تیمها. در کنار آموزش، ادغام تیمهای متفاوت و منظم میتواند مفید باشد. به عنوان مثال، داشتن توسعه دهندگان برنامه نویسی با متخصصان امنیتی میتواند این اطمینان حاصل کند که کنترلهای مناسب در مرحله توسعه به دستگاهها اضافه میشوند.
آموزش مشتری. مشتریان باید از خطرات سیستمهای IoT آگاه شوند و در مورد اقداماتی که میتوانند در جهت افزایش امنیت دستگاههای IoT از جمله بروزرسانی مجوزهای پیش فرض و اعمال بروزرسانیهای نرمافزاری انجام شوند، مطلع سازند. مشتریان همچنین میتوانند نقش اصلی را در ایجاد نیاز برای تولید کنندگان جهت تولید دستگاه ایمن و عدم استفاده از دستگاههایی که مطابق با استانداردهای امنیتی بالا طراحی نشده باشند، ایفا کنند.
برای هر گونه توسعه IoT، سنجیدن هزینه امنیت در برابر خطرات قبل از اجرا بسیار مهم است.
دیدگاهتان را بنویسید