واحد سایبری

امنیت سایبری اینترنت اشیا به آرامی توجه جریان اصلی را به خود جلب می‌کند

در این مصاحبه برای Help Net Security، جیسون اوبرگ، CTO در Cycuity، در مورد امنیت سایبری دستگاه‌های IoT، از تولید تا استفاده، و اینکه تا چه حد به تامین امنیت این دستگاه‌ها رسیده‌ایم، صحبت می‌کند.

اینترنت اشیا مدت زیادی است که بخشی از واقعیت ما بوده است، اما در مورد امنیت این دستگاه‌ها چطور؟ آیا تبدیل به یک اولویت می‌شود؟

ما شاهد افزایش نگرانی و اولویت‌بندی امنیت اینترنت اشیا بوده‌ایم، این هم به دلیل محبوبیت روزافزون این دستگاه‌ها و هم به دلیل فشاری است که بخش عمومی برای تقویت امنیت سایبری آمریکا شاهد آن هستیم. اخیراً، کاخ سفید ابتکاری را برای توسعه برچسب‌هایی برای دستگاه‌های IoT اعلام کرد تا مصرف‌کنندگان بتوانند به راحتی تشخیص دهند که کدام دستگاه‌ها بالاترین استانداردهای امنیت سایبری را دارند.

ما همچنین صحبت‌های زیادی در مورد اهمیت لایحه مواد نرم افزاری یا SBOM شنیده ایم. در حالی که ما شاهد فشار برای ایمن سازی نرم افزار این محصولات هستیم، اما امنیت سخت افزار همچنان یک عامل آسیب پذیر است که باید زودتر اولویت بندی شود، زیرا نرم افزار فقط به اندازه سخت افزاری که روی آن اجرا می‌شود ایمن است. همانطور که نرم افزار همچنان در اولویت قرار می‌گیرد و امنیت تقویت می‌شود، عوامل تهدید برای یافتن منافذ در جاهای دیگر تلاش خواهند کرد و باز شدن آنها شکاف‌هایی است که در سخت افزار وجود دارد.

امنیت در کجای فرآیند تولید محصول قرار می‌گیرد؟

مانند هر توسعه محصول دیگری، زمان سریع برای رسیدن به بازار بسیار مهم است. در روزگار کنونی، بسیاری از سازمان‌ها به شدت کمبود کارکنان دارند، اما هنوز برنامه‌های بسیار تهاجمی دارند. در حالی که امنیت همچنان به اولویت بالایی برای اکثر سازمان‌ها تبدیل می‌شود، توانایی اجرای یک برنامه امنیتی خوب در حین ارسال به موقع محصول با منابع محدود، تامین امنیت را به چالشی تبدیل می‌کند.

رویکرد مرسوم برای امنیت انجام برخی تحلیل‌های اضافی در پایان، درست قبل از ارسال محصول است. امروزه، این رویکرد به ندرت جواب می‌دهد، زیرا بیرون آوردن محصول، تقریباً همیشه اولویت دارد. همانطور که گفته شد، ما شاهد تغییر جهت تبدیل امنیت به یک جزء کلیدی از کل فرآیند توسعه هستیم به طوری که رویکرد سیستماتیک، قابل پیش بینی و مقیاس پذیر با برنامه توسعه معمول باشد. این به تیم‌ها امکان می‌دهد تا بدون به خطر انداختن اهداف انتشار محصول خود، برای امنیت به طور مؤثرتری برنامه ریزی کنند. این رویکرد به‌ویژه برای سخت‌افزارهایی که اغلب نمی‌توانند در این زمینه وصله شوند، مؤثر است. بنابراین درست کردن آن برای اولین بار بسیار مهم است، هم برای عملکرد محصول و هم برای امنیت.

در مورد امنیت پس از استقرار دستگاه‌ها چطور؟

به دلیل سادگی بسیاری از دستگاه‌های اینترنت اشیا، بروزرسانی از راه دور برای اصلاح مسائل امنیتی می‌تواند یک چالش باشد. اگر مسائل امنیتی در سیلیکون، بوت رام یا میکروکد باشد و اصلاً از راه دور یا از راه دور به‌روزرسانی نشود، این موضوع پیچیده‌تر می‌شود. از آنجایی که مسائل امنیتی همیشه مطرح می‌شوند، انعطاف پذیری امنیتی برای اطمینان از اینکه هر گونه سوء استفاده با حداقل هزینه قابل حل است، مهم است.

هیچ معادله کاملی برای مدیریت این موضوع وجود ندارد، اما سیستماتیک بودن در یک برنامه امنیتی می‌تواند به حداقل بودن هزینه کلی امنیت کمک کند. این شامل درک مدل تهدید و الزامات امنیتی برای محصول، برای جبران تاثیر سوء استفاده در میدان و احتمال موفقیت یک مهاجم است. ایجاد توانایی به‌روزرسانی ویژگی‌هایی که تأثیر زیادی بر امنیت دارند و احتمال بهره‌برداری بالایی دارند، باید تمرکز اصلی باشد.

چه چیزی اینترنت اشیا را برای مجرمان سایبری جذاب می‌کند؟

در حالی که دستگاه‌های اینترنت اشیا از منظر الکترونیکی بسیار ساده هستند، سیستم‌هایی که به آنها متصل می‌شوند پیامدهای بسیار بالایی دارند. این آنها را به یک نقطه ورود منطقی و قابل دوام برای مهاجم تبدیل می‌کند تا داده‌ها را در شبکه‌ای که به آن متصل است به خطر بیاندازد. این مصالحه‌ها می‌تواند حریم خصوصی مصرف کننده را نقض کند یا باعث اختلال در یکپارچگی زیرساخت‌های حیاتی شود.

علاوه بر این، دستگاه‌های IoT اغلب می‌توانند توسط مهاجم به صورت فیزیکی دسترسی داشته باشند که بردارهای حمله را باز می‌کند که در غیر این صورت فقط از طریق اینترنت امکان‌پذیر نخواهد بود. مهاجم می‌تواند پین‌های تراشه‌ها را برای حملات کانال جانبی بررسی کند، سعی کند محتوای حافظه را بخواند تا کد بوت مهندسی معکوس کند، بدافزار خود را مستقیماً به تراشه تزریق کند و غیره. همه این بردارهای حمله را می‌توان برای به خطر انداختن داده‌های بسیار ارزشمند در شبکه‌هایی که به آنها متصل هستند، مورد استفاده قرار داد.

به‌ویژه از نظر امنیت، پیشرفت اینترنت اشیا را در آینده چگونه می‌بینید؟

من فکر می‌کنم بازار امنیت اینترنت اشیا از چند جهت تکامل خواهد یافت. اول، ویژگی‌های امنیتی بسیار بیشتری در سخت‌افزار ساخته می‌شود تا پایه‌ای از عملکرد امنیتی در سراسر بازار اینترنت اشیا ارائه شود. فعال کردن ویژگی‌های امنیتی مانند راه‌اندازی امن و تأیید از راه دور به حذف بسیاری از بردارهای حمله آسان کمک می‌کند.

دوم، اتخاذ رویکردهای جامع و سیستماتیک برای امنیت بیشتر خواهد بود که تضمین می‌کند الزامات امنیتی به درستی در طول فرآیند توسعه اجرا و تأیید می‌شوند. این به توسعه دهندگان دستگاه‌های اینترنت اشیا امکان می‌دهد تا اطمینان حاصل کنند که ویژگی‌های امنیتی مناسبی دارند و این ویژگی‌ها به درستی کار می‌کنند و هر دو را به گونه‌ای انجام می‌دهند که آنها را قادر می‌سازد تا بدون به خطر انداختن امنیت، به اهداف خود در بازار برسند.

https://313-313.ir/