چک‌لیست‌های امنیتی اینترنت اشیاء برای امروز و فردای سازمان‌ها

چک‌لیست‌های امنیتی اینترنت اشیاء برای امروز و فردای سازمان‌ها

چهارشنبه, ۲۷ اردیبهشت, ۱۳۹۶ ساعت ۱۲:۳۷

همه در مورد امنیت اینترنت اشیاء نگران هستند. اینترنت اشیاء باعث شده بتوانیم شبکه‌ای متصل از خودروهای بدون سرنشین را طراحی کنیم، به شبکه‌های متصل زیرساخت‌های حیاتی برسیم و برنامه‌های کاربردی هوشمندتری داشته باشیم. گارتنر پیش‌بینی کرده تا پایان سال ۲۰۲۰ میلادی نزدیک به ۲۱ میلیارد دستگاه اینترنت اشیاء خواهیم داشت. با این حال شرکت‌هایی که کسب‌وکار خود را با تولید دستگاه‌های متعدد اینترنت اشیاء رونق می‌دهند، باید همواره به امنیت و ارزیابی خطرات این اکوسیستم نیز بپردازند.

در یک سازمان، توسعه‌دهندگان و تصمیم‌گیرندگان می‌توانند در مرحله‌ی توسعه و طراحی محصول، ارزیابی‌های امنیتی لازم را بر روی این دستگاه‌ها انجام دهند. در حین توسعه‌ی محصول، شرکت‌ها می‌توانند یک نمونه‌ی عالی از امنیت اینترنت اشیاء را به‌عنوان الگوی خود انتخاب کرده و باتوجه به معیارهایی که در آن معرفی شده پیش بروند.

 

حفظ امنیت در اکوسیستم اینترنت اشیاء در زمان حال

برای اینکه به سیستمی امن برسیم باید سطوحی را که ممکن است در آن‌ها آسیب‌پذیری وجود داشته باشد، کمتر کنیم و این مسئله نیازمند این است که بر روی تمامی بخش‌های سیستم ارزیابی و حساب‌رسی جامع و کاملی داشته باشیم. مؤلفه‌هایی که در ادامه توضیح داده‌ایم، باید حتماً در یک اکوسیستم اینترنت اشیاء، برای کشف آسیب‌پذیری مورد ارزیابی قرار بگیرند:

سیستم عامل: هر نقطه‌ای از یک موجودیت مانند پورت‌ها و پروتکل‌ها، می‌توانند نقطه‌ای برای انجام حمله باشند. معمولاً بر روی دستگاه‌های اینترنت اشیاء سامانه عاملی کوچک و سبک‌وزن وجود دارد که بررسی آسیب‌پذیری‌های امنیتی آن کار بسیار سختی نیست. در طرف مقابل اگر بخواهیم بررسی کنیم، سیستم عامل‌هایی مانند لینوکس وجود دارند که سرویس‌های متعددی را ارائه می‌کنند و ممکن است در آن‌ها لایه‌های مخفی از بردارهای حمله بوجود آید.

برنامه‌های کاربردی: ممکن است بر روی یک تراشه، چندین برنامه‌ی کاربردی در حال اجرا شدن باشد. بنابراین هرچه تعداد این برنامه‌های کاربردی بیشتر شود، احتمال وقوع اشکالات و آسیب‌پذیری‌ها نیز بیشتر می‌شود. باتوجه به کاربرد محصول اینترنت اشیاء، ضروری است تا بر روی تمامی این برنامه‌های کاربردی نیز ارزیابی‌های امنیتی صورت گیرد.

وابستگی‌ها: وقتی می‌خواهید فرآیندی را راه‌اندازی کنید، به وابستگی‌های آن و به کتابخانه‌هایی که استفاده می‌کند توجه داشته باشید و حتما به‌روز بودن آن‌ها را بررسی کرده و اعتبارسنجی انجام دهید. رمزنگاری‌ها و پروتکل‌های ارتباطی مدرن در طول زمان تکامل می‌یابند، شما باید وجود آسیب‌پذیری در این فناوری‌ها را در طول زمان مورد بررسی قرار دهید. مانند برنامه‌های کاربردی، اگر تعداد وابستگی‌ها بیشتر باشد، مسلماً سطح نگهداری‌ها نیز افزایش می‌یابد.

ارتباطات: اگر ارتباطات بین اشیاء و یا اشیاء با سرویس اَبر به‌طور رمزنگاری‌شده انجام نشود، حملات مردِ میانی، حمله‌ی بازپخش و از دست دادن داده‌های حساس، تنها بخشی از تهدیداتی است که ممکن است در اکوسیستم اینترنت اشیاء و در زمینه‌ی ارتباطات رخ دهد. رمزنگاری مناسب، محرمانگی، صحت و اصالت داده‌ها را در اکوسیستم اینترنت اشیاء تضمین می‌کند.

بستر اَبر: سرورهایی که دائماً روشن هستند و در ارتباط با بخش‌های دیگر قرار دارند، باید به‌طور مداوم تحت کنترل و نظارت قرار بگیرند. اگر شبکه، برنامه‌های کاربردی و وابستگی‌ها را در اکوسیستم اینترنت اشیاء کمتر کنید، نیازمندی‌های نظارتی و ارزیابی تهدیدات بر روی بستر اَبر نیز به‌طور چشمگیری کاهش می‌یابد. شما در این شرایط کافی‌ است در فهرست ایمیل سیستم عامل، پروتکل و کتابخانه‌های مورد نظر خود مشترک شده و از آسیب‌پذیری‌هایی که کشف شده در اسرع وقت مطلع شوید.

امنیت در دسترسی کاربران: تهدیدات می‌توانند شکل و اندازه‌ی مختلفی داشته باشند و حتی ممکن است داخل سازمان مورد نظر باشند. در داخل گروه خود ضروری است تا آگاهی‌های امنیت و فرهنگ سیستم‌های امن را منتشر کنید. به کارکنان خود در سازمان‌ها در مورد حملات فیشینگ و مهندسی اجتماعی آموزش دهید. عملیاتی مانند احراز هویت دو-عاملی، انتخاب گذرواژه‌های قوی و رمزنگاری کامل بر روی دیسک‌ها می‌تواند گسترده‌ی تهدیدات و خطرها را به‌طور چشمگیری کاهش دهد.

 

حفظ امنیت در اکوسیستم اینترنت اشیاء در زمان آینده

خیلی سخت است پیش‌بینی کنیم ۵ یا ۱۰ سال بعد، دنیای تهدیدات سایبری در حوزه‌ی اینترنت اشیاء چگونه متحول خواهد شد ولی موضوعی که بدیهی است این است که باید با گذر زمان نظارت‌ها و کنترل‌ها را بر روی سیستم‌ها حفظ کرده و پابه‌پای رشد در عرصه‌ی تهدیدات سایبری، راه‌کارهای دفاعی خود را نیز رشد دهیم. ویژگی‌ها و عملیات زیر می‌تواند از وقوع آسیب‌پذیری‌ها در آینده جلوگیری کند:

تست نفوذ: محققان امنیتی را پیدا کنید که بر روی سیستم‌های شما آسیب‌پذیری‌ها را کشف و برطرف کنند. در این صورت مطمئن هستید که در دنیای سریع تهدیدات سایبری، از سیستمی امن برخوردار هستید. اگر بخواهید سیستم‌های فعلی شما در آینده ضدنفوذ باشند، انجام عملیاتی مانند تست نفوذ بسیار ضروری است.

بازبینی کدهای ثابت‌افزارها: در طول طراحی برنامه‌های کاربردی، به دیگر کارشناسان امنیتی اجازه بدهید ثابت‌افزارهای محصول و نرم‌افزار را مورد بررسی قرار داده و اگر آسیب‌پذیری وجود دارد، به شما گزارش دهند.

سازوکارهای به‌روزرسانی امنیتی: پروتکل‌های امنیتی با گذر زمان تکامل یافته و بهبود داده می‌شوند. باید سازوکاری وجود داشته باشد تا زمانی‌که آسیب‌پذیری بر روی این پروتکل‌ها و سرویس‌ها کشف شد، بتوان با استفاده از آن‌ها، به‌روزرسانی‌های امنیتی را به‌طور خودکار و هرچه سریع‌تر وصله کرد.

از آنجایی که فناوری اینترنت اشیاء بسیار بالغ است، با گذشت زمان می‌توان نظرات بیشتری در مورد امنیت این فناوری ارائه داد. با این‌حال ضروری است در تمامی شرکت‌ها پیش از توسعه و طراحی یک محصول اینترنت اشیاء، یک چک‌لیست امنیتی تهیه شده و براساس آن پیش رفت. در یک نفوذ بسیار خطرناک، ممکن است دارایی‌ها، شهرت و نام تجاری یک شرکت به خطر بیفتد.


پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ده − 9 =