مرکز تخصصی آپا دانشگاه ارومیه (CSIRT)
همه در مورد امنیت اینترنت اشیاء نگران هستند. اینترنت اشیاء باعث شده بتوانیم شبکهای متصل از خودروهای بدون سرنشین را طراحی کنیم، به شبکههای متصل زیرساختهای حیاتی برسیم و برنامههای کاربردی هوشمندتری داشته باشیم. گارتنر پیشبینی کرده تا پایان سال ۲۰۲۰ میلادی نزدیک به ۲۱ میلیارد دستگاه اینترنت اشیاء خواهیم داشت. با این حال شرکتهایی که کسبوکار خود را با تولید دستگاههای متعدد اینترنت اشیاء رونق میدهند، باید همواره به امنیت و ارزیابی خطرات این اکوسیستم نیز بپردازند.
در یک سازمان، توسعهدهندگان و تصمیمگیرندگان میتوانند در مرحلهی توسعه و طراحی محصول، ارزیابیهای امنیتی لازم را بر روی این دستگاهها انجام دهند. در حین توسعهی محصول، شرکتها میتوانند یک نمونهی عالی از امنیت اینترنت اشیاء را بهعنوان الگوی خود انتخاب کرده و باتوجه به معیارهایی که در آن معرفی شده پیش بروند.
حفظ امنیت در اکوسیستم اینترنت اشیاء در زمان حال
برای اینکه به سیستمی امن برسیم باید سطوحی را که ممکن است در آنها آسیبپذیری وجود داشته باشد، کمتر کنیم و این مسئله نیازمند این است که بر روی تمامی بخشهای سیستم ارزیابی و حسابرسی جامع و کاملی داشته باشیم. مؤلفههایی که در ادامه توضیح دادهایم، باید حتماً در یک اکوسیستم اینترنت اشیاء، برای کشف آسیبپذیری مورد ارزیابی قرار بگیرند:
سیستم عامل: هر نقطهای از یک موجودیت مانند پورتها و پروتکلها، میتوانند نقطهای برای انجام حمله باشند. معمولاً بر روی دستگاههای اینترنت اشیاء سامانه عاملی کوچک و سبکوزن وجود دارد که بررسی آسیبپذیریهای امنیتی آن کار بسیار سختی نیست. در طرف مقابل اگر بخواهیم بررسی کنیم، سیستم عاملهایی مانند لینوکس وجود دارند که سرویسهای متعددی را ارائه میکنند و ممکن است در آنها لایههای مخفی از بردارهای حمله بوجود آید.
برنامههای کاربردی: ممکن است بر روی یک تراشه، چندین برنامهی کاربردی در حال اجرا شدن باشد. بنابراین هرچه تعداد این برنامههای کاربردی بیشتر شود، احتمال وقوع اشکالات و آسیبپذیریها نیز بیشتر میشود. باتوجه به کاربرد محصول اینترنت اشیاء، ضروری است تا بر روی تمامی این برنامههای کاربردی نیز ارزیابیهای امنیتی صورت گیرد.
وابستگیها: وقتی میخواهید فرآیندی را راهاندازی کنید، به وابستگیهای آن و به کتابخانههایی که استفاده میکند توجه داشته باشید و حتما بهروز بودن آنها را بررسی کرده و اعتبارسنجی انجام دهید. رمزنگاریها و پروتکلهای ارتباطی مدرن در طول زمان تکامل مییابند، شما باید وجود آسیبپذیری در این فناوریها را در طول زمان مورد بررسی قرار دهید. مانند برنامههای کاربردی، اگر تعداد وابستگیها بیشتر باشد، مسلماً سطح نگهداریها نیز افزایش مییابد.
ارتباطات: اگر ارتباطات بین اشیاء و یا اشیاء با سرویس اَبر بهطور رمزنگاریشده انجام نشود، حملات مردِ میانی، حملهی بازپخش و از دست دادن دادههای حساس، تنها بخشی از تهدیداتی است که ممکن است در اکوسیستم اینترنت اشیاء و در زمینهی ارتباطات رخ دهد. رمزنگاری مناسب، محرمانگی، صحت و اصالت دادهها را در اکوسیستم اینترنت اشیاء تضمین میکند.
بستر اَبر: سرورهایی که دائماً روشن هستند و در ارتباط با بخشهای دیگر قرار دارند، باید بهطور مداوم تحت کنترل و نظارت قرار بگیرند. اگر شبکه، برنامههای کاربردی و وابستگیها را در اکوسیستم اینترنت اشیاء کمتر کنید، نیازمندیهای نظارتی و ارزیابی تهدیدات بر روی بستر اَبر نیز بهطور چشمگیری کاهش مییابد. شما در این شرایط کافی است در فهرست ایمیل سیستم عامل، پروتکل و کتابخانههای مورد نظر خود مشترک شده و از آسیبپذیریهایی که کشف شده در اسرع وقت مطلع شوید.
امنیت در دسترسی کاربران: تهدیدات میتوانند شکل و اندازهی مختلفی داشته باشند و حتی ممکن است داخل سازمان مورد نظر باشند. در داخل گروه خود ضروری است تا آگاهیهای امنیت و فرهنگ سیستمهای امن را منتشر کنید. به کارکنان خود در سازمانها در مورد حملات فیشینگ و مهندسی اجتماعی آموزش دهید. عملیاتی مانند احراز هویت دو-عاملی، انتخاب گذرواژههای قوی و رمزنگاری کامل بر روی دیسکها میتواند گستردهی تهدیدات و خطرها را بهطور چشمگیری کاهش دهد.
حفظ امنیت در اکوسیستم اینترنت اشیاء در زمان آینده
خیلی سخت است پیشبینی کنیم ۵ یا ۱۰ سال بعد، دنیای تهدیدات سایبری در حوزهی اینترنت اشیاء چگونه متحول خواهد شد ولی موضوعی که بدیهی است این است که باید با گذر زمان نظارتها و کنترلها را بر روی سیستمها حفظ کرده و پابهپای رشد در عرصهی تهدیدات سایبری، راهکارهای دفاعی خود را نیز رشد دهیم. ویژگیها و عملیات زیر میتواند از وقوع آسیبپذیریها در آینده جلوگیری کند:
تست نفوذ: محققان امنیتی را پیدا کنید که بر روی سیستمهای شما آسیبپذیریها را کشف و برطرف کنند. در این صورت مطمئن هستید که در دنیای سریع تهدیدات سایبری، از سیستمی امن برخوردار هستید. اگر بخواهید سیستمهای فعلی شما در آینده ضدنفوذ باشند، انجام عملیاتی مانند تست نفوذ بسیار ضروری است.
بازبینی کدهای ثابتافزارها: در طول طراحی برنامههای کاربردی، به دیگر کارشناسان امنیتی اجازه بدهید ثابتافزارهای محصول و نرمافزار را مورد بررسی قرار داده و اگر آسیبپذیری وجود دارد، به شما گزارش دهند.
سازوکارهای بهروزرسانی امنیتی: پروتکلهای امنیتی با گذر زمان تکامل یافته و بهبود داده میشوند. باید سازوکاری وجود داشته باشد تا زمانیکه آسیبپذیری بر روی این پروتکلها و سرویسها کشف شد، بتوان با استفاده از آنها، بهروزرسانیهای امنیتی را بهطور خودکار و هرچه سریعتر وصله کرد.
از آنجایی که فناوری اینترنت اشیاء بسیار بالغ است، با گذشت زمان میتوان نظرات بیشتری در مورد امنیت این فناوری ارائه داد. با اینحال ضروری است در تمامی شرکتها پیش از توسعه و طراحی یک محصول اینترنت اشیاء، یک چکلیست امنیتی تهیه شده و براساس آن پیش رفت. در یک نفوذ بسیار خطرناک، ممکن است داراییها، شهرت و نام تجاری یک شرکت به خطر بیفتد.
