1. Cihaz keşfi ve yönetimi

Göremediğiniz şeyi koruyamazsınız.

Bu, etraftaki en eski güvenlik atasözlerinden biridir. Ağ ve cihaz güvenliğini düşünmeden önce, tam olarak neyin güvenceye alınması gerektiğini bilmek önemlidir.

Port tarama, protokol analizi ve diğer algılama teknikleri, hangi cihazların kurumsal ağlara bağlandığını belirleyebilir. Nmap, Shodan ve Masscan gibi ücretsiz araçlar da mevcuttur. ticari ürün ve hizmetler keşfeden, tanımlayan ve IoT cihazlarını yönetin.

bir Zamanlar IOT cihazları keşfedildiğinde, cihazların neye erişebileceğini - ve olması gerektiğini - ve bunun nedenini anlamak için bir IoT risk değerlendirmesi gerçekleştirin. Onaylanan cihazları, her bir cihazın ilişkili yama yönetimi süreçleri ve yaşam döngüsü bilgileriyle birlikte bir kurumsal varlık kaydında listeleyin. Bağlı cihazları da sızma testlerine dahil ettiğinizden emin olun. Uzaktan silme ve bağlantıyı devre dışı bırakma gibi kaybolan veya çalınan cihazları yönetmek için politikalar ve yetenekler oluşturun.

Güvenlik açığı bulunan bağlı cihazlar her zaman bariz tehditler değildir ve genellikle gölge BT kategorisine girer. Bağlı yazıcıları, akıllı buzdolaplarını ve sensörler makinelere eklendi. Hedef satış noktası veri ihlalini hatırlıyor musunuz? Bunun nedeni, bir yüklenicinin şirketin bağlı HVAC sisteminde oturum açma bilgilerini kötüye kullanmasıydı. Cihaz keşfi yoluyla tüm gölge IoT cihazlarından haberdar olun.

Tüketici IoT cihazlarını da düşünün - özellikle COVID-19 salgını sırasında uzaktan çalışan birçok çalışan varken. Kurumsal bir dizüstü bilgisayarla aynı ağa bağlı akıllı hoparlörler, gizlilik felaketi yaratmak. Kullanıcıları IoT cihazları hakkında uyarmak için güvenlik farkındalığı eğitimi düzenleyin ve bunların bir sorun haline gelmesini önlemek için politikalar uygulayın.

2. Kimlik doğrulama, yetkilendirme ve erişim kontrolü

IoT cihazları, tanımı gereği, kimlik doğrulama ve yetkilendirmeye yardımcı olabilecek benzersiz bir tanımlayıcıya sahiptir. Hangi cihazların ağa bağlandığını keşfettikten sonra, nelere erişip konuşabileceklerine karar verin. Bununla birlikte, başa çıkılması gereken yüzlerce hatta binlerce benzersiz kimlikle, bu görev göz korkutucu görünebilir.

üzerinde çalıştırın en az ayrıcalık ilkesi cihazların yalnızca işlerini yapmaları için gerekli olanı görmesine ve bunlara erişmesine izin vermek. Fabrikada yüklenmiş bir parolayla gelen tüm cihazları güncelleyin. Güçlü parolalar IoT riskleriyle mücadeleye yardımcı olur. Mümkünse iki faktörlü veya çok faktörlü kimlik doğrulama kullanılmalıdır.

Genel olarak konuşursak, donanım tabanlı güven kökleri, en güçlü IoT güvenlik seçeneği olarak kabul edilir. Bunlar doğrudan donanıma yerleşiktir ve bir aygıta gömülüdür. Güvenilir bir ortak anahtar altyapısından verilen dijital sertifikalar (PKI) da kullanılabilir, ancak bazı cihazların bunları işleme yeteneği yoktur. Bu örnekte diğer hafif kriptografik algoritmalar kullanılabilir - aşağıda daha fazlası.

Biyometri ve blockchain gibi daha yeni teknolojiler de IoT cihazlarının kimliğini doğrulamak için kullanılabilir. Yı almak sıfır güven yaklaşımı ayrıca cihazları ve erişim haklarını kontrol etmek için etkili bir seçenektir. Ticari IoT platformları ayrıca cihazları yönetmek ve cihazların hangi verilere, diğer cihazlara ve ağlara erişebileceğini kontrol etmek için özellikler sunar.

3. IoT şifreleri

Sorunlu parolalar, kimlik doğrulama, yetkilendirme ve erişim kontrolü ile ilgilidir. 2016 sonbaharındaki Mirai saldırılarının izini, fabrika varsayılanı veya sabit kodlanmış parolaları olan bağlı kameralara ve diğer IoT cihazlarına kadar takip edildi. Siber suçlular, bu cihazları ve bilinen kimlik bilgileri listesini (bazı hesaplara göre yalnızca 60 kullanıcı adı/şifre kombinasyonu içeren bir liste) kullanarak sunuculara sızdı.

Buradaki sorumluluk iki yönlüdür. Kuruluşlar ve son kullanıcılar, varsayılan parolaları güncelleme konusunda dikkatli olmalıdır. şifre politikası ve güçlü parolalar veya parolalar kullanmak. Ancak parolalar sabit kodlanmışsa bu bir seçenek değildir. Cihaz üreticilerinin sorumluluktan paylarını almaları gereken yer burasıdır. Hiçbir cihaz, asla sabit kodlanmış bir parola ile oluşturulmamalıdır.

[Gömülü içerik]

4. Yama ve güncellemeler

Cihazları güncellemek ve yama uygulamak, herhangi bir güvenlik stratejisinin kritik bir bileşenidir. En büyük IoT güvenlik zorluklarından biri, işletim sistemi, uygulamalar ve iletişim teknolojisi dahil olmak üzere eski yazılım ve ürün yazılımının kullanılmasıdır.

IoT ortamları, birkaç benzersiz yama ve güncelleme zorluğu sunar. İlk olarak, bazı cihazlara erişilemez. Farzedelim sensörler dağılmış Sıcaklık, nem ve rutubeti tespit etmek için yüzlerce dönümlük tarım arazisinde? Ya da titreşimini ve hava durumunu izleyen bir köprünün tepesindeyseler?

İkincisi, güncellemeleri gerçekleştirmek için tüm cihazlar uzun süre çevrimdışı tutulamaz. Bir saat ya da bir saat çevrimdışı kalırsa, bir endüstriyel kuruluşa milyonlarca dolara mal olabilecek kritik üretim ekipmanlarını düşünün. akıllı şebeke milyonlarca insanın ısı veya elektrik için bağımlı olduğu.

Ardından, bazı IoT cihazlarının kullanıcı arayüzü veya ekranı olmadığını ve bazılarının güncellemeleri bile kabul etmeyeceğini ekleyin. Veya bir cihaz güncellemeleri kabul ediyorsa ancak güncellemedeki bir şey cihazı bozar ve sistem arızasına neden olursa ne olur? Cihaz iyi olduğu bilinen bir duruma nasıl geri döndürülecek?

Satıcılar da yama sorunları yaratabilir. Bazı cihazların kullanım ömrü dolabilir ve artık üretici tarafından desteklenmeyebilir. Benzer şekilde, bazı sağlayıcılar sorumsuz davranır ve bir güvenlik açığı keşfedildiğinde güvenlik güncellemeleri yayınlamaz, bu da müşterilerini potansiyel güvenlik ihlallerine açık bırakır.

IoT yama yeteneklerinden emin olmak için her bir IoT cihazını, cihaz keşfinin bir parçası olarak bir varlık kaydına girin veya evlat edinme süreci. Her cihazın hangi yazılım ve donanım sürümlerini çalıştırdığını ekleyin ve güncellemelerin ne zaman kullanıma sunulup yüklendiğini takip edin. Ayrıca, cihazların ne zaman kullanım ömrünün sonuna geldiğini ve kullanımdan kaldırılması gerektiğini takip edin. Canlı ortamlarda eski cihazların kullanılması birçok güvenlik açığı oluşturur.

Mümkünse, IoT dağıtımlarından önce yama uygulama ve güncelleme işlemlerini göz önünde bulundurun. Emin ol kablosuz güncellemeler kullanılabilir ve güvenlidir. Ayrıca, otomatik güncellemeler veya periyodik bir program arasında karar verin; her birinin kendi avantajları ve dezavantajları vardır.

Akıllıca bir IoT platformu seçin. Çoğu, otomasyon gibi düzeltme eki uygulama ve güncelleme işlemlerini kolaylaştıran özellikler içerir ve geri alma veya sıfırlama gerektiren cihazları yönetebilir. göz kulak ol Nesnelerin İnterneti çalışma grubu için İnternet Mühendisliği Görev Gücü Yazılım Güncellemeleri, IoT ürün yazılımı güncellemeleri için bir standart geliştiriyor.

5. Nesnelerin İnterneti saldırıları

IoT ortamları tabidir aynı tehditlerin çoğu DDoS saldırıları, bot ağları, kötü amaçlı yazılımlar ve fidye yazılımları dahil olmak üzere diğer siber ortamlar gibi.

Bir IoT DDoS saldırısının ciddiyetini tam olarak anlamak için 2016 Mirai saldırılarından başkasına bakmayın. Saldırılar başlangıçta bir Minecraft sunucu ana bilgisayarını hedef alırken, kötü amaçlı yazılım önce güvenlik muhabiri Brian Krebs'in web sitesini ve Fransız web sunucusu OVH'yi vurdu. Bir ay sonra botnet, DNS servis sağlayıcısı Dyn'i hedeflemek için kullanıldı ve bu da Amazon, Netflix ve Twitter dahil olmak üzere birçok yüksek profilli sitenin kesintiye uğramasına neden oldu.

Ne yazık ki, bir DDoS saldırısını önlemek neredeyse imkansızdır. Kuruluşlar şu adımları atabilir: birinin başarılı olmasını engellemek, Yine de. DDoS özellikli saldırı önleme/algılama sistemlerini (IPS'ler/IDS'ler) kullanın veya DDoS paketlerini ağa ulaşmadan önce algılayıp filtreleyebilen bir ISP ile ortak olun. Diğer temelleri takip edin siber hijyen güvenlik duvarları, kötü amaçlı yazılımdan koruma, uç nokta güvenlik platformları, uç nokta algılama ve yanıt (EDR) ve genişletilmiş algılama ve yanıt yazılımı dahil olmak üzere uygulamalar.

Botnet, fidye yazılımı ve diğer IoT saldırılarını önlemek için cihaz yazılımını güncel tutun, varsayılan parolaları değiştirin ve ağ trafiğini izleyin. IoT cihazlarının erişebileceği veri ve ağları bölümlere ayırın ve izinsiz girişleri durdurmak için güvenlik duvarlarını kullanın. Ayrıca, cihazlardaki tüm gereksiz özellikleri devre dışı bırakın ve cihazlardan ve ağlardan gelen verileri düzenli olarak yedekleyin. Bir IoT risk değerlendirmesi, potansiyel tehditleri ve bunların etkilerini belirlemeye de yardımcı olabilir.

6. Fiziksel güvenlik

IoT cihazları sadece siber güvenlik tehditlerinden değil, fiziksel güvenlik tehditlerinden de korunmalıdır. IoT sensörleri, giyilebilir cihazlar ve uç cihazlar dahil olmak üzere IoT donanımına bir ağın diğer parçalarından daha kolay erişilebilir olduğundan, fiziksel tehditlere maruz fiziksel hasar, kurcalama ve hırsızlık gibi sabit kodlanmış parolaların ötesinde.

Güvenli olmayan cihazlar, fiziksel olarak kırılırsa, portları veri sızdıran bir cihaza bağlı olabilir. Depolama mekanizmaları da kaldırılabilir ve veriler çalınabilir. Bu fiziksel erişim, daha büyük ağa bir giriş noktası olabilir.

Fiziksel güvenlik risklerini önlemek için IoT cihazlarının sağlamlaştırılması gerekir. Cihaza güvenlik entegre edin, uygun erişim denetimi sağlayın, varsayılan parolaları sıfırlayın, verileri ve bağlantıları şifreleyin ve kullanılmayan bağlantı noktalarını kaldırın veya devre dışı bırakın. Ayrıca, IoT cihazlarının kolayca demonte edilemeyeceğinden veya herhangi bir bileşeninin çıkarılamayacağından emin olun. Bazı senaryolarda, cihazları kurcalamaya dayanıklı bir kasaya koymak veya fiziksel kurcalamadan sonra cihazı kullanılamaz hale getirmek gerekir.

7. Şifreleme ve veri güvenliği

Şifreleme, verileri korumanın en etkili yolu olarak kabul edilir. Kriptografi, gizlilik risklerini önlemek ve kullanıcı, şirket, müşteri ve diğer kişiler veya cihazlar arasında bekleyen ve aktarılan IoT verilerinin bütünlüğünü korumak için kilit bir mekanizmadır. Ayrıca IoT gizliliğinin sağlanmasına yardımcı olur ve şirketler ile kullanıcılar arasında güven oluşturur - özellikle gömülü ve bağlantılı tıbbi cihazlar gibi kişisel olarak tanımlanabilir bilgiler ve hassas veriler devreye girdiğinde. Şifreleme, saldırganların verileri manipüle etmesini veya tahrif etmesini de engeller.

Sorun şu ki, sıcaklık, nem veya nem verilerini toplayan küçük sensörler gibi birçok bağlı cihaz, Gelişmiş Şifreleme Standardı gibi geleneksel şifreleme algoritmalarını çalıştırmak için gereken güce, işlemeye veya bellek kaynaklarına sahip olmadıkları için en büyük IoT güvenlik endişelerine neden oluyor. (AES). Bu tür cihazlar, kaynakları kısıtlı cihazların boyutunu, güç tüketimini ve işleme yeteneklerini dikkate alan, yüksek güvenlikli ancak düşük hesaplamalı bir algoritma kullanmalıdır.

Hafif kriptografik şifrelerin devreye girdiği yer burasıdır. Eliptik eğri şifrelemeörneğin, Rivest-Shamir-Adleman'ın güvenlik eşdeğerini sağlar, ancak daha küçük anahtar boyutları ve daha az işlem gerektiren işlemler ile daha düşük depolama alanı, işlem gücü ve pil ömrü olan cihazlar için ideal bir seçenek haline gelir. Diğer hafif şifreler arasında hafif bir AES olan Clefia; Donanım odaklı bir akış şifresi olan Enocoro; Ve Benek, bir ekle-döndür-xor şifresi.

Uzmanlar ayrıca Aktarım Katmanı Güvenliği veya Datagram TLS gibi güvenilir güvenlik protokollerinin kullanılmasını önerir.

PKI başka denenmiş ve gerçek güvenlik seçeneği. Üretim veya işletme düzeyinde cihazlara yerleştirilebilir. PKI, genel şifreleme anahtarlarının dağıtımını ve tanımlanmasını destekleyerek kullanıcıların ve cihazların güvenli bir şekilde veri alışverişinde bulunmasını sağlar. Cihazlara benzersiz kimlikler ve dijital sertifikalar verir.

Kriptografiye ek olarak, uygun şifreleme anahtarı yaşam döngüsü yönetimi süreçlerini tanımlayın.

8. Ağ güvenliği

IoT cihazlarının ve topladıkları verilerin güvenliğini sağlamak kadar, bu cihazların bağlandığı ağların yetkisiz erişim ve saldırılara karşı güvende kalmasını sağlamak da aynı derecede önemlidir. IPS'ler/IDS'ler, kötü amaçlı yazılımdan koruma, güvenlik duvarları ve ağ algılama ve yanıt veya EDR kullanın.

Başka bir IoT güvenlik en iyi uygulaması, IoT ortamını bölümlere ayırın ağın geri kalanından. Günümüzün en önemli IoT güvenlik sorunlarından biri, BT ağlarına bağlı operasyonel teknoloji (OT) ağlarının genellikle geçmişte hiçbir zaman bir tehdit olarak görülmemesidir. OT ağları internete bağlanmıyordu ve bazen bilgisayar korsanlığına maruz kalsa da BT ağları için yakın bir tehdit oluşturmuyordu. Bazıları onlarca yıllık olan eski OT sistemleri genellikle kendi tescilli sistemlerini çalıştırır, bu da ortak güvenlik mekanizmalarının rutin kontroller sırasında sorunlarını gözden kaçırabileceği anlamına gelir. OT cihazları ve makineleri kolayca veya uygun maliyetli bir şekilde değiştirilemediğinden, kuruluşların bunları güncellemesi, düzeltme eki uygulaması ve güvenliğini sağlaması gerekir. Birçoğu artık yamalanmayacak kadar eski olduğundan bu, güvenlik ekipleri için artan bir görev haline gelebilir.

İçinden ağ segmentasyonu, kuruluşlar alt ağlar oluşturmak için farklı ağları veya ağ parçalarını farklı bölgelere yerleştirebilir. Örneğin, satış, finans, operasyonlar vb. için her biri bir bölge kullanmak. Her bölgenin kullanıcılarına, cihazlarına ve verilerine göre kendi özelleştirilmiş güvenlik politikaları vardır.

Ağ bölümleme ile ilgili ortak bir yakınma, verimliliği ve bağlantıyı engellemesidir. kullanarak IoT ağ geçidi bu sorunları azaltabilir. Cihaz ile ağ arasında aracı görevi gören bir güvenlik ağ geçidi, kendisine bağlanan IoT cihazlarından daha fazla işlem gücü, bellek ve bilgi işlem özelliklerine sahiptir. Bu nedenle, güvenlik tehditlerinin ağa geçmesini önleyerek, güvenlik duvarları ve kötü amaçlı yazılım önleme gibi daha güçlü güvenlik önlemlerini cihazlara daha yakın bir yerde uygulayabilir.

[Gömülü içerik]

Kötü amaçlı yazılımdan koruma, güvenlik duvarları, IPS'ler/IDS'ler ve ağ segmentasyonuna ek olarak, bağlantı noktası güvenliğini sağlayarak, bağlantı noktası iletmeyi devre dışı bırakarak ve gerekmediğinde bağlantı noktalarını asla açmayarak IoT riskleriyle mücadele edin. Ayrıca, yetkisiz IP adreslerini engelleyin.

Bant genişliği, başka bir yaygın IoT sorunudur. IoT ağları ölçeklendikçe ve daha fazla bağlı cihaz bir ağa bağlandıkça, iş sürekliliği (BC) zorlukları ortaya çıkıyor. Kritik uygulamalar gerekli bant genişliğini almazsa üretkenlik ve verimlilik zarar görür. Uygulamaların ve hizmetlerin yüksek kullanılabilirliğini sağlamak için bant genişliği eklemeyi ve trafik yönetimini ve izlemeyi artırmayı düşünün. Bu sadece BC zorluklarını azaltmakla kalmaz, aynı zamanda potansiyel kayıpları da önler. Proje planlama açısından, kapasite planlaması yapın ve gelecekte artan bant genişliği talebinin karşılanabilmesi için ağın büyüme hızını izleyin.

Ağ güvenliği ile ilgili diğer bir husus, hangisinin IoT iletişim protokolleri kullanmak. Özellikle güvenlik özellikleri söz konusu olduğunda, tüm protokoller eşit yaratılmamıştır. Bluetooth ve Bluetooth Low Energy'den hücresel, MQTT, Wi-Fi, Zigbee, Z-Wave'e kadar, bir protokolü kullanmadan önce IoT ortamını ve güvenlik ihtiyaçlarını göz önünde bulundurun. Güvenli olmayan iletişim, gizli dinlemelere yol açabilir ve ortadaki adam saldırıları.

9. Standardizasyon eksikliği

Standart, bir endüstri ve akademi tarafından genel olarak üzerinde anlaşmaya varılan bir dizi spesifikasyon, kural veya süreçtir. Küresel standartlar, ürünler ve uygulamalar arasında tutarlılık ve uyumluluğun sağlanmasına yardımcı olur; bu, IoT ortamlarının sorunsuz çalışması için bir gerekliliktir.

IoT endüstrisi, hem güvenlik açısından hem de diğer açılardan en başından beri bir standardizasyon eksikliğinden rahatsız oldu. Yine de işler değişiyor; hükümetler ve standart kuruluşları, güvenliğin cihazlarda yerleşik olmasını sağlamak için mevzuat ve yönetmelikler yayınlamaya başladı.

2018 yılında onaylandı, California'nın SB-327'si, "Bilgi gizliliği: bağlı cihazlar", üreticilerin cihazları her cihaz için önceden programlanmış benzersiz bir parola ve ilk kullanımda yeni bir parola oluşturulmasını gerektiren bir ayar dahil olmak üzere "makul" güvenlik özellikleriyle donatmasını gerektirir. Ayrıca 2018 yılında Birleşik Krallık yayınlandı Takip eden “Tüketici IoT Güvenliği için Uygulama Kuralları” Avrupa Telekomünikasyon Standartları Enstitüsü Teknik Şartnamesi 103 645, 2019'da tüketici cihazlarının güvenliğini düzenleyen bir standart. 2020 IoT Siber Güvenlik İyileştirme Yasası NIST ve ABD Yönetim ve Bütçe Ofisi'nin federal hükümet tarafından kullanılan Nesnelerin İnterneti cihazlarındaki güvenlik önlemleriyle ilgili yönergeler ve standartlar geliştirmesini gerektirdi.

Şirketler, hükümet, tüketici veya başka türlü yeni standartlara ayak uydurmalıdır. Bunlar, gelecekte IoT cihaz üretimini ve güvenlik standartlarını etkileyecektir.

10. IoT becerilerindeki boşluk

Beceri açığı her sektörü etkiledi ve IoT de farklı değil. IoT'yi diğer sektörlerden ayıran bir şey de çok yeni bir disiplin olmasıdır. aynı zamanda bir BT ve OT'nin yakınsaması, yani OT'de akıcı olan bireyler muhtemelen BT'de çok bilgili değildir ve bunun tersi de geçerlidir. Ayrıca IoT tek bir disiplin değildir. Birçok beceri gereklidir siber güvenlik ve UX tasarımından makine öğrenimine ve AI bilgisinden uygulama geliştirmeye kadar başarılı bir IoT uzmanı olmak.

IoT'ye özel sertifikalar ve bağlantılı ortamlar hakkında temel bilgi sağlayan IoT güvenliğine özgü bir dizi eğitim de dahil olmak üzere eğitimler ortaya çıktı.

Beceri açığını kapatmak her sektörde zordur. Şirket içi çalışanlar için eğitimlere ve sertifikalara yatırım yapmak seçeneklerden biridir. IoT'ye özgü projeler için üçüncü tarafları ve danışmanları işe almak, üzerinde çalışılması gereken proje sayısına bağlı olarak maliyetli olabilmesine rağmen başka bir seçenektir. Projeler tamamen dışarıdan da alınabilir.

Son kullanıcıları güvenli IoT kullanımı konusunda eğitmek de önemlidir. Birçok kullanıcı, akıllı TV'ler, hoparlörler ve bebek monitörleri gibi akıllı ev cihazlarının kendilerine ve iş yerlerine yönelik güvenlik tehditlerinin farkında olmayabilir.