Şirketler, buluta geçerken ağlarını korumak için milyarlar harcıyor. Bloomberg, siber güvenlik harcamalarının 200 yılına kadar yılda 2024 milyar doları aşmasını ve en önemli büyümenin ağ ve uç nokta güvenlik segmentlerinde görülmesini bekliyor. Bu harcamaların çoğu, şirket içi ağlardan bulut ağlarına geçişe ve bu hareketle birlikte gelen güvenlik zorluklarına ayrılmıştır. Bununla birlikte, ülke çapındaki işletmeler tarafından harcanan bu devasa paraya rağmen, bir kuruluşun ağında bulunan yüz binlerce IoT cihazı bilgisayar korsanları için Truva Atı görevi gördüğü için çoğu işletme ağlarını tamamen savunmasız bırakıyor.
Geçen yıl, Sierra Wireless, Verkada ve Garmin'dekiler gibi çok sayıda IoT üreticisi hack'i gördük ve bu saldırıların yavaşladığına dair bir işaret yok.
Basitçe anlatmak gerekirse, güvenlik, Nesnelerin İnterneti cihaz üreticileri için bir öncelik değildir. Üreticiler, ürünlerine daha karmaşık güvenlik protokollerini entegre etmek için genellikle güvenlik uzmanlığından ve teknik kaynaklardan yoksundur. Birçok IoT cihazı, güvenlik sorunları için kapsamlı bir şekilde incelenmemiş yeni protokoller, platformlar ve çözümler uygulayarak savunmasız ürünlere neden olur. Neyse ki Kongre, devlet parasıyla satın alınan herhangi bir IoT cihazının minimum güvenlik standartlarını karşılamasını gerektiren IoT Siber Güvenlik İyileştirme Yasasını geçen yılın sonlarında kabul etti. Bu yasa tasarısı, federal hükümet tarafından tedarik edilen ve kullanılan IoT cihazlarına odaklansa da, ürünlerinin güvenliğini iyileştirmesi gereken üreticiler için iyi bir yönergeler dizisidir. IoT üreticilerini yönetmek için daha katı kurallar ve gereksinimler, daha az IoT güvenlik sorununa yol açacaktır.
Kuruluşlar, saldırganları savuşturmak için mevcut araçları artırıyor, ancak BT ekiplerinin IoT cihazlarının doğru kayıtlarına sahip olmadığı için yanlarını açıkta bırakıyorlar. Başka bir deyişle, güvenlik yöneticileri IoT güvenliğinin çatlaklardan geçmesine izin veriyor.
Ön Kapıların Kilidi Açık
Ortalama bir yönetici, IoT cihazlarının ağlarının %1'ini oluşturduğuna inanıyor; gerçekte, bu cihazlar erişim noktalarının yaklaşık %43'ünü oluşturur. Bilgisayarların ana endişeniz olduğu günler geride kaldı. Dizüstü bilgisayarlar için bileşik yıllık büyüme oranı (CAGR) %0.3 büyüme ve IoT için CAGR %35.49 büyümedir. Evde ve ofiste bu kadar çok çeşitli IoT cihazları varken, kötü oyuncuların neredeyse her sektörde fırsat olarak gördüğü cihazları gözden kaçırmak çok kolay.
Birçok cihazın gözden kaçırılmasının bir nedeni, BT departmanının kapsamı dışında kalmaları ve radarlarında tamamen yok olmalarıdır. En önemlisi kameralardır. Bu yılın başlarında bir bilgisayar korsanı, varsayılan güvenlik ayarlarına ayarlanmış yaklaşık 150,000 Verkada güvenlik kamerasını hackleyerek işletmeleri, polis departmanlarını, okulları, hapishaneleri ve hastaneleri başarıyla ifşa etti. Bir ateş fırtınası başlattı. Hem evde hem de ofiste gerekli olan, kolayca gözden kaçan bir başka cihaz da yazıcıdır. Wi-Fi, Bluetooth vb. üzerinden kolayca bağlanabildiğinden, çoğu varsayılan kimlik bilgilerine ve dolayısıyla güvenlik açıklarına sahip önemli miktarda risk vardır.
Cihazlar gözden kaçırıldığında, önemsenmezler. 1 milyon müşteriden IOT cihazları geçen yıl içinde değerlendirildiğinde, yüzde 50'sinin savunmasız ürün yazılımına sahip olduğu bulundu. Çoğu güncellemelerinde beş ila yedi yıl geride kaldı ve bu da onları bilgisayar korsanları için basit bir hedef haline getirdi. Bu cihazların diğer yüzde 50'si, bilgisayar korsanları tarafından ağa erişmek için kolayca tahmin edilen varsayılan kimlik bilgilerine sahipti. Düzenli yama, üretici yazılımı güncellemeleri ve kimlik bilgisi değişiklikleri, ağın tüm bölümleri için temel güvenlik hijyeni için gereklidir ve cihazlara uygulanır.
Bilinmeyen cihaz sorunlarının derinliğini göstermek için, geçen yıl 1 milyondan fazla müşteri IoT cihazının değerlendirilmesi, yüzde 26'sının kullanım ömrünün sona erdiğini, yani artık desteklenmediğini gösterdi. Ayrıca, cihazların yüzde 18'i, kötü niyetli kişilerin kimlik bilgilerini kullanmadan cihazların tam uzaktan kontrolünü ele geçirmesine izin verecek kritik güvenlik açıklarına sahiptir. Güncellemelere erişim ve güvenlik düzeltmeleri olmadan, bu cihazların ağdan çıkması veya en azından bölümlere ayrılması gerekir.
eski ile dışarı
Segmentasyon, IoT cihaz güvenliğine eski yaklaşım, artık mevcut en etkili güvenlik önlemi değil. Segmentasyon, teorik olarak güvenli olmayan cihazları önemli her şeyden uzak tutarak bir cihazı veya bir grup cihazı ayrı bir ağda karantinaya alır. Segmentasyon tek başına bir çözüm olsa da kalıcı değildir.
Segmentlere ayrıldıklarında bile, güvenli olmayan cihazlar ek vektör maruziyetleri, VLAN atlamalı kötü amaçlı yazılımlar ve diğer giriş teknikleri yoluyla bir tehdit oluşturabilir. Bu nedenle, cihazları parçalara ayırmak yerine güvenlik açığına karşı aşılamak da önemlidir.
Aşılama, yamaların ve bellenimin güncel olmasını, kimlik bilgilerinin politikaya göre döndürülmesini ve belki de en önemlisi, cihaz sağlığı hakkında eyleme geçirilebilir verileri içeren doğru bir cihaz envanterinin tutulmasını sağlar.
Her IoT cihazını küresel olarak güvence altına almak imkansızdır, ancak otomasyon yoluyla işletmenizi kontrol edebilirsiniz.
2025 yılına kadar dünyada 55.7 milyardan fazla IoT cihazı olacağı tahmin ediliyor. Kötü aktörlerin tek bir kuruluş içinde ağa sızmak için kullanabileceği yüzlerce, binlerce ve hatta yüz binlerce savunmasız uç nokta olabilir. Bu nedenle, bağlı IoT ortamlarını yönetmek, izlemek ve güvenliğini sağlamak için bir plan yapmak çok önemlidir.
Güvenlik Hijyeni
Tek bir IoT cihazı için temel güvenlik hijyen önlemlerinin alınması yılda dört saat sürer. Buna topluca baktığınızda ve bunu bir kuruluşun ağındaki tüm IoT cihazlarıyla çarptığınızda, tüm bu cihazları elle güvenceye almak imkansız hale gelir. Envanter yönetimi, düzeltme eki uygulama ve kimlik bilgisi yönetimi dahil olmak üzere temel güvenlik hijyeni önlemlerinin otomatikleştirilmesi, zaten aşırı yüklenmiş BT ekiplerinin cihaz yayılımına ayak uydurmasına yardımcı olabilir. IoT güvenliğini otomatikleştirmek aynı zamanda uygun maliyetlidir ve güvenlik ekiplerinin daha önemli konulara odaklanmasını ve saldırılara karşı daha iyi korunmasını sağlar.
IoT cihazları, artık 5G'nin gücüyle güçlendirilen ayak izlerini artırmaya devam ederken, IoT pazarının ve kuruluşların IoT güvenliğine nasıl yaklaşması gerektiği konusunda daha derin bir anlayışa ihtiyaç duyulmaktadır. Dünya, önümüzdeki dört yıl içinde tahmini 55.7 milyon IoT cihazının çevrimiçi hale gelmesine hazırlanırken, cihazlarda yerleşik olarak bulunan daha güçlü güvenlik önlemlerine ve kuruluşlar tarafından alınan daha proaktif IoT güvenlik yaklaşımlarına daha fazla vurgu yapılmalıdır.
Plato Ai. Web3 Yeniden Düşünüldü. Güçlendirilmiş Veri Zekası.
Erişmek için buraya tıklayın.
