امنیتاینترنتاینترنت اشیاءرمزنگاریشبکهمیم تک 16

امنیت در IoT : نگاه کلی به موارد امنیتی مورد نیاز در IOT

امنیت در IoT :

با توجه به ابعاد وسیع و گسترده ی زیرساخت های مبتنی بر اینترت اشیا ، سازمان ها باید برنامه های امنیتی خود را به سطح کاملا جدیدی برای بهره مندی از مزایای IoT بیاورند. طبق تحقیقات شرکت Gartner ، در سال 2017 ،8.4 میلیارد دستگاه متصل شده در سراسر دنیا مورد استفاده قرار گرفته است که این تعداد نسبت به سال 2016 تا 31 درصد افزایش داشته است. انتظار می رود این عدد تا سال 2020 به 20.4 میلیارد برسد. بنابراین وجود امنیت در دستگاه های IoT امری حیاتی خواهد بود.

لزوم امنیت در IOT

 

لزوم امنیت در IOT :

یکی از نگرانی های کلیدی مربوط به پذیرش موفقیت آمیز IoT ، داشتن مکانیزم های امنیتی کاملا قوی در سراسر اکوسیستم است تا بتواند خطرات امنیتی افزایش یافته در اتصال دستگاه ها به اینترنت را کاهش دهد. تعداد قابل توجهی از دستگاه های IoT را که به اینترنت متصل می شوند و مقدار داده هایی که توسط این دستگاه ها تولید می شود، در نظر بگیرید. تا سال 2025،  انتظار می رود 75.44 میلیارد دستگاه متصل در صنعت اینترنت اشیا داشته باشیم. در آن زمان، تقریبا یک چهارم از 163 zettabytes داده پیش بینی شده در جهان در زمان واقعی ساخته شده است که 95٪ از این داده ها توسط دستگاه های IoT ایجاد شده اند. طبق پیش بینی های انجام شده ، اینترنت اشیا تا سال 2020 تاثیر چشمگیر در اقتصاد خواهد گذاشت ؛ چیزی در حدود 8.9 تریلیون دلار.

همان طور که گسترش دنیای اینترنت اشیا مزایای بیشماری را به همراه خود می آورد، در مقابل به میزان مخاطرات همراه آن نیز افزوده می شود. چرا که هکرها می توانند از هر یک از دستگاه های جدید به عنوان یک دروازه ی نو به دنیای هک و حملات سایبری استفاده کنند. مجرمان سایبری انگیزه می گیرند تا روش های جدید و حیرت انگیزی را برای هک کردن دستگاه های بی خطر بدست آورند تا به وسیله ی آن ها به دستگاه های با ارزش تر راه یابند.

پلو پز شاید به ظاهر برای امنیت خانه ی شما مشکل ساز نباشد، اما اگر به عنوان یک دروازه به دستگاه های مهم تر در شبکه عمل کند، ممکن است به آسیب پذیر ترین نقطه ی امنیتی خانه ی شما بدل شود.

از عملیات تولید جهانی به زیرساخت های تولید برق و توزیع ملی، دستگاه های متصل می توانند به طور چشمگیری مخاطرات عملیات را افزایش دهند. حمله ی اخیر هکرهای روسی به سیستم های کنترل نیروگاه های آمریکا، نیاز به هوشیاری را  به شدت برجسته می کند.

گزارشات شرکت تحقیقاتی 451 Research  درباره ی امنیت در IoT :

طی نظر سنجی اخیر که توسط شرکت تحقیقاتی 451 Research انجام شد، به این نتیجه رسیدند که امنیت یک نگرانی عمده برای متخصصان فناوری اطلاعات در هنگام استقرار پروژه های IoT در سازمان های آن ها است. وقتی از آن ها خواسته شد تا اولویت ها و رده بندی های خود را برای پیاده سازی اینترنت اشیا در سازمان لیست کنند، 55% آن ها امنیت را در الویت اول ذکر کردند.

این شرکت بیش از 600 تصمیم گیرنده فناوری اطلاعات در سراسر جهان را بررسی کرده و تحقیقات خود را با مصاحبه های مبتنی بر تلفن همراه انجام داده است. این گزارش اعلام می کند که با داشتن تهدیدات اینترنتی ، ماهیت استقرار اینترنت اشیا دشوار می شود. وقتی تجهیزات صنعتی برای جمع آوری و تجزیه و تحلیل داده ها به اینترنت متصل می شوند، شرکت ها ورودی های خود را در برابر دنیای پیشرفته نفوذهای امنیتی باز می گذارند.

بر اساس تحلیل گزارش 451، برخی از رهبران تجاری همچنان در حاشیه IoT قرار دارند، زیرا فکر می کنند که خطرات هنوز در برابر بازده بالقوه زیاد است. اما کسانی که پروژه های IoT را آغاز می کنند، امنیت را در اولویت اول  قرار می دهند.

طبق گزارش IEEE در سال 2017، شرکت ها برای داشتن بالاترین میزان امنیت در IOT و IIOT باید از چندین روش مختلف استفاده کنند.

امنیت دستگاه ها :

یکی از موارد ایجاد امنیت در IoT ، امن کردن دستگاه ها است.

بعضی از دستگاه ها یا قطعات تجهیزات ممکن است به طور مداوم به درستی عمل کنند و نیازی به مراقبت و نظارت مستقیم برای برقراری امنیت نداشته باشند. وجود چنین دستگاه های سخت افزاری که می توانند جلوی دستیابی اطلاعات را توسط افراد نادرست بگیرند، بسیار مفید می باشد. همچنین در برابر هکرها، امور سایبری و از دستگاه های تسلیحاتی دفاع می کنند.

یکی از روش های مناسب برای افزایش امنیت، استقرار یک رویکرد لایه ای است، به این ترتیب مهاجمان باید موانع متعددی را که برای محافظت از دستگاه ها و جلوگیری از ورود اطلاعات و دسترسی های غیر مجاز طراحی شده اند ، دور بزنند. شرکت ها باید از آسیب پذیری های شناخته شده نظیر پورت های باز TCP / UDP، پورت های سریال باز، درخواست رمز عبور باز ، مکان هایی برای تزریق کد از جمله سرور های وب ، ارتباطات بدون رمزگذاری و اتصالات رادیویی محافظت کنند.

یکی دیگر از اقدامات خوب برای محافظت از دستگاه ها، ارتقاء آن ها با نصب پچ های امنیتی مورد نیاز است. اما به یاد داشته باشید که بسیاری از فروشندگان دستگاه در هنگام ساخت و فروش دستگاهها بر امنیت تمرکز نمی کنند. طبق مطالعات انجام شده ، بسیاری از دستگاه های اینترنت اشیا unpatchable هستند و به همین علت از امنیت لازم برخوردار نیستند.

پس قبل از سرمایه گذاری در دستگاه هایی که از طریق IIoT متصل می شوند، قابلیت های امنیتی دستگاه ها را ارزیابی کنید و مطمئن شوید که توسعه دهندگان از ابزارهای کافی برای ارزیابی عملکرد امنیتی دستگاه های خود برخوردارند. یکی دیگر از مسایل مهمی که باید مورد توجه قرار بگیرد، دقت در مدیریت و اطمینان از هویت دستگاه های IOT  است که در تلاش برای اتصال به شبکه و استفاده از سرویس های موجود هستند.

یک سیستم مدیریت توزیع کلید عمومی در سطح جهانی است که ترکیبی از نرم افزارها ، سرویس ها و ادغامی از گواهی های دیجیتال و رمز نگاری های کلید عمومی است.گواهی ها به عنوان بخشی از PKI صادرمی شوند که به کاربران و شرکت ها اجازه ی تصدیق و شناسایی هر بخش را به صورت آبشاری و زنجیره ای می دهند.اگر زنجیره مورد تایید باشد همه ی گواهی ها قانونی هستند.هدف اصلی PKI به حداقل رساندن احراز هویت OUTbond و به حداکثر رساندن احراز هویت اتوماتیک و الکترونیکی است.

زیرساخت کلید عمومی (PKI) و گواهی های دیجیتال ، بستر مناسبی برای کشف هویت و اطمینان به دستگاه ها را فراهم ساخته است.

زیرساخت کلید عمومی یا PKI چیست ؟

یک سیستم مدیریت توزیع کلید عمومی در سطح جهانی است که ترکیبی از نرم افزارها ، سرویس ها و ادغامی از گواهی های دیجیتال و رمزنگاری های کلید عمومی است. گواهی ها به عنوان بخشی از PKI صادر می شوند که به کاربران و شرکت ها اجازه ی تصدیق و شناسایی هر بخش را به صورت آبشاری و زنجیره ای می دهند. اگر زنجیره مورد تایید باشد همه ی گواهی ها قانونی هستند. هدف اصلی PKI به حداقل رساندن احراز هویت Outbound و به حداکثر رساندن احراز هویت اتوماتیک و الکترونیکی است.

یک سیستم مدیریت توزیع کلید عمومی در سطح جهانی است که ترکیبی از نرم افزارها ، سرویس ها و ادغامی از گواهی های دیجیتال و رمز نگاری های کلید عمومی است.گواهی ها به عنوان بخشی از PKI صادرمی شوند که به کاربران و شرکت ها اجازه ی تصدیق و شناسایی هر بخش را به صورت آبشاری و زنجیره ای می دهند.اگر زنجیره مورد تایید باشد همه ی گواهی ها قانونی هستند.هدف اصلی PKI به حداقل رساندن احراز هویت OUTbond و به حداکثر رساندن احراز هویت اتوماتیک و الکترونیکی است.

امنیت شبکه

شرکت ها علاوه بر دستگاه ها باید از امن بودن شبکه هایی که برای IoT و IIoT استفاده می شوند، مطمئن شوند. این شامل استفاده از احراز هویت قوی و مکانیسم کنترل دسترسی است، تا فقط کاربران مجاز بتوانند به شبکه ها و داده ها دسترسی داشته باشند.

لذا کلمات عبور باید از پیچیدگی لازم برای جلوگیری از حملات Brute force برخوردار باشند.

Brute force چیست ؟

یک روش بیرحمانه است که کلیه ی حدس های ممکن را مورد بررسی قرار می دهد تا به کلمه ی عبور برسد. یک SNIPHER در شبکه وجود دارد که کار رهگیری و خواندن ترافیک را در شبکه انجام می دهد. هکر می تواند الگوریتمی طراحی کند که این ترافیک را مورد بررسی قرار دهد. در صورتی که بخشی از پسورد را بیابد آن قدر حالات مختلف را مقایسه می کند تا به پسورد مورد نظر برسد. علت بیرحمی این نوع حملات ، حجم بالای عملیات مقایسه و بررسی است که انجام می دهد.

Brute force چیست ؟

احراز هویت دو عامله :

برخی از سازمان ها برای احراز هویت ، از احراز دو عامله (2FA) استفاده می کنند.

در این روش نیاز است که کاربر یک رمز عبور را وارد کند، همچنین از یک فاکتور تصدیق مجدد مانند یک کد تصادفی که از طریق پیام متنی (SMS) ایجاد شده است برای تایید رمز عبور و در نتیجه احراز هویت استفاده می شود.

برای برنامه های IoT ، استفاده از این روش احراز هویت ، احراز هویت متنی یا تایید هویت سازگار ایده ی بسیار خوبی است. این روش ها شامل استفاده از اطلاعات متنی و الگوریتم های یادگیری ماشین هستند که دائما خطرات ممکن را بررسی می کنند؛ بدون آنکه روی تجربه کاربر در استفاده از برنامه ها و محصولات اینترنت اشیا اثر بگذارد.

استفاده از رمزنگاری های قوی برای حفاظت از پروتکل ها، یکی دیگر از شیوه های امنیتی خوب در شبکه است.

IOT و IIOT در لایه های مختلف بسیاری از پروتکل های شبکه را شامل می شوند؛ پس امکان هک کردن هر گونه ارتباطی بین دستگاه ها وجود دارد.

رمز کردن لایه های Network و Transport می تواند موانع متعددی در برابر حملات تحت شبکه ایجاد کند.

حفاظت از داده ها :

شرکت ها همچنین باید داده های IoT و IIoT خود را حفظ کنند. بیشتر دستگاه های متصل داده های حساس انتقالی و اطلاعات شناسایی شخصی را ذخیره می کنند؛ بنابراین محافظت از این داده ها بسیار حائز اهمیت است. شرکت هایی که در این امر مهم شکست بخورند نه تنها دچار شکست تجاری خواهند شد، بلکه ممکن است از لحاظ قانونی هم با آن ها برخورد شود.

برنامه ها و داده های کاربران چه در حالت استفاده و چه زمانی که مورد استفاده قرار نمی گیرند باید رمزگذاری شوند.

برای برخورداری از امنیت خوب علاوه بر سیاست های عملیات امنیتی قوی ، به برنامه های آموزشی جامع برای افراد درگیر در محیط IOT/IIOT لزومی است.

ردیابی ممیزی گرانول، تشخیص ناهنجاری انتهایی و قابلیت پاسخگویی های قانونی امنیتی عناصری حیاتی برای اطمینان از شناسایی هر گونه نقص، قدم های اولیه پیش از گسترش صنایع اینترت اشیا محسوب می شوند.

در نگاه اول شاید همه ی نکات گفته شده پروتکل های معمول امنیتی سایبری به نظر برسند، اما بسیاری از سازمان ها منابع و دیسیپلین لازم برای اقدامات موثر را در اختیار ندارند.

برای آشنایی بیشتر مسائل مطرح شده ، در مقاله ی بعد با ما همراه باشید.

2 دیدگاه

ارسال پاسخ