مقالات

قایقرانی در دریای اینترنت اشیا

حتماً در گذشته این جمله را شنیده اید که «روزی، یخچال فریزرتان قبل از خود شما از آنچه باید بخرید مطلع می‌شود»!

امروزه یخچال فریزهایی وجود دارد که از اقلامی که باید خریداری شوند، آگاهی داشته یا این که زنگ در منزل تان اطلاعات زیادی را درباره شما می داند. با وجود این دستیارهای دیجیتال، برای دریافت پاسخ سؤالاتمان فقط کافی است آنها را به زبان بیاوریم. این موارد تنها نمونه های کوچکی هستند از آنچه که امروز در دنیای دیجیتالی جریان دارد. شاید پیش از این هم نگرانی های چندانی درباره مسایلی مثل سطح حمله یا میان‌افزارها نداشتیم اما در حال حاضر اینترنت اشیا (IoT[۱]) علاوه بر این که موجب توانمندسازی دستگاه‌های مدرن شده بلکه امکان اجرای حملات سایبری را نیز فراهم کرده است.

فناوری عملیاتی (OT[۲]) و اینترنت اشیای پزشکی (IoMT[۳]) مدت ها است که باعث افزایش بهره وری شده‌اند و هر وسیله نیز با انتشار هر نسخه جدید، هوشمندتر از قبل می‌شود. بنابراین میزان درخواست از کارشناسان امنیت برای امن سازی این تجهیزات افزایش یافته است. البته چنین امری مستلزم ورود کارکنان به دنیای فناوری اطلاعات و مشارکت آنها در طرح مدیریت آسیب‌پذیری ها است.

 

آب‌های اکتشاف نشده اینترنت اشیا

اولین چالش در حوزه اینترنت اشیا که اینترنت اشیای پزشکی و فناوری عملیاتی را هم شامل می‌شود، مکان یابی و ثبت خود دستگاه‌ها است. بنابراین جای تعجب نیست که اسکنرهای IoT مثل X-Force for IoT، Nozomi، Cylera، Tenable.ot و Qualys IoT همگی از قابلیت اسکن غیرفعال استفاده می‌کنند. در این روش، دستگاه درست مثل میکروفون یک زیردریایی، همواره در حال گوش کردن است و باید آن را به بخشی از شبکه متصل کنیم تا بتواند همه چیز را به خوبی شنود کند. به این بخش؛ پورت آینه‌ای، نشست (Session) نظارتی یا دریچه شبکه هم گفته می‌شود که نام آن بستگی به شرایط و تولیدکننده تجهیزات دارد. این راهکارها سعی می کنند تجهیزات اینترنت اشیا را پیدا کرده و بر اساس امضا آنها را ثبت نمایند.

با این حال، چرا این روش به عنوان یک راهکار غیرفعال در نظر گرفته می شود؟ تجهیزات اینترنت اشیا شکننده هستند و ممکن است ارسال حجم انبوهی از درخواست‌های شناسایی توسط اسکنرها باعث بروز مشکل در عملکرد آنها شود. بنابراین اسکنرها همواره در حال پویش شبکه هستند و در صورت شناسایی یک دستگاه جدید، ترافیک آن را بررسی کرده و با پایگاه داده‌ای که از تجهیزات شناخته شده دارند مقایسه می‌کنند تا بتوانند نوع دستگاه را مشخص نمایند. پس از شناسایی موفق، سیستم می‌تواند دستگاه و وجود مخاطرات شناخته شده برای میان‌افزار آن را شناسایی کند.

برخورد تجهیزات قدیمی و جدید

در روش جدید، اسکنر به جای ارزیابی نحوه پاسخ دستگاه، عملکرد آن را تحت نظارت قرار می‌دهد. در واقع اسکنرهای مدرن اینترنت اشیا بیشتر شبیه یک سیستم تشخیص نفوذ بوده و بعضی از آنها تلاش می کنند رفتارهای بد را مسدود کنند. بنابراین این اسکنرها جزو تجهیزات مقابله با نفوذ در نظر گرفته می‌شوند. چنین رویکردی مزایا و معایب خاص خود را دارد. با گوش کردن می‌توانیم اطلاعات بیشتری درباره سیستم به دست آوریم و احتمال شناسایی آن هم بیشتر خواهد بود. در مقابل نیز این احتمال وجود دارد که قادر به تشخیص همه پورت‌های باز آن نباشیم؛ مگر این که به صورت مستقیم شاهد اتصال دستگاه دیگری به آن باشیم.

این شرایط برای اتصال تجهیزات به شبکه مدرن مناسب است اما برای تجهیزات قدیمی، از فناوری‌هایی مثل زیرساخت ارتباطی SONET و اتصال‌های سریال استفاده می‌شود. این موضوع بستگی به نحوه مدیریت این کار توسط سیستم دارد. در بسیاری از مواقع، بیشترین کاری که می‌توان انجام داد شناسایی یک رابط انسان – ماشین به روز رسانی شده است. این سیستم‌ها درست مانند اختاپوس، دست و پاهای مختلفی دارند که از طریق یک اتصال واسط به حسگرها، دریچه‌ها، پمپ‌ها و سایر تجهیزات فناوری عملیاتی متصل شده و در صورتی که مهاجم، کنترل یکی از این سیستم‌ها را در اختیار بگیرد ممکن است مشکلات فاجعه باری رخ دهد.

 

درگاه‌هایی برای امن سازی دستگاه‌ها

در سایر موارد ممکن است از یک وسیله کوچک به نام درگاه سریال استفاده شود که امکان برقراری ارتباط با سرویسی مثل پوسته امن یا Telnet را فراهم کرده و دستگاه را همانند وقتی که به صورت مستقیم متصل شده باشد، مدیریت می‌کند. سپس اسکنر اینترنت اشیا این HMI و سیستم‌های درگاه سریال را در شبکه شناسایی می‌کند.

از دیدگاه فهرست تجهیزات باید به این نکته توجه داشت که وجود چنین موردی بیانگر وجود چند دستگاه دیگر نیز است. در این حالت باید از روش‌های مناسب مثل استخراج (Import) کردن دستگاه از HMI به صورت دستی یا با استفاده از سیستمی مثل tdi ConsoleWorks کمک گرفت.

مشخص کردن شرایط و سرعت فعلی اینترنت اشیا

پس از شناسایی همه سیستم‌های اینترنت اشیا این سؤال ایجاد می‌شود که چگونه آنها را امن سازی کنیم؟ ما از مدل Purdue برای سلسله مراتب کنترل استفاده می‌کنیم که نتیجه همکاری بین دانشگاه پردو و انجمن صنعتی Automation 99 است. این مدل، چهار بخش و شش سطح دارد که مربوط به تفاوت‌های بین تجهیزات اینترنت اشیا (که بیشتر شامل فناوری عملیاتی می‌شوند) و شبکه‌های سازمانی هستند. برای کسب اطلاعات بیشتر درباره این مدل می‌توانید از این منبع استفاده کنید. 

رویارویی با این واقعیت که ما در اقیانوس عمیق اینترنت اشیا با آن روبرو می‌شویم، گاهی وقت ها نیاز به یک کشتی بزرگ دارد. مدل Purdue معمولاً به تولیدکننده دستگاه توجه دارد. علاوه بر این سازمان‌ها باید برای بیشترین استفاده از آن، تغییراتی را در محیط فعلی خودشان به وجود آورند. این شرایط را با اینترنت اشیای پزشکی مقایسه کنید که در آن به صورت گسترده از انواع تبلت‌ها و سیستم‌هایی با ویندوز XP استفاده می‌شود. وجود این دستگاه‌ها در محیط تولیدی، با وجود این که کار پرسنل را ساده‌تر می‌کند اما می‌تواند دنیایی از مسیرهای نفوذ و حمله را هم در پیش روی سازمان ها قرار دهد.

امروزه دستگاه‌های جدید به سرعت و آسانی به شبکه‌های موجود متصل می‌شوند. بسیاری از تولیدکنندگان در تلاش هستند تا به سرعت، تجهیزاتی با قابلیت‌ها و امکاناتی بهتر از گزینه‌های رقیب را وارد بازار کنند. برای چنین شرکتی‌هایی که مدیران اجرایی آنها به دنبال راهکارهایی آسان هستند، مدل Purdue می‌تواند مثل یک نقشه گنج باشد.

بنابراین جای تعجب نیست که استانداردها و انجمن‌های صنعتی مختلف در حال تلاش برای آهسته‌تر کردن این موج هستند. IoXT Alliance یک نمونه از شرکت‌هایی است که در حال متحد کردن سازمان های مختلف در این حوزه است. مقررات تجهیزات پزشکی در اروپا هم که قرار است از سال ۲۰۲۱ میلادی اجرایی شود، نمونه دیگری از آنها به شمار می رود.

 

هیولای بزرگ اینترنت اشیا

آنچه که ما در دنیای اینترنت اشیا به دنبالش هستیم، پیشگیری از غارت اطلاعات هویتی و همچنین اطلاعات سلامت محافظت شده یا حتی غرق کردن کل کشتی خودمان توسط دزدان دریایی است. به عبارت دیگر، دستگاه‌های مدنظر ما همزمان با پیشرفت های روزافزون فناورانه، شکننده و مهم نیز شده اند. بنابراین ما باید با وجود متداول شدن و افزایش میزان کاربردشان، به خوبی از آنها و داده‌هایی که در آنها ذخیره می شود، محافظت کنیم.

دستگاه‌های جدید به اندازه‌ای هوشمند هستند که آنها را می توان خطرناک تلقی کرد. این دستگاه‌ها ممکن است با پیکربندی‌های لینوکسی مزین شده باشند و سرویس‌هایی در حد سرورهایی کوچک اما پرقدرت عرضه کنند. مصرف کننده‌ها هم این دستگاه‌ها را با دستگاه‌های دیگر ترکیب می‌کنند و از سیستم عامل‌های بلادرنگی استفاده می‌نمایند که شاید حتی اسم آنها را هم نشنیده باشید اما در وسایلی که هر روز از آنها استفاده می‌کنید، از جمله خودرو یا سرویس‌های پرداختی که در فروشگاه‌ها استفاده می‌شوند در حال اجرا باشند. با این وجود بسیاری از این دستگاه‌ها همچنان از نسخه‌های قدیمی سیستم عامل ویندوز استفاده می‌کنند!

 

مدیریت دستگاه‌هایی که پشتیبانی از آنها رو به پایان است!

چنین دستگاه‌هایی قادر به دفاع از خودشان در برابر تهدیدها و مخاطرات نیستند. تعداد زیادی از دستگاه‌های کاربردی اینترنت اشیا از نظر پشتیبانی به پایان عمر خود رسیده‌اند اما تا زمانی که در نهایت یک نفر متوجه شود در برابر یک اکسپلویت هفت ساله آسیب‌پذیر هستند، باز هم همچنان مورد استفاده قرار می گیرند!

مشکلاتی که به تازگی برای بعضی دوربین‌های امنیتی متصل به بستر ابر پیش آمد، نشان دهنده وجود شکاف بین عملکردهای نرم‌افزاری و سخت‌افزاری تجهیزات است. همین نگرانی‌ها در مورد اینترنت اشیای مورد استفاده از جمله محدود بودن طول عمر محصول و وابستگی به فروشنده در محیط‌های کاری هم وجود دارد. حتی اگر دستگاهی در حال حاضر کاملاً درست عمل می‌کند، ممکن است روزی پشتیبانی از آن به پایان برسد.

با توجه به همه این چالش‌ها شاید خیلی زود احساس کنید که در این دریا غرق شده اید. اسکنرهای اینترنت اشیا می‌توانند دستگاه‌های جدید را پیدا کرده و مخاطره آنها را مشخص کنند. این قابلیت بسیار مفید است اما اگر این اسکنرها هزاران یافته داشته باشند چگونه می‌توان همه یافته‌های آنها را مدیریت کرد؟

 

راهکار پیش رو: رتبه بندی آسیب‌پذیری

تقریباً همه آسیب‌پذیری‌هایی که توسط یک اسکنر، چه در حوزه اینترنت اشیا و چه در حوزه فناوری اطلاعات گزارش داده می‌شوند یک کد خاص (CVE[۴]) دارد. MITRE فهرستی از همه آسیب‌پذیری‌های گزارش داده شده در نرم‌افزار یا سخت‌افزارهای مختلف را ثبت می‌کند. محققان امنیتی برای عرضه اکسپلویت‌های اثبات مفهومی که آسیب‌پذیری‌های خاص را هدف می‌گیرند از این مرجع استفاده می‌کنند. لزوماً همه آسیب‌پذیری‌های گزارش شده قابل سوءاستفاده نیستند و بر اساس یافته‌های X-Force Red تنها ۱۶ درصد از CVEها در این دسته قرار می‌گیرند.

هر چند می‌توان با بررسی وب تاریک و وب عمیق نمونه‌هایی از کاربرد این اکسپلویت‌ها را مشاهده کرد اما ارزیابی محبوبیت اکسپلویت‌های CVE، در سایت‌هایی مثل Metasploit، ExploitDB و Github تصویری کلی از آنچه محققان امنیتی مشاهده می‌کنند را برای ما فراهم می‌کند.

علاوه بر این می‌توانید از ترکیب تجربه حمله و هوش مصنوعی برای رتبه بندی هر CVE و برآورد میزان احتمال استفاده از آن توسط هکرها نیز استفاده کنید. به این ترتیب می‌توانید CVEهایی که آنقدر ساده هستند که نیاز به کد اکسپلویت ندارند و حتی آسیب‌پذیری‌هایی که کد CVE به آنها اختصاص نیافته است را تشخیص دهید.

تحلیل مخاطره

با توجه به پیچیدگی مخاطره حوزه اینترنت اشیا همواره باید مخاطرات تکنیکی و شغلی را در نظر گرفت. فناوری‌هایی مثل CCOM2 که توسط شرکت AbedGraham عرضه شده است، مخاطرات مرتبط با حوزه مراقبت‌های بهداشتی و پزشکی را مشخص می‌کنند و قادر به تشخیص دستگاه‌های IoMT هستند که مهندسان فعال در حوزه پزشکی ابتدا باید بر آنها متمرکز شوند.

برای مثال، با وجود آسیب‌پذیری ذاتی در بعضی مانیتورهای مخصوص نظارت بر شرایط بیماران، قابلیت از کار انداختن سیستم‌های MRI یک بیمارستان، مهم و حیاتی‌تر است. این مخاطره را می توان از زوایای مختلف بررسی کرد. از نظر CCOM2، مخاطره دستگاه‌های آسیب‌پذیر بر اساس محیط و شرایط بیمارستان و مراکز درمانی مشخص می‌شود.

همچنین X-Force Red از این اطلاعات برای شناسایی سایر مخاطراتی که ممکن است مخفی شده باشند، استفاده می‌کند. ابزارهایی مثل FiniteState به تحلیل میان‌افزارها کمک کرده و به مرور زمان ما را در جریان آسیب‌پذیری‌های جدید تجهیزات قرار می دهند. ابزار تست نفوذ سخت‌افزاری X-Force Red به شناسایی آسیب‌پذیری‌هایی که در دستگاه یا روش ارتباطی آن وجود دارد نیز کمک می کند.

 

راهبردهای رفع مشکل

حل آسیب‌پذیری‌های اینترنت اشیا می‌تواند یک فرایند طولانی باشد. نخست این که معمولاً ما کنترل زیادی بر روی دستگاه‌ها نداریم و فقط قادر به تغییر پیکربندی‌های ساده آنها هستیم. همچنین معمولاً دستگاه آسیب‌پذیر، بخشی از یک راهکار بزرگتر است. ممکن است نقطه تماس ما با این دستگاه‌ها به گونه‌ای نباشد که بتوانیم کاری برای آنها انجام دهیم. در بدترین حالت، فروشنده‌ها به ما یادآور می‌شوند که عمر پشتیبانی از دستگاه به سر رسیده است. بنابراین نیاز به تفکر خلاقانه در این خصوص وجود دارد و باید از زوایای مختلفی با این مسأله برخورد شود.

اولین مورد برای مقابله با تهدیدهای این حوزه، تشخیص حمله است. صرف نظر از این که می‌توانیم از حمله پیشگیری کنیم یا خیر، ممکن است تلاش برای سوءاستفاده را تا حدی تشخیص دهیم. باید سعی کنیم حملات واقعی به ندرت رخ دهند. اسکنر IoT از طریق قابلیت شنود ترافیک شبکه می‌تواند این رفتارها را شناسایی کرده و آنها را مسدود کند. در مواردی که قادر به تشخیص مشکل هستیم می‌توانیم از راهنمای واکنش به حادثه کمک گرفته و مشخص کنیم هدف مهاجمان چه بوده و باید به دنبال چه سرنخ‌هایی باشیم.

بخش بندی هم در بعضی مواقع مخصوصاً اگر متوجه شدیم دستگاهی به صورت نامناسب یا به اشتباه در معرض دسترسی قرار گرفته است، قابل اجرا می باشد. همچنین این فرایند به افزایش سطح حفاظتی نیز کمک می‌کند. در واقع اگر دستگاه را در یک شبکه محافظت شده متفاوت قرار دهیم، ممکن است بتوانیم مهاجم را به صورت کامل از دستیابی به هدف ناتوان کنیم.

نصب وصله‌های امنیتی هم یک گزینه قابل اجرا برای تجهیزات اینترنت اشیا است اما نه تنها متداول نیست، بلکه انجام آن در این حوزه نسبت به حوزه فناوری اطلاعات سخت‌تر است. در بهترین حالت می‌توان یک تغییر پیکربندی با مخاطره کم انجام داد تا سرویس های آسیب‌پذیر و بلااستفاده غیرفعال شوند. اگر وصله امنیتی موجود باشد، به منظور نصب آن بر روی دستگاه لازم است تا دستگاه از حالت سرویس دهی خارج شود. در بعضی موارد ممکن است برای نصب، نیاز به دسترسی فیزیکی به دستگاه وجود داشته باشد. دستگاه‌هایی که هنگام به روز رسانی میان‌افزار دچار مشکل می‌شوند معمولاً باید برای تعمیر به شرکت پشتیبان ارسال شوند. بنابراین نصب وصله‌های امنیتی برای دستگاه‌های مهم و حیاتی می‌تواند کار خطرناکی باشد و باید با دقت ویژه‌ای آن را انجام داد.

 

[۱] Internet of things

[۲] Operational technology

[۳] Internet of Medical things

[۴] common vulnerabilities and exposures

 

منبع: securityintelligence

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

9 + یک =

دکمه بازگشت به بالا