حتماً در گذشته این جمله را شنیده اید که «روزی، یخچال فریزرتان قبل از خود شما از آنچه باید بخرید مطلع میشود»!
امروزه یخچال فریزهایی وجود دارد که از اقلامی که باید خریداری شوند، آگاهی داشته یا این که زنگ در منزل تان اطلاعات زیادی را درباره شما می داند. با وجود این دستیارهای دیجیتال، برای دریافت پاسخ سؤالاتمان فقط کافی است آنها را به زبان بیاوریم. این موارد تنها نمونه های کوچکی هستند از آنچه که امروز در دنیای دیجیتالی جریان دارد. شاید پیش از این هم نگرانی های چندانی درباره مسایلی مثل سطح حمله یا میانافزارها نداشتیم اما در حال حاضر اینترنت اشیا (IoT[1]) علاوه بر این که موجب توانمندسازی دستگاههای مدرن شده بلکه امکان اجرای حملات سایبری را نیز فراهم کرده است.
فناوری عملیاتی (OT[2]) و اینترنت اشیای پزشکی (IoMT[3]) مدت ها است که باعث افزایش بهره وری شدهاند و هر وسیله نیز با انتشار هر نسخه جدید، هوشمندتر از قبل میشود. بنابراین میزان درخواست از کارشناسان امنیت برای امن سازی این تجهیزات افزایش یافته است. البته چنین امری مستلزم ورود کارکنان به دنیای فناوری اطلاعات و مشارکت آنها در طرح مدیریت آسیبپذیری ها است.
آبهای اکتشاف نشده اینترنت اشیا
اولین چالش در حوزه اینترنت اشیا که اینترنت اشیای پزشکی و فناوری عملیاتی را هم شامل میشود، مکان یابی و ثبت خود دستگاهها است. بنابراین جای تعجب نیست که اسکنرهای IoT مثل X-Force for IoT، Nozomi، Cylera، Tenable.ot و Qualys IoT همگی از قابلیت اسکن غیرفعال استفاده میکنند. در این روش، دستگاه درست مثل میکروفون یک زیردریایی، همواره در حال گوش کردن است و باید آن را به بخشی از شبکه متصل کنیم تا بتواند همه چیز را به خوبی شنود کند. به این بخش؛ پورت آینهای، نشست (Session) نظارتی یا دریچه شبکه هم گفته میشود که نام آن بستگی به شرایط و تولیدکننده تجهیزات دارد. این راهکارها سعی می کنند تجهیزات اینترنت اشیا را پیدا کرده و بر اساس امضا آنها را ثبت نمایند.
با این حال، چرا این روش به عنوان یک راهکار غیرفعال در نظر گرفته می شود؟ تجهیزات اینترنت اشیا شکننده هستند و ممکن است ارسال حجم انبوهی از درخواستهای شناسایی توسط اسکنرها باعث بروز مشکل در عملکرد آنها شود. بنابراین اسکنرها همواره در حال پویش شبکه هستند و در صورت شناسایی یک دستگاه جدید، ترافیک آن را بررسی کرده و با پایگاه دادهای که از تجهیزات شناخته شده دارند مقایسه میکنند تا بتوانند نوع دستگاه را مشخص نمایند. پس از شناسایی موفق، سیستم میتواند دستگاه و وجود مخاطرات شناخته شده برای میانافزار آن را شناسایی کند.
برخورد تجهیزات قدیمی و جدید
در روش جدید، اسکنر به جای ارزیابی نحوه پاسخ دستگاه، عملکرد آن را تحت نظارت قرار میدهد. در واقع اسکنرهای مدرن اینترنت اشیا بیشتر شبیه یک سیستم تشخیص نفوذ بوده و بعضی از آنها تلاش می کنند رفتارهای بد را مسدود کنند. بنابراین این اسکنرها جزو تجهیزات مقابله با نفوذ در نظر گرفته میشوند. چنین رویکردی مزایا و معایب خاص خود را دارد. با گوش کردن میتوانیم اطلاعات بیشتری درباره سیستم به دست آوریم و احتمال شناسایی آن هم بیشتر خواهد بود. در مقابل نیز این احتمال وجود دارد که قادر به تشخیص همه پورتهای باز آن نباشیم؛ مگر این که به صورت مستقیم شاهد اتصال دستگاه دیگری به آن باشیم.
این شرایط برای اتصال تجهیزات به شبکه مدرن مناسب است اما برای تجهیزات قدیمی، از فناوریهایی مثل زیرساخت ارتباطی SONET و اتصالهای سریال استفاده میشود. این موضوع بستگی به نحوه مدیریت این کار توسط سیستم دارد. در بسیاری از مواقع، بیشترین کاری که میتوان انجام داد شناسایی یک رابط انسان – ماشین به روز رسانی شده است. این سیستمها درست مانند اختاپوس، دست و پاهای مختلفی دارند که از طریق یک اتصال واسط به حسگرها، دریچهها، پمپها و سایر تجهیزات فناوری عملیاتی متصل شده و در صورتی که مهاجم، کنترل یکی از این سیستمها را در اختیار بگیرد ممکن است مشکلات فاجعه باری رخ دهد.
درگاههایی برای امن سازی دستگاهها
در سایر موارد ممکن است از یک وسیله کوچک به نام درگاه سریال استفاده شود که امکان برقراری ارتباط با سرویسی مثل پوسته امن یا Telnet را فراهم کرده و دستگاه را همانند وقتی که به صورت مستقیم متصل شده باشد، مدیریت میکند. سپس اسکنر اینترنت اشیا این HMI و سیستمهای درگاه سریال را در شبکه شناسایی میکند.
از دیدگاه فهرست تجهیزات باید به این نکته توجه داشت که وجود چنین موردی بیانگر وجود چند دستگاه دیگر نیز است. در این حالت باید از روشهای مناسب مثل استخراج (Import) کردن دستگاه از HMI به صورت دستی یا با استفاده از سیستمی مثل tdi ConsoleWorks کمک گرفت.
مشخص کردن شرایط و سرعت فعلی اینترنت اشیا
پس از شناسایی همه سیستمهای اینترنت اشیا این سؤال ایجاد میشود که چگونه آنها را امن سازی کنیم؟ ما از مدل Purdue برای سلسله مراتب کنترل استفاده میکنیم که نتیجه همکاری بین دانشگاه پردو و انجمن صنعتی Automation 99 است. این مدل، چهار بخش و شش سطح دارد که مربوط به تفاوتهای بین تجهیزات اینترنت اشیا (که بیشتر شامل فناوری عملیاتی میشوند) و شبکههای سازمانی هستند. برای کسب اطلاعات بیشتر درباره این مدل میتوانید از این منبع استفاده کنید.
رویارویی با این واقعیت که ما در اقیانوس عمیق اینترنت اشیا با آن روبرو میشویم، گاهی وقت ها نیاز به یک کشتی بزرگ دارد. مدل Purdue معمولاً به تولیدکننده دستگاه توجه دارد. علاوه بر این سازمانها باید برای بیشترین استفاده از آن، تغییراتی را در محیط فعلی خودشان به وجود آورند. این شرایط را با اینترنت اشیای پزشکی مقایسه کنید که در آن به صورت گسترده از انواع تبلتها و سیستمهایی با ویندوز XP استفاده میشود. وجود این دستگاهها در محیط تولیدی، با وجود این که کار پرسنل را سادهتر میکند اما میتواند دنیایی از مسیرهای نفوذ و حمله را هم در پیش روی سازمان ها قرار دهد.
امروزه دستگاههای جدید به سرعت و آسانی به شبکههای موجود متصل میشوند. بسیاری از تولیدکنندگان در تلاش هستند تا به سرعت، تجهیزاتی با قابلیتها و امکاناتی بهتر از گزینههای رقیب را وارد بازار کنند. برای چنین شرکتیهایی که مدیران اجرایی آنها به دنبال راهکارهایی آسان هستند، مدل Purdue میتواند مثل یک نقشه گنج باشد.
بنابراین جای تعجب نیست که استانداردها و انجمنهای صنعتی مختلف در حال تلاش برای آهستهتر کردن این موج هستند. IoXT Alliance یک نمونه از شرکتهایی است که در حال متحد کردن سازمان های مختلف در این حوزه است. مقررات تجهیزات پزشکی در اروپا هم که قرار است از سال 2021 میلادی اجرایی شود، نمونه دیگری از آنها به شمار می رود.
هیولای بزرگ اینترنت اشیا
آنچه که ما در دنیای اینترنت اشیا به دنبالش هستیم، پیشگیری از غارت اطلاعات هویتی و همچنین اطلاعات سلامت محافظت شده یا حتی غرق کردن کل کشتی خودمان توسط دزدان دریایی است. به عبارت دیگر، دستگاههای مدنظر ما همزمان با پیشرفت های روزافزون فناورانه، شکننده و مهم نیز شده اند. بنابراین ما باید با وجود متداول شدن و افزایش میزان کاربردشان، به خوبی از آنها و دادههایی که در آنها ذخیره می شود، محافظت کنیم.
دستگاههای جدید به اندازهای هوشمند هستند که آنها را می توان خطرناک تلقی کرد. این دستگاهها ممکن است با پیکربندیهای لینوکسی مزین شده باشند و سرویسهایی در حد سرورهایی کوچک اما پرقدرت عرضه کنند. مصرف کنندهها هم این دستگاهها را با دستگاههای دیگر ترکیب میکنند و از سیستم عاملهای بلادرنگی استفاده مینمایند که شاید حتی اسم آنها را هم نشنیده باشید اما در وسایلی که هر روز از آنها استفاده میکنید، از جمله خودرو یا سرویسهای پرداختی که در فروشگاهها استفاده میشوند در حال اجرا باشند. با این وجود بسیاری از این دستگاهها همچنان از نسخههای قدیمی سیستم عامل ویندوز استفاده میکنند!
مدیریت دستگاههایی که پشتیبانی از آنها رو به پایان است!
چنین دستگاههایی قادر به دفاع از خودشان در برابر تهدیدها و مخاطرات نیستند. تعداد زیادی از دستگاههای کاربردی اینترنت اشیا از نظر پشتیبانی به پایان عمر خود رسیدهاند اما تا زمانی که در نهایت یک نفر متوجه شود در برابر یک اکسپلویت هفت ساله آسیبپذیر هستند، باز هم همچنان مورد استفاده قرار می گیرند!
مشکلاتی که به تازگی برای بعضی دوربینهای امنیتی متصل به بستر ابر پیش آمد، نشان دهنده وجود شکاف بین عملکردهای نرمافزاری و سختافزاری تجهیزات است. همین نگرانیها در مورد اینترنت اشیای مورد استفاده از جمله محدود بودن طول عمر محصول و وابستگی به فروشنده در محیطهای کاری هم وجود دارد. حتی اگر دستگاهی در حال حاضر کاملاً درست عمل میکند، ممکن است روزی پشتیبانی از آن به پایان برسد.
با توجه به همه این چالشها شاید خیلی زود احساس کنید که در این دریا غرق شده اید. اسکنرهای اینترنت اشیا میتوانند دستگاههای جدید را پیدا کرده و مخاطره آنها را مشخص کنند. این قابلیت بسیار مفید است اما اگر این اسکنرها هزاران یافته داشته باشند چگونه میتوان همه یافتههای آنها را مدیریت کرد؟
راهکار پیش رو: رتبه بندی آسیبپذیری
تقریباً همه آسیبپذیریهایی که توسط یک اسکنر، چه در حوزه اینترنت اشیا و چه در حوزه فناوری اطلاعات گزارش داده میشوند یک کد خاص (CVE[4]) دارد. MITRE فهرستی از همه آسیبپذیریهای گزارش داده شده در نرمافزار یا سختافزارهای مختلف را ثبت میکند. محققان امنیتی برای عرضه اکسپلویتهای اثبات مفهومی که آسیبپذیریهای خاص را هدف میگیرند از این مرجع استفاده میکنند. لزوماً همه آسیبپذیریهای گزارش شده قابل سوءاستفاده نیستند و بر اساس یافتههای X-Force Red تنها 16 درصد از CVEها در این دسته قرار میگیرند.
هر چند میتوان با بررسی وب تاریک و وب عمیق نمونههایی از کاربرد این اکسپلویتها را مشاهده کرد اما ارزیابی محبوبیت اکسپلویتهای CVE، در سایتهایی مثل Metasploit، ExploitDB و Github تصویری کلی از آنچه محققان امنیتی مشاهده میکنند را برای ما فراهم میکند.
علاوه بر این میتوانید از ترکیب تجربه حمله و هوش مصنوعی برای رتبه بندی هر CVE و برآورد میزان احتمال استفاده از آن توسط هکرها نیز استفاده کنید. به این ترتیب میتوانید CVEهایی که آنقدر ساده هستند که نیاز به کد اکسپلویت ندارند و حتی آسیبپذیریهایی که کد CVE به آنها اختصاص نیافته است را تشخیص دهید.
تحلیل مخاطره
با توجه به پیچیدگی مخاطره حوزه اینترنت اشیا همواره باید مخاطرات تکنیکی و شغلی را در نظر گرفت. فناوریهایی مثل CCOM2 که توسط شرکت AbedGraham عرضه شده است، مخاطرات مرتبط با حوزه مراقبتهای بهداشتی و پزشکی را مشخص میکنند و قادر به تشخیص دستگاههای IoMT هستند که مهندسان فعال در حوزه پزشکی ابتدا باید بر آنها متمرکز شوند.
برای مثال، با وجود آسیبپذیری ذاتی در بعضی مانیتورهای مخصوص نظارت بر شرایط بیماران، قابلیت از کار انداختن سیستمهای MRI یک بیمارستان، مهم و حیاتیتر است. این مخاطره را می توان از زوایای مختلف بررسی کرد. از نظر CCOM2، مخاطره دستگاههای آسیبپذیر بر اساس محیط و شرایط بیمارستان و مراکز درمانی مشخص میشود.
همچنین X-Force Red از این اطلاعات برای شناسایی سایر مخاطراتی که ممکن است مخفی شده باشند، استفاده میکند. ابزارهایی مثل FiniteState به تحلیل میانافزارها کمک کرده و به مرور زمان ما را در جریان آسیبپذیریهای جدید تجهیزات قرار می دهند. ابزار تست نفوذ سختافزاری X-Force Red به شناسایی آسیبپذیریهایی که در دستگاه یا روش ارتباطی آن وجود دارد نیز کمک می کند.
راهبردهای رفع مشکل
حل آسیبپذیریهای اینترنت اشیا میتواند یک فرایند طولانی باشد. نخست این که معمولاً ما کنترل زیادی بر روی دستگاهها نداریم و فقط قادر به تغییر پیکربندیهای ساده آنها هستیم. همچنین معمولاً دستگاه آسیبپذیر، بخشی از یک راهکار بزرگتر است. ممکن است نقطه تماس ما با این دستگاهها به گونهای نباشد که بتوانیم کاری برای آنها انجام دهیم. در بدترین حالت، فروشندهها به ما یادآور میشوند که عمر پشتیبانی از دستگاه به سر رسیده است. بنابراین نیاز به تفکر خلاقانه در این خصوص وجود دارد و باید از زوایای مختلفی با این مسأله برخورد شود.
اولین مورد برای مقابله با تهدیدهای این حوزه، تشخیص حمله است. صرف نظر از این که میتوانیم از حمله پیشگیری کنیم یا خیر، ممکن است تلاش برای سوءاستفاده را تا حدی تشخیص دهیم. باید سعی کنیم حملات واقعی به ندرت رخ دهند. اسکنر IoT از طریق قابلیت شنود ترافیک شبکه میتواند این رفتارها را شناسایی کرده و آنها را مسدود کند. در مواردی که قادر به تشخیص مشکل هستیم میتوانیم از راهنمای واکنش به حادثه کمک گرفته و مشخص کنیم هدف مهاجمان چه بوده و باید به دنبال چه سرنخهایی باشیم.
بخش بندی هم در بعضی مواقع مخصوصاً اگر متوجه شدیم دستگاهی به صورت نامناسب یا به اشتباه در معرض دسترسی قرار گرفته است، قابل اجرا می باشد. همچنین این فرایند به افزایش سطح حفاظتی نیز کمک میکند. در واقع اگر دستگاه را در یک شبکه محافظت شده متفاوت قرار دهیم، ممکن است بتوانیم مهاجم را به صورت کامل از دستیابی به هدف ناتوان کنیم.
نصب وصلههای امنیتی هم یک گزینه قابل اجرا برای تجهیزات اینترنت اشیا است اما نه تنها متداول نیست، بلکه انجام آن در این حوزه نسبت به حوزه فناوری اطلاعات سختتر است. در بهترین حالت میتوان یک تغییر پیکربندی با مخاطره کم انجام داد تا سرویس های آسیبپذیر و بلااستفاده غیرفعال شوند. اگر وصله امنیتی موجود باشد، به منظور نصب آن بر روی دستگاه لازم است تا دستگاه از حالت سرویس دهی خارج شود. در بعضی موارد ممکن است برای نصب، نیاز به دسترسی فیزیکی به دستگاه وجود داشته باشد. دستگاههایی که هنگام به روز رسانی میانافزار دچار مشکل میشوند معمولاً باید برای تعمیر به شرکت پشتیبان ارسال شوند. بنابراین نصب وصلههای امنیتی برای دستگاههای مهم و حیاتی میتواند کار خطرناکی باشد و باید با دقت ویژهای آن را انجام داد.
[1] Internet of things
[2] Operational technology
[3] Internet of Medical things
[4] common vulnerabilities and exposures
منبع: securityintelligence