مقالات امنیت سایبری

راهکارهایی برای ارتقا و بهبود امنیت تجهیزات اینترنت اشیا

اینترنت اشیا فرصت‌های جدیدی را برای شرکت‌ها و سازمان‌ها به وجود آورده است. برای مثال آنها می‌توانند از طریق این فناوری، داده‌ها را از حسگرهای مختلف متصل به انواع ماشین‌ها جمع‌آوری کرده و نظارت بهتری بر روی عملیات و محصولات تولیدی‌شان داشته باشند. البته از طرف دیگر پیاده‌سازی و تعبیه حسگرها و تجهیزات ارتباطی بی‌سیم در محصولات و سیستم‌های کنترل صنعتی سازمان‌ها می‌تواند منجر به دسترسی هکرها به سیستم‌ها و در نتیجه افشای داده‌ها یا ایجاد اختلال در عملیات‌های کسب‌وکاری شود و امنیت تجهیزات اینترنت اشیا را به خطر اندازد.

بر اساس گزارش‌های وزارت امنیت داخلی آمریکا (DHS) تعداد حوادث اینترنت اشیا در این کشور روند صعودی داشته و در بین سال‌های 2013 تا 2018 میلادی حدوداً 7 برابر شده است. محققان مؤسسه IDC پیش‌بینی می‌کنند تا پایان سال 2021 حدود دو سوم از شبکه‌های رایانه‌ای شاهد حداقل یک نفوذ امنیتی مرتبط با اینترنت اشیا خواهند بود و تا پایان سال 2023 نیز حدود ده درصد از کل حملات سایبری، سیستم‌های اینترنت اشیا را مورد هدف قرار خواهند داد. تحلیلگران مؤسسه گارتنر هم اعلام کرده‌اند که تا پایان سال 2025 میلادی هزینه‌های مربوط به تأمین امنیت اینترنت اشیا حدود 20 درصد از بودجه امنیت اطلاعات سالیانه سازمان‌ها را به خود اختصاص خواهند داد، در حالی که این رقم در سال 2015 حداکثر یک درصد از بودجه آنها را شامل می‌شده است.

چند مثال زیر، نمونه‌ای از حملات سایبری است که می‌تواند بر ضد امنیت تجهیزات اینترنت اشیا انجام شود:

  1. هک سیستم‌های پرداخت تحت وب و فناوری عملیاتی (OT) سازمان‌ها و دستکاری آنها
  2. سوءاستفاده از آسیب‌پذیری‌های امنیتی موجود در پروتکل‌های ارتباطی مورد استفاده در تجهیزات پزشکی مثل الکتروشوک‌های قابل تنظیم از راه دور
  3. امکان تحت اختیار گرفتن کنترل خودروهای متصل به اینترنت، با استفاده از آدرس آی‌پی آنها

حملات اینترنت اشیا برای کاربرانی که با این شبکه‌ها در تعامل هستند هم می‌تواند مشکل‌آفرین باشد. برای مثال در سال 2016 بدافزار Mirai کنترل تجهیزات اینترنت اشیا مثل دوربین‌های مداربسته و دستگاه‌های ضبط ویدیویی که از تنظیمات پیش‌فرض کارخانه استفاده می‌کردند را در اختیار گرفت. سپس هر کدام از این تجهیزات به یک شرکت ارایه‌کننده خدمات زیرساخت اینترنت به نام “Dyn” (که میزبان وب‌سایت‌های مهمی مانند آمازون، توئیتر، ردیت و نت‌فلیکس است) حمله نموده و مشکلات متعددی را برای کاربران این وب‌سایت‌ها ایجاد کردند.

با توجه به حوادث امنیتی و خسارات ناشی از آنها شرکت‌ها باید از سیستم‌ها و شبکه‌های به هم پیوسته‌شان (به ویژه سیستم‌هایی که برای طراحی و تولید محصول مورد استفاده قرار می‌گیرند) حفاظت کافی را به عمل آورند. از این رو مدیران امنیتی سازمان‌ها به منظور حفظ و بهبود راهکارهای دفاعی‌شان ابتدا باید آسیب‌پذیری‌های موجود در هر کدام از این سیستم‌ها و تجهیزات را شناسایی نموده و سپس برای برطرف‌سازی سریع آنها و افزایش امنیت تجهیزات اینترنت اشیا در کوتاه‌ترین زمان ممکن اقدامات لازم را انجام دهند.

 

مخاطرات تعبیه شده در اینترنت اشیا

فناوری اینترنت اشیا با خودکارسازی قابلیت‌هایی که انجام دستی آنها بسیار پرهزینه است و همچنین نصب حسگرهای کم‌هزینه (که در صورت بروز مشکل، هشدارهای لازم را صادر می‌کنند) می‌تواند به صورت شبانه‌روزی و با صرف هزینه ناچیز، بر روی تمام تجهیزات تولیدی نظارت داشته باشد. همچنین با استفاده از اینترنت اشیا می‌توانید وضعیت سلامت موتورهای پیشرفته را به صورت مستمر و پیوسته کنترل کنید. با این وجود اگرچه اینترنت اشیا شما را از تشکیل تیم‌های بزرگ عملیاتی و انجام کارهای دستی پرهزینه بی‌نیاز می‌کند ولی از سوی دیگر مخاطرات امنیتی بسیار زیادی را نیز با خود به همراه خواهد داشت.

طراحان تجهیزات اینترنت اشیا معمولاً تلاش می‌کنند بیشترین قابلیت و بالاترین سطح عملکرد را در تجهیزات خود پیاده‌سازی کنند و عموماً توجه چندانی به میزان سطح امنیت آنها ندارند. همچنین امکان نظارت متمرکز بر روی این تجهیزات جهت شناسایی حملات سایبری وجود نداشته و بسیاری از آنها نیز به ندرت به‌روزرسانی می‌شوند. به همین خاطر حملاتی مثل بات‌نت‌های اینترنت اشیا با سرعت چشم‎‌گیری گسترش و توسعه می‌یابند.

بعضی از مهمترین دلایلی که تجهیزات اینترنت اشیا را در مقایسه با سایر فناوری‌ها بیشتر در معرض حملات سایبری قرار می‌دهند، به شرح زیر هستند:

  1. نظارت بر روی تمام تجهیزات اینترنت اشیا تقریباً غیرممکن است (برای مثال تعداد این تجهیزات در شرکت‌های خودروساز که سیستم‌های تحت ابر یا خودروهای هوشمند را طراحی می‌کنند، میلیون‌ها عدد است).
  2. توزیع گسترده حسگرهای اینترنت اشیا در محصولات و ماشین‌های مختلف که در سطح جهان مستقر شده یا در حال جابه‌جایی هستند منجر به گستردگی موقعیت جغرافیایی این چالش امنیتی شده است.
  3. ماهیت نسبتاً جدید این فناوری موجب شکل‌گیری پلتفرم‌های ناهمگونی شده که باید مدیریت شوند. همچنین تجهیزات اینترنت اشیا شامل سخت‌افزارها و نرم‌افزارهای تولید شده توسط شرکت‌های مختلف هستند. بنابراین ارزیابی آسیب‌پذیری، به‌روزرسانی نرم‌افزاری و مدیریت مستمر مخاطرات این تجهیزات، یک چالش چندوجهی به شمار می‌رود که نیازمند مشارکت جدی تمام دست‌اندرکاران این حوزه است.

شناسایی تهدیدات نوین

در گام اول، مدیران سازمان‌ها و کسب‌وکارها باید تیم‌هایی متشکل از متخصصان امنیتی را جهت رسیدگی به مشکلات کنونی و مدیریت مخاطرات آتی ناشی از تجهیزات متصل به اینترنت تشکیل دهند. سپس این تیم‌ها برای ارزیابی چالش‌های امنیتی اینترنت اشیا باید ابتدا به یک درک جامع از چشم‌انداز این فناوری رسیده و پس از تحلیل کافی تجهیزات متصل به اینترنت، نقاط آسیب‌پذیر آنها را شناسایی کنند.

یک طرح مناسب جهت بررسی و بازنگری تجهیزات متصل به اینترنت، شامل مراحل زیر است:

  1. انتساب یک تیم مرکزی که مسئولیت رسیدگی به امنیت تجهیزات اینترنت اشیا را بر عهده دارد.

پیش از تشکیل این تیم، در گام نخست باید سطح رشد و تکامل فناوری اطلاعات و فناوری عملیاتی سازمان (از نظر اصول و مهارت‌های درون‌سازمانی) ارزیابی شود. در سازمان‌ها کارشناسان امنیت، دارای تجربه بیشتری برای مدیریت امنیت اطلاعات هستند ولی از سوی دیگر ممکن است تیم‌های فناوری اطلاعات و فناوری عملیاتی به دلیل عدم وجود ارتباط مناسب با یکدیگر و همچنین شناخت ناکافی آنها از محیط‌های کاری همدیگر، نسبت به هم بی‌اعتماد باشند. بنابراین ممکن است یکسری تضاد برای انجام چنین کاری در سازمان‌ها ایجاد شود.

تشکیل یک تیم مشترک، شامل مدیر ارشد امنیت اطلاعات، مسئول امن‌سازی تجهیزات اینترنت اشیای سازمان، کارشناسان سیستم‌های کنترل عملیاتی (مثل سیستم‌های کنترل ادغام شده) و امنیت فناوری اطلاعات است. همچنین استانداردهای تعریف شده برای فناوری اطلاعات و فناوری عملیاتی مثل استاندارد ISO 27001 و استاندارد ISA/IEC-62443 برای طراحی و پیاده‌سازی سیستم مدیریت امنیت اطلاعات و پیشگیری از وقوع حملات سایبری بر ضد شبکه صنعتی می‌توانند نقش یک منبع جامع را داشته باشند. به این ترتیب تیم متشکل نیز از اصولی واحد و مشترک برای حفاظت از تجهیزات فناوری عملیاتی استفاده خواهد کرد.

اقداماتی که توسط این تیم باید انجام شود، عبارتند از:

  • نظارت بر روی سازگاری سیستم‌های کنترل، از طریق سیاست‌های مدیریت تجهیزات اینترنت اشیا در سازمان
  • اطمینان از به‌روز بودن وصله‌های امنیتی نرم‌افزاری برای تجهیزات تولیدی، زیرساخت‌ها و تجهیزات اینترنت اشیا
  • نظارت مستمر جهت پیروی از اصول و الزامات امنیتی
  • نظارت مداوم بر روی محیط شبکه

همچنین این تیم نباید از بهروش‌های جدیدی که برای امنیت دستگاه‌های اینترنت اشیا ارایه می‌شوند، غافل گردد. طراحان و تولیدکنندگان تجهیزات هم می‌توانند خدمات نگهداری و پشتیبانی از محصولات‌شان را از راه دور ارایه کنند. البته اگرچه این خدمات برای شرکت‌هایی که از تجهیزات اینترنت اشیا استفاده می‌کنند مفید هستند اما این دسترسی‌های راه دور باید کنترل شده و امن باشند.

  1. مشخص کردن مکان استقرار تجهیزات حیاتی اینترنت اشیا در سازمان

اولویت اصلی، شناسایی همه تجهیزات و حسگرهای متصل به اینترنت و همچنین دستگاه‌هایی است که ممکن است مخاطرات امنیتی مهمی را ایجاد کنند. سازمان‌ها معمولاً در این مرحله، تجهیزاتی را پیدا می‌کنند که پیش از این از وجودشان اطلاعی نداشتند! تیم‌های امنیتی باید تجهیزاتی که دارای آسیب‌پذیری‌های جدی و حیاتی هستند را از سایر تجهیزات تفکیک و جداسازی کنند. همچنین ممکن است مخاطرات امنیتی یک دستگاه، کمتر از منابع و بودجه‌ای باشد که برای نظارت بر روی آن لازم است. در این صورت صرف بودجه و زمان برای کنترل چنین تجهیزاتی دیگر چندان ضرورت ندارد.

تجهیزات متصل به اینترنت معمولاً در سیستم‌های فناوری اطلاعات و سیستم‌های فناوری عملیاتی شامل شبکه‌ها و مکان‌های جغرافیایی مختلف، توزیع شده یا در شبکه‌های مجزای درون کارخانجات صنعتی یافت می‌شوند. موارد زیر مثال‌هایی از تجهیزات اینترنت اشیا هستند:

  • نقاط انتهایی شبکه مثل کامپیوترها، لپ‌تاپ‌ها، گوشی‌های تلفن همراه هوشمند و سایر تجهیزات رایانشی قابل حمل
  • تجهیزاتی که توسط کامیون‌ها، کشتی‌ها و کانتینرهای حمل‌ونقل جابه‌جا می‌شوند.
  • سیستم‌های کنترل صنعتی تحت مدیریت سامانه سرپرستی و گردآوری داده (SCADA[1]) در کارخانجات و سایر تشکیلات
  • زیرساخت‌های سنتی مثل کنترلگرهایی که برای مدیریت جریان برق، آب و گاز طبیعی استفاده می‌شوند.
  1. شناسایی نرم‌افزارهای آسیب‌پذیر در تجهیزات اینترنت اشیا

بزرگترین خطری که تجهیزات اینترنت اشیا را تهدید می‌کند، آسیب‌پذیری‌های نرم‌افزاری است. هر سازمان باید یک فهرست کامل از تمام نرم‌افزارهایش تهیه نموده و آنها را ارزیابی و آسیب‌پذیری‌هایشان را شناسایی کند.

همچنین شرکت‌های مختلف از پروتکل‌های نرم‌افزاری گوناگونی استفاده می‌کنند که آسیب‌پذیری‌های هر کدام از آنها باید مورد ارزیابی قرار گیرد. برای مثال تیم‌های امنیتی باید بررسی کنند که آیا امکان استفاده از یک محصول خاص از راه دور توسط هکرها وجود دارد یا خیر؟ در این صورت چگونه می‌توان این نقطه ضعف را برطرف کرد. در بعضی از تجهیزات، تغییر تنظیمات امنیتی ارایه شده همراه محصول جهت مقابله با مخاطرات کافی است اما در سایر دستگاه‌ها (از جمله نسل‌های مختلف تجهیزات ویندوزی) ممکن است جهت رفع آسیب‌پذیری‌های شبکه، وصله‌های امنیتی مخصوصی طراحی و منتشر شده باشد.

عدم توجه کافی به به‌روزرسانی نرم‌افزارها می‌تواند سیستم‌ها را در معرض حملات سایبری مختلف قرار دهد. برای مثال می‌توان به حمله‌ای اشاره کرد که در سال 2017 میلادی رخ داد و منجر به آلودگی ده‌ها هزار کامپیوتر که وصله‌های امنیتی بر روی آنها نصب نشده بود، در سطح جهان گردید.

  1. شناسایی تجهیزاتی که می‌توانند نقش یک نقطه ورودی به شبکه را داشته باشند.

شرکت‌ها علاوه بر ارزیابی سخت‌افزارها و نرم‌افزارهای فعلی‌شان باید تجهیزات جدیدی که به شبکه متصل می‌شوند و ممکن است متعلق به خود سازمان، مشتریان، شرکای تجاری یا پیمانکاران باشند را نیز زیرنظر داشته باشند. می‌توانید در صورت امکان از فناوری‌های خودکار برای شناسایی تجهیزات جدید استفاده کنید.

همچنین باید دستگاه‌های مجزایی که از تجهیزات اینترنت اشیای شما پشتیبانی می‌کنند را شناسایی نمایید. سپس آسیب‌پذیری‌های این دستگاه‌ها را ارزیابی نموده و وصله‌های امنیتی را بر روی آنها نصب کنید. اگر این دستگاه‌ها متعلق به افرادی در خارج از سازمان هستند، آنها را هم ملزم به انجام این کار نمایید.

  1. توجه به تهدیدات نوظهور

همواره تمام تجهیزات متصل به شبکه را زیرنظر داشته تا کوچکترین نشانه‌ای را که می‌تواند منجر به وقوع یک تهدید امنیتی شود، به سرعت شناسایی نمایید. چنین نشانه‌هایی معمولاً یا ناشی از اشتباه توسعه‌دهنده نرم‌افزار هستند یا به دلیل متن‌باز بودن آنها رخ می‌دهند؛ زیرا هکرها همیشه به دنبال سوءاستفاده از آسیب‌پذیری‌های ناشناخته در کدهای نرم‌افزاری هستند. بهتر است تجهیزاتی را که مورد هدف هکرها هستند از شبکه تفکیک کرده و وصله‌های امنیتی را بر روی آنها نصب نمایید.

  1. بررسی تجهیزات جدید، قبل از اتصال آنها به شبکه

قبل از اتصال تجهیزات جدید به شبکه مطمئن شوید که وصله‌ها و قابلیت‌های امنیتی لازم بر روی آنها نصب/ فعال شده و به‌روزرسانی‌های لازم بر روی هر یک از آنها انجام شده است.

  1. از شرکای تجاری خود بخواهید که اصول امنیتی را رعایت کنند.

شرکای تجاری که به شبکه‌های شما دسترسی دارند نیز باید اصول امنیتی را رعایت کرده و همسو با سیاست‌های سازمانی‌تان اقدام ‌به پیاده‌سازی الزامات امنیتی کنند. برای مثال یک پیمانکار تعمیرات که به سیستم‌ها و تجهیزات متصل به شبکه شما دسترسی دارد باید اصول امنیتی مثل به‌روزرسانی‌های نرم‌افزاری را به طور کامل رعایت کرده و برای دسترسی به شبکه شما از سیاست‌های سازمانی‌تان پیروی کند.

  1. همواره باید به نسخه‌های پشتیبان دسترسی داشته باشید.

طرح امنیت سایبری برای حفظ امنیت تجهیزات اینترنت اشیای شرکت باید با طرح مدیریت مخاطرات کلی‌ شما همسو بوده و شامل فرایندهایی برای تداوم کسب‌وکار و بازیابی پس از وقوع فاجعه باشد. همچنین امنیت اینترنت اشیای شرکت را نیز در هنگام وقوع یک حادثه در نظر بگیرید.

 

مثال‌هایی از ایجاد امنیت تجهیزات اینترنت اشیا

مثال شماره یک

شرح وضعیت: مدیران یک شرکت تولیدی در جریان بودند که در محیط کارخانه آنها یکسری ارتباطات وای‌فای و نرم‌افزاری به صورت ترکیبی از تجهیزات سنتی و مدرن وجود دارد. این تجهیزات شامل کنترلگرهای منطقی برنامه‌پذیر (PLC)، سیستم‌های SCADA و رابط‌های انسان – ماشین جهت کنترل فرایندهای صنعتی بودند. در این شرکت، تجهیزات متصل به شبکه دیگری نیز از جمله تجهیزات مورد استفاده کارمندان برای اجرای فرایندهای کاری، تداوم کسب‌وکار و مدیریت حادثه هم وجود داشت.

اقدامات انجام شده: این شرکت از ابزارهای نرم‌افزاری غیرتهاجمی طراحی شده برای سیستم‌های فناوری اطلاعات استفاده نموده و آنها را جهت کار با پروتکل‌های شبکه عملیاتی به گونه‌ای تنظیم کرد تا همه دستگاه‌ها را اسکن و آسیب‌پذیری‌هایشان را شناسایی کند. تیم‌های امنیتی نیز تمام آسیب‌پذیری‌های شناسایی شده را برطرف کردند. این شرکت، فرایند اسکن دستگاه‌ها را در تمام دفاتر خود یکی پس از دیگری انجام داد.

نکته: این شرکت تولیدی با استفاده از اصول امنیتی طراحی شده برای سیستم‌های فناوری اطلاعات توانست مخاطرات امنیتی را در تشکیلات خودش شناسایی و آنها را مرتفع نماید. این شرکت همچنین امکان نظارت بر روی تجهیزات و نرم‌افزارها و همچنین به‌روزرسانی آنها و روش‌های خاص خود برای مقابله با آسیب‌پذیری‌های آتی را نیز فراهم کرد.

مثال شماره دو

شرح وضعیت: مدیران یک شرکت آب و برقی به دنبال روشی برای شناسایی مشکلات امنیتی و برطرف‌سازی آنها بودند.

اقدامات انجام شده: این شرکت با اجرا و پیروی از الزامات استاندارد ISO 27001 که متناسب با امنیت فناوری عملیاتی طراحی شدند، یک ارزیابی 12 تا 18 ماهه از توانایی‌های امنیتی و همچنین اصول و کنترل‌های امنیتی‌اش را انجام داد. دارایی‌های ارزیابی شده شامل کنترلگرها، رابط‌های انسان – ماشین، سیستم‌های مدیریت دارایی و همچنین تجهیزات سازمان‌دهی خدمات میدانی بودند. لازم به ذکر است که در این ارزیابی‌ها به طرح‌های مدیریت حوادث و همچنین تداوم کسب‌وکار امنیت فناوری عملیاتی نیز توجه جدی شد.

این ارزیابی‌ها به شناسایی دارایی‌هایی که دارای مخاطرات زیادی هستند و نیز سایر مواردی که نیازمند توجه فوری بوده و شرکت باید در طرح مدیریت امنیت فناوری عملیاتی خود به آنها توجه لازم را داشته باشد، کمک کردند.

نکته: این شرکت با رعایت و پیروی از اصول امنیت اینترنت اشیا توانست وضعیت مدیریت مخاطرات امنیتی خود را بهبود ببخشد.

نتیجه‌گیری

سازمان‌هایی که خواهان استفاده از قابلیت‌ها و توانمندی‌های اینترنت اشیا هستند باید مخاطرات نفوذ امنیتی یا از دست دادن توانایی کنترل سیستم‌های عملیاتی مهم را ارزیابی نموده و یک پایه و اساس قوی را جهت مدیریت مستمر مخاطرات و تامین امنیت تجهیزات اینترنت اشیا ایجاد کنند. سازمان‌ها با پیاده‌سازی برنامه‌های طراحی شده و انجام اقدامات لازم جهت پیشگیری از مشکلات امنیتی مثل نصب وصله‌های امنیتی بر روی سیستم‌ها و ایجاد رویه‌های رسیدگی به اختلالات امنیتی می‌توانند با حملات سایبری و تهدیدات امنیتی به صورت اثربخش مقابله کنند.

مدیران اجرایی با انجام این اقدامات می‌توانند مطمئن شوند که زمان و منابع بخش‌های فناوری عملیاتی و فناوری اطلاعات وقف همکاری با یکدیگر می‌شود. مدیران فناوری اطلاعات و فناوری عملیاتی هم باید بر روی وضعیت فعلی، نظارت کافی داشته و از اصول امنیتی برای مقابله با مخاطرات موجود استفاده کرده و به حوادث به سرعت پاسخ دهند. یک راهکار امنیتی قوی، مستلزم ارزیابی مداوم و توجه به برطرف‌سازی سریع آسیب‌پذیری‌های تجهیزات اینترنت اشیا است.

 

[1] Supervisory Control And Data Acquisition

 

منبع: tcs

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا
سبد خرید
  • هیچ محصولی در سبدخرید نیست.
ورود | ثبت نام
شماره موبایل یا پست الکترونیک خود را وارد کنید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
رمز عبور را وارد کنید
رمز عبور حساب کاربری خود را وارد کنید
برگشت
درخواست بازیابی رمز عبور
لطفاً پست الکترونیک یا موبایل خود را وارد نمایید
برگشت
کد تایید را وارد کنید
کد تایید برای شماره موبایل شما ارسال گردید
ارسال مجدد کد تا دیگر
ایمیل بازیابی ارسال شد!
لطفاً به صندوق الکترونیکی خود مراجعه کرده و بر روی لینک ارسال شده کلیک نمایید.
تغییر رمز عبور
یک رمز عبور برای اکانت خود تنظیم کنید
تغییر رمز با موفقیت انجام شد
0