42t
42t
خواندن ۹ دقیقه·۴ ماه پیش

امنیت اینترنت اشیاء: چشم‌اندازی در حال تحول

امنیت همواره یکی از چالش‌های اصلی در استقرار اینترنت اشیاء بوده است. نمونه‌های متعددی از نقض‌های امنیتی وجود دارد و چشم‌انداز تهدیدات به طور مداوم پیچیده‌تر می‌شود. در این بخش از مقاله، برخی از دینامیک‌های متغیر امنیت اینترنت اشیاء و رویکردهای تأمین امنیت دستگاه‌های متصل را بررسی خواهیم کرد.

امنیت اینترنت اشیاء: جزر و مد فزاینده

استقرار گسترده اینترنت اشیاء در برنامه‌های کاربردی مختلف مصرف‌کننده و سازمانی، فرصت‌های هک بیشتری را ایجاد می‌کند و مردم از اینترنت اشیا در سیستم‌های فزاینده‌ای حیاتی استفاده می‌کنند. در عین حال، مقیاس استقرارها همچنان در حال افزایش است، به طوری که تعداد اتصالات اینترنت اشیا از 16 میلیارد دستگاه در سال 2023 به 40 میلیارد در سال 2033 خواهد رسید.

دستگاه‌های اینترنت اشیاء همیشه تا حدودی در برابر هک آسیب‌پذیرتر بوده‌اند زیرا در محیط‌های بدون نظارت مستقر می‌شوند و اغلب در ترکیبات پیچیده‌ای از فناوری‌ها و ذینفعان مستقر می‌شوند که همگی نقطه ضعف بالقوه‌ای در زنجیره امنیتی هستند. تنوع اینترنت اشیاء نیز یک چالش است و متخصصان امنیت سازمانی را ملزم می‌کند تا خطرات امنیتی طیف وسیع‌تری از دستگاه‌ها را درک کنند، نه صرفاً تلفن‌ها، رایانه‌های شخصی و سایر زیرساخت‌های فناوری اطلاعات. بنابراین، کمبود مهارت نیز یک مسئله است. با این حال، چالش‌ها در سال‌های اخیر افزایش یافته است. به عنوان مثال، یک روند مداوم برای دستگاه‌های اینترنت اشیا وجود دارد که به طور فزاینده‌ای در پردازش، حافظه و توان محدود می‌شوند و توانایی آن‌ها را برای پشتیبانی از ویژگی‌ها و به‌روزرسانی‌های امنیتی قوی کاهش می‌دهند. از نظر تاریخی، مقررات امنیتی ضعیف اینترنت اشیا به سازندگان اجازه می‌داد تا راه میانبر را انتخاب کنند، که نمونه‌ای از آن، بات‌نت میرای است که از ضعف‌های امنیتی اساسی سوء استفاده می‌کند. با این حال، همانطور که در بخش بعدی توضیح داده شده است، این موضوع به طور فزاینده‌ای مورد توجه قرار گرفته است.

الزامات جدید انطباق با مقررات امنیتی اینترنت اشیاء

در چند سال گذشته، گسترش قابل توجهی در قوانین مربوط به امنیت سایبری به طور کلی و به ویژه امنیت دستگاه‌های اینترنت اشیا ایجاد شده است. نمونه‌های فزاینده‌ای از کدهای عملی یا دستورالعمل‌ها برای حداقل سطوح امنیت در دستگاه‌های مصرف‌کننده اینترنت اشیا وجود دارد، از جمله به عنوان مثال استفاده نکردن از رمزهای عبور پیش‌فرض یا ضعیف و نیاز به به‌روزرسانی‌های منظم میان‌افزار. در برخی کشورها، این دستورالعمل‌های اختیاری با الزامات اجباری جایگزین شده‌اند و این روند احتمالاً ادامه خواهد داشت. عناصر دیگر شامل برنامه‌های برچسب‌گذاری است. این مقررات و بسیاری از مقررات دیگر در گزارش اخیر «چشم‌انداز نظارتی برای اینترنت اشیا» از Transforma Insights و پایگاه داده نظارتی مرتبط توضیح داده شده است.

پیش بینی های اینترنت اشیا (IoT) در سال 2024

مقررات اتحادیه اروپا

اتحادیه اروپا چندین مقررات مرتبط با امنیت سایبری دارد. در سال 2020، ENISA دستورالعمل‌های امنیتی زنجیره تامین اینترنت اشیا را منتشر کرد که کل چرخه عمر، از طراحی تا دفع را پوشش می‌دهد.

در سال 2022، کمیسیون اروپا پیشنهادی برای مقرراتی در مورد الزامات امنیت سایبری برای محصولات دارای عناصر دیجیتال ارائه کرد که به عنوان قانون انعطاف‌پذیری سایبری شناخته می‌شود. این قانون قصد دارد قوانین امنیت سایبری را برای اطمینان از محصولات سخت‌افزاری و نرم‌افزاری ایمن‌تر تقویت کند.

این مقررات پیشنهادی مستلزم آن است که محصولات دیجیتال امنیت سایبری متناسب با خطرات موجود در طراحی، توسعه و تولید خود را تضمین کنند.

دستورالعمل NIS اولین قانون در سطح اتحادیه اروپا بود که به دنبال سطح بالایی از امنیت سایبری در تمام کشورهای عضو بود. گسترش پیشنهادی توسط NIS2 پوشش داده شده است که نهادها و بخش‌های بیشتری را ملزم به اتخاذ تدابیر مربوط به امنیت سایبری می‌کند.

مقررات انگلستان

در اکتبر 2018، DCMS انگلستان به همراه NCSC، کد عملی برای امنیت اینترنت اشیای مصرف‌کننده را منتشر کرد. این کد مراحل عملی برای سازندگان اینترنت اشیا و ذینفعان صنعت برای بهبود امنیت محصولات و خدمات اینترنت اشیای مصرف‌کننده را تشریح کرد. قانون سختگیرانه‌تر امنیت محصول و زیرساخت مخابراتی سال 2022 در آوریل 2024 به اجرا درآمد. این قانون به وزیر مربوطه انگلستان اجازه می‌دهد تا الزامات امنیتی را برای محصولات قابل اتصال به اینترنت و زیرساخت‌های ارتباطی در دسترس مصرف‌کنندگان در انگلستان مشخص کند. این مقررات برای سازندگان، واردکنندگان و توزیع‌کنندگان محصولات متصل به اینترنت در انگلستان اعمال خواهد شد. این مقررات امروزه الزامات رمز عبور، حداقل به‌روزرسانی‌های امنیتی و بیانیه‌های انطباق را مشخص می‌کنند.

نمونه قانون‌‌گذاری (رگولاتوری) در آمریکا

در ایالات متحده، قانون بهبود امنیت سایبری اینترنت اشیا سال 2020 از موسسه ملی استانداردها و فناوری (NIST) و دفتر مدیریت و بودجه (OMB) می‌خواهد گام‌های مشخصی برای افزایش امنیت سایبری برای دستگاه‌های اینترنت اشیاء بردارند. این قانون به NIST نظارت بر خطرات امنیت سایبری اینترنت اشیا را می‌دهد و از آن می‌خواهد که دستورالعمل‌ها و استانداردها، از جمله گزارش بیش از حد در مورد مسائل امنیتی و استانداردهای حداقل امنیت را تعیین کند. چارچوب امنیت سایبری NIST (CSF) 2.0 که در اوایل سال 2024 منتشر شد، بازنگری چارچوب اصلی NIST را نشان می‌دهد. در سپتامبر 2022، NIST NISTIR 8425 را منتشر کرد که مشخصات مصرف‌کننده خط پایه اصلی اینترنت اشیا را تشریح می‌کند. این سند قابلیت‌های امنیت سایبری مورد نیاز برای بخش اینترنت اشیای مصرف‌کننده، از جمله محصولات برای استفاده خانگی یا شخصی را شناسایی می‌کند. در جولای 2023، دولت بایدن-هاریس برنامه برچسب‌گذاری امنیت سایبری را برای کمک به آمریکایی‌ها در انتخاب دستگاه‌های هوشمند ایمن‌تر راه‌اندازی کرد. در چارچوب برنامه جدید پیشنهادی، مصرف‌کنندگان یک «نشان اعتماد سایبری ایالات متحده» جدید به شکل یک لوگوی سپر متمایز را روی محصولاتی که معیارهای امنیت سایبری تعیین شده را برآورده می‌کنند، مشاهده خواهند کرد. مقررات ارائه شده در بالا تنها بخشی از قوانین و دستورالعمل‌های امنیت سایبری مرتبط با اینترنت اشیاء را نشان می‌دهد. بسیاری از کشورهای دیگر قوانین مشابهی خواهند داشت.

رویکرد ارائه دهندگان خدمات ارتباطی

در جولای 2024، Transforma Insights نسخه 2024 گزارش «مقایسه همتا به همتای اینترنت اشیای ارائه دهندگان خدمات ارتباطی (CSP)» را منتشر کرد که هم مضامین کلیدی تعریف‌کننده بازار اتصال اینترنت اشیا و هم اپراتورهای شبکه موبایل پیشرو و MVNOها را برای اینترنت اشیا شناسایی می‌کند. این گزارش از گفتگو با 25 ارائه دهنده برتر جهانی اتصال سلولی و تجزیه و تحلیل دقیق قابلیت‌های آن‌ها ناشی می‌شود. همانطور که انتظار می‌رود، موضوع امنیت اینترنت اشیا یکی از موضوعات مطرح شده بود. همه CSPها دارای پیشنهادات بسیار امن بودند و در بسیاری از موارد امنیت را به عنوان یک سرویس با ارزش افزوده لایه بندی می‌کردند. با این حال، در بسیاری از موارد هنوز هم کمبود ارائه گسترده‌تر مرتبط با امنیت و انطباق وجود داشت. بیشتر آن‌ها به نیاز به بهبود پشتیبانی پیش از فروش اذعان داشتند، اما تعداد کمی اولویت انطباق به عنوان یک سرویس را در سفرهای پذیرش مشتری داشتند.

این یک مثال خوب از جامعه فروشندگان در یک ریز جهان است. عنصر فردی ایمن است. و حتی پذیرفته شده است که مشتریان ممکن است برای امنیت اضافی بیشتر پرداخت کنند. با این حال، یافتن فروشنده‌ای که بخواهد مسئولیت امنیت و انطباق کلی انتها به انتها با مقررات مرتبط با امنیت را بر عهده بگیرد، نسبتاً نادر است. بنابراین، فروشنده‌ای پیدا کنید که مطمئناً بر آن تأکید خواهد کرد.

لایه‌های متعدد امنیت اینترنت اشیاء

امنیت اینترنت اشیاء شامل اقدامات محافظتی برای دستگاه‌ها، شبکه‌ها، پلتفرم‌ها، برنامه‌های کاربردی و سیستم‌های سازمانی است که ارتباطات پیچیده آن‌ها را منعکس می‌کند. پنج لایه امنیتی اصلی وجود دارد.

لایه‌های امنیت اینترنت اشیاء

لایه ۱: نقطه پایانی (End Point)

تمرکز اصلی بر روی تأمین امنیت خود دستگاه است. سخت‌سازی دستگاه برای جلوگیری از دستکاری بسیار مهم است، از جمله استفاده از سیم‌کارت‌های تعبید شده (eSIM) که قابل حذف نیستند. دستگاه‌ها همچنین باید از به‌روزرسانی‌های میان‌افزار از راه دور (FOTA) پشتیبانی کنند که نیازمند فناوری‌های شبکه، ذخیره‌سازی و پردازش کافی است. تشخیص بدافزار در این لایه ضروری است.

لایه ۲: شبکه

امنیت شبکه به طور کلی قوی است، به ویژه در شبکه‌های موبایل، اما همچنان آسیب‌پذیری‌هایی وجود دارد. برنامه‌های کاربردی اینترنت اشیا اغلب در چندین شبکه، از جمله اینترنت عمومی، گسترش می‌یابند که خطر بهره‌برداری را افزایش می‌دهد. اقدامات امنیتی کلیدی شامل احراز هویت دستگاه و سیم‌کارت، رمزگذاری شبکه، APN‌های خصوصی، تشخیص شبکه، قفل کردن IMEI، قرنطینه دستگاه‌ها، لیست سفید DNS و استقرار سیستم‌های تشخیص و جلوگیری از نفوذ (IDS/IPS) است.

لایه ۳: انتقال

امنیت لایه شبکه ممکن است به تنهایی کافی نباشد. امنیت لایه انتقال (TLS) اغلب مورد نیاز است، به ویژه توسط ارائه دهندگان ابری، برای تأمین امنیت تحویل داده‌ها. اقدامات معمول شامل VPN‌ است. IoT SAFE، یک ابتکار اتحادیه GSM، از سیم‌کارت برای ارتباط امن انتها به انتها استفاده می‌کند و احراز هویت متقابل و TLS را تضمین می‌کند.

لایه ۴: ابر/داده

اقدامات امنیتی صرف نظر از اینکه داده‌ها در ابر یا در محل ذخیره می‌شوند، ضروری هستند. این شامل جلوگیری از دسترسی غیرمجاز، رمزگذاری، کنترل دسترسی و پشتیبان‌گیری/بازیابی داده‌ها می‌شود. امنیت ابری برای اینترنت اشیاء همچنین شامل مدیریت اعتبارنامه‌ها، کنترل دسترسی و SDKهای دستگاه و همچنین رسیدگی به آسیب‌پذیری‌ها در رابط‌ها، APIها و نقض‌های داده‌های بالقوه است.

لایه ۵: کاربرد

امنیت کاربردی بسیار مهم است زیرا بسیاری از آسیب‌پذیری‌ها از برنامه‌های ضعیف ایجاد شده ناشی می‌شوند. توسعه‌دهندگان باید امنیت را در اولویت قرار دهند و اطمینان حاصل کنند که احراز هویت و حریم خصوصی داده‌ها در طراحی برنامه گنجانده شده است. علاوه بر این، ما جنبه ششم را شناسایی می‌کنیم: امنیت انتها به انتها. این کل سیستم را در نظر می‌گیرد و تمام لایه‌ها را برای بهینه‌سازی محافظت ادغام می‌کند.

این شامل طراحی امن برنامه، تشخیص ناهنجاری در لایه‌ها، انطباق فروشنده شخص ثالث و قابلیت‌های پاسخگویی قوی به حادثه برای مدیریت موثر تهدیدات سایبری است. این لایه‌های امنیت اینترنت اشیاء در نمودار زیر نشان داده شده‌اند.

لایه‌های امنیتی اینترنت اشیاء
لایه‌های امنیتی اینترنت اشیاء


یک محیط پیچیده و در حال تغییر مداوم

آنچه باید از نظرات فوق مشخص باشد این است که چشم‌انداز امنیت اینترنت اشیا به سرعت در حال تغییر است. ماهیت و مقیاس تهدیدات در حال تغییر است، همانطور که مقررات برای مقابله با آن معرفی می‌شود. رویکردهای فروشندگان نیز در حال تکامل است و در حالت ایده‌آل باید مدل چند سطحی ارائه شده در بخش قبلی را در بر گیرد، از جمله در نظر گرفتن امنیت انتها به انتها.

بعد دوم مربوط به ابزارها و ویژگی‌های خاص مورد نیاز برای رسیدگی به امنیت اینترنت اشیا است که ممکن است برابر با سخت‌سازی دستگاه، به‌روزرسانی‌های FOTA، ویژگی‌هایی مانند APN‌های خصوصی، IoT SAFE یا VPN‌، تشخیص ناهنجاری، پاسخ خودکار به تهدید و اصلاح باشد. هدف مشترک در زمینه‌های چارچوب و عملکرد کاهش ریسک، پاسخ به نقض‌ها و اجرای اقدامات اصلاحی است.

موضوعات اصلی شامل تجزیه و تحلیل آخرین تهدیدات امنیتی اینترنت اشیاء و الزامات نظارتی، رویکردهای امنیت انتها به انتهای اینترنت اشیاء سلولی، شامل سخت‌افزار متصل، سیم‌کارت‌ها، شبکه‌های موبایل و زیرساخت ابری، و راهنمایی عملی و تخصصی برای محافظت از سازمان شما در برابر تهدیدات سایبری خاص اینترنت اشیاء خواهد بود. برای ثبت نام اینجا کلیک کنید: استراتژی‌های امنیتی اینترنت اشیاء: اجرای راهکارهای متصل امن.

دستگاه خانه هوشمند


اینترنت اشیاءامنیت اینترنتامنیت سایبریiotاینترنت
اینستاگرام https://www.instagram.com/42t.ir/
شاید از این پست‌ها خوشتان بیاید