2019'da Nesnelerin İnternetinin güvenliği hakkında derinlemesine bir yorum var
2018 Nesnelerin İnterneti yılıdır.Bir yandan büyük ölçekli saldırılar birbiri ardına ortaya çıktı, çeşitli botnet'ler canlandı, yeni fikirler tekrarlandı, diğer yandan devlet denetimi ve ilgili standartlar daha da geliştirildi. Güvenlik ve gizlilik sorunları daha ciddi hale gelmesine rağmen, sıradan tüketiciler ve işletmeler, akıllı evler ve akıllı ofisler gibi IoT cihazlarını giderek daha fazla benimsiyor. 2019'da bu trendler daha hızlı gelişecek.
2018'deki IoT saldırıları
2018'deki birden fazla IoT saldırısında Wicked, OMG Mirai, ADB.Miner, DoubleDoor, Hide'N Seek ve Mirai-Variant IoT botnet'in finans sektörünü hedeflediğini gördük.
Bununla birlikte, 2018'deki ana saldırı kesinlikle, dünya çapında 500.000'den fazla cihaza saldıran VPNFilter'tir, bunların çoğu Linksys, MikroTik, Netgear, TP-Link, QNAP, ASUS, D-Link, Huawei dahil olmak üzere yönlendiricilerdir. , Ubiquiti, UPVEL, ZTE ve diğer üreticilerin ürünleri bağışık değildir. Bu saldırı nispeten büyük olmasına rağmen, artık nadir veya kaza değildir.
Denetim çalışması daha da geliştirilecek
Saldırılardaki bu artış, endüstrinin IoT siber saldırılarına alıştığı anlamına mı geliyor? IoT güvenliğinin düzenlenmesi ile ilgili olarak, bu yılın cevabı hayır, Farklı seviyelerde bir dizi düzenleyici eylem uygulanıyor.
Britanya Hükümeti'nin DCMS Departmanı (Dijital, Kültür, Medya ve Spor), IoT cihazlarının güvenliğine ilişkin yönergeler ve yönergeler geliştirmek için "Tüketici IoT Güvenliği Uygulama Kuralları" ve "Tasarım Güvenliği: Tüketici IoT Raporlarının Siber Güvenliğini İyileştirme" yayınladı. Önermek.
California hükümeti daha da ileri giderek, IoT cihazlarının güvenliğine ve kullanıcı gizliliğinin korunmasına odaklanan ilk fatura olan "B-327 Bilgi Gizliliği: Cihaz Bağlantısı" tasarısını kabul etti.
Tasarı, hükümetin IoT cihazlarının denetimine katılabileceğini ve katılacağını gösteriyor.
Yaklaşan hükümet standardizasyon çalışmaları 2019'da önemli ölçüde artmaya devam edecek. İlgili düzenlemelerin, sertifikasyon ve veri gizliliğinin yanı sıra daha ayrıntılı ağ güvenliği gereksinimlerinin ve ekipman malzeme listelerinde görünebilirliğin ötesine geçmesini bekliyoruz. Bu işlemler, güvenlik önerilerinden fiili iş görevlerine kadar tedarikçiler için gereksinimleri artıracaktır.
Buna ek olarak, 2018'de, IoT güvenlik olaylarının güvenlik ve teknik medyayı aşarak ana akım medyaya girdiğini gördük. Bunun 2019'da artmaya devam edeceğine inanıyoruz çünkü IoT kullanıcılarının tehditlere ilişkin farkındalığını artıracak ve bu da düzenleyici süreci hızlandıracak ve üreticilere ürünlerinin güvenlik standartlarını iyileştirmeleri için daha fazla baskı oluşturacaktır.
2019'da üç IoT saldırı yolu
2019'da Nesnelerin İnterneti için üç saldırı vektörü hızla büyümeye devam edecek. Veri merkezleri ve bulut hizmetleri veya kripto para madenciliği için DDoS saldırılarının yanı sıra doğrudan İnternet arayüzleri aracılığıyla çok sayıda cihaza bulaşan saldırılar.
Kişileri ve kuruluşları (oteller, hastaneler veya kumarhaneler gibi) gasp etmek için belirli cihazların hedeflenen geliştirilmesi. Bazı saldırılar öngörüyoruz:
1. Cihazı ele geçirin ve fidyeyi ödedikten sonra serbest bırakın;
2. Utanç verici veya suç içeren video ve ses kaydedin;
3. Cihazlara APT (Advanced Persistent Threat) saldırısının bir parçası olarak saldırın ve hassas veri varlıklarına (örneğin, ağ hizmetleriyle doğrudan etkileşime giren yazıcılar aracılığıyla, akıllı telefon konferans sistemleri vb.) Erişim elde etmek için yanal olarak hareket etmek için kullanın. .);
4. Devlet destekli kurumlar ve saldırgan siber güvenlik şirketleri tarafından istihbarat toplamak için bağlı cihazların işlevlerini kullanın;
5. Büyük güvenlik şirketleri ve bireysel güvenlik araştırmacıları, tedarikçilerle işbirliği yapmadan çeşitli cihazlarda (kameralar, yönlendiriciler, ağ geçitleri, NAS ve elektrikli süpürgeler vb. Dahil) sıfırıncı gün güvenlik açıklarını bulmak ve ifşa etmek için çok sayıda araştırma çalışması yaptı. Bu çalışmalar anlamlı olsa da, saldırganların savunmasız olduğu tespit edilen ancak satıcılar tarafından yama uygulanmayan cihazları kullanmalarına yol açacaktır.
Saldırı karmaşıklığı artacak
IoT güvenlik araştırmalarının çoğu, kolaylıkla satın alınan ve laboratuvarda sökülüp kırılan ekipmanlar üzerinde yapılsa da, akıllı binaların kritik altyapısı ve yangın alarm sistemleri gibi üst uç bağlantılı cihazlarla ilgili araştırmaların giderek artmasını bekliyoruz. Ve kamu hizmet altyapısı.
Mevcut durum, saldırganların gittikçe daha anlayışlı ve cesur hale gelmesidir.Örneğin, VPNFilter'ın Ukrayna klor damıtma tesisine saldırısı iyi bir örnektir. Bu tehdit çok sayıda cihaza yayılma yeteneğine sahiptir.Farklı mimarilere uygun modüler bir mekanizmaya dayanmaktadır, cihazın yeniden başlatılmasına dayanabilir ve cihazdan geçen trafiği izleme ve engelleme özelliğine sahiptir.
Bu karmaşıklık gelişmeye devam edecek ve gelecekteki IoT cihazlarında güvenlik uygulamasının eksikliğinde gördüklerimizin sadece bir örneğidir.
Ekipman güvenliğinin tasarım yeteneğini geliştirin
Kullanıcılara fayda sağlaması ve ekipman üreticilerine sorumluluklar yüklemesine karar verilen güvenlik ve mahremiyet sorunlarıyla ilgili bir dizi durum gördük. 2019 yılında bu dava ve kararların sayısının artmaya devam edeceğini öngörüyoruz.
Mahkeme dışında çözülse bile, bu eğilim IoT üreticilerinin güvenliğe daha fazla dikkat etmeleri için güçlü bir motivasyon olacak ve güvenliği geliştirme aşamasında önemli bir sorun haline getirecektir.
Buna ek olarak, IoT üreticileri ekipmanlarını korumaya teşvik edilecek, çünkü kurumsal alıcılar risklerini ve saldırı yüzeylerini azaltmak için kurumsal ortama uyarlanmış güvenlik ekipmanına ihtiyaç duyacaklar.
Siber güvenlik otomasyonu çağı geliyor
Bağlı cihazlardan artan siber tehditler, iş ve operasyon sürekliliği ve tüketicilerin yaşamları üzerinde daha büyük bir etkiye sahip olacaktır.
Bazı durumlarda, IoT cihaz üreticileri, IoT ağ güvenliğine daha hızlı yanıt vermeli ve yanıt vermelidir. Güvenli yeni cihazlar geliştirmek ve geleneksel cihazlardan oluşan geniş bir kataloğu düzeltmek için üreticilerin otomasyona yönelmesini bekliyoruz; bu, güvenlik ve gizlilik sorunlarını gerçekten etkili bir şekilde çözmenin tek yolu olabilir.
2019, teknoloji tabanlı çözümler yılı olacak.Otomasyona güvenmek, IoT güvenlik ekosisteminin yol gösterici ışığı olabilir.
