استراتيجية اختبار اختراق إنترنت الأشياء
جارتنر يتوقع أكثر من 65% من المؤسسات (كمرجع، كانت النسبة 30% فقط في عام 2017) ستتبنى حلول إنترنت الأشياء بحلول عام 2020. وسيرتفع إجمالي عدد الأشياء المتصلة المثبتة في جميع أنحاء العالم إلى ما يتجاوز 20 مليارًا. قد يجلب “إنترنت الأشياء” الراحة لحياة الفرد والعديد من الفوائد الإنتاجية للشركات، لكنها جميعًا تتلاشى بالمقارنة مع التهديدات الأمنية التي يفرضها عالم إنترنت الأشياء.
أدت المخاوف الأمنية الرئيسية، مثل منع فقدان السيطرة على الأشياء المتصلة، فضلاً عن انتهاكات المعلومات الحساسة، إلى زيادة الحاجة إلى تقنيات خاصة بإنترنت الأشياء. خدمات اختبار الاختراق.
أمن إنترنت الأشياء: من هو المناوب اليوم؟
الحل النموذجي لإنترنت الأشياء هو نظام من المكونات المتصلة التي يمكن تجميعها في ثلاث فئات:
- الأشياء (الأجهزة الذكية وأجهزة الاستشعار والمحركات).
- بوابات مجال إنترنت الأشياء.
- السحابة (البوابة السحابية، معالج البيانات المتدفقة، مستودع البيانات الضخمة، تحليلات البيانات، تطبيقات التعلم الآلي والتحكم، تطبيقات مستخدم خادم العميل).
إذن، من يتحمل مسؤولية أمن كل مكون؟ هل من الضروري للشركات التي تستخدم أنظمة إنترنت الأشياء إجراء اختبارات الاختراق الخاصة بها؟ أم أن هذه الحلول محمية بما فيه الكفاية بالفعل؟ دعونا تصويب الأمر.
أشياء
يجب ضمان أمان الأشياء الذكية المجهزة بأجهزة الاستشعار والمشغلات من قبل الشركات المصنعة للأجهزة. ويجب على هذه الشركات تحديد واتباع متطلبات الأمان، وتنفيذ أفضل الممارسات والسلوكيات الأمنية اختبار الأمان. في الواقع، تتمتع الشركات المصنعة للأجهزة بخبرة جيدة في الهندسة الميكانيكية والكهربائية والسلامة البدنية، ولكن ليس في مجال أمن البرامج. ويمكنك فهمهم. إذا أرادت شركة ما صنع جهاز ذكي آمن، فعليها توظيف خبراء في مجال أمن إنترنت الأشياء وتنظيم دورات تدريبية أمنية لموظفيها. في كثير من الأحيان، لا تسمح ميزانية الشركة بمثل هذه النفقات. علاوة على ذلك، فإن أمان الجهاز الذكي لا ينتهي بعد تطويره وبيعه. يتعين على الشركة المصنعة للجهاز صيانته من خلال تحديثات البرامج الثابتة المنتظمة، والتي تتحمل أيضًا تكاليف إضافية.
على المدى الطويل، تصبح الشركات المصنعة للأجهزة، التي تتجاهل أمان الأجهزة الذكية في كثير من الحالات، هي السبب في الخروقات الأمنية لعملاء إنترنت الأشياء. وإليك بعض الأدلة التي تثبت ذلك.
- قد يحتوي الجهاز الذكي على حساب مخفي حيث لا يستطيع المستخدم تغيير كلمة المرور. عادةً ما يكون الحساب الافتراضي عبارة عن مجموعة “معقدة للغاية” مثل 123456. وعلى الرغم من عدم توفر الحساب من خلال واجهة الويب، إلا أنه يمكن للمتسللين الوصول إليه بسهولة عبر بروتوكولات Telnet أو SSH.
على سبيل المثال، أبلغت Trustwave عن مثل هذا الباب الخلفي الذي يمكن استغلاله عن بعد في واجهة Telnet للأجهزة التي تحمل العلامة التجارية DblTek. وفقًا لـ F-Secure، تم استغلال بيانات الاعتماد الافتراضية في الكاميرات الأمنية التي تنتجها شركة Foscam من قبل المتسللين لعرض مقاطع الفيديو وتنزيل الملفات المخزنة واختراق الأجهزة الأخرى المتصلة بشبكة محلية.
- يرى المتسللون أن الأجهزة الذكية عبارة عن شبكات روبوت مثالية. وتتصل هذه الأجهزة بالإنترنت باستمرار، مما يمنح مجرمي الإنترنت المزيد من الفرص للقرصنة. علاوة على ذلك، فإن أجهزة إنترنت الأشياء المخترقة أكثر عرضة للاختراق من أجهزة الكمبيوتر: فهي متصلة بالإنترنت دائمًا، وبسبب آليات التحديث سيئة التصميم، تظل مصابة لفترة طويلة بعد الاستغلال. إحدى أشهر الحالات كانت هجوم DDoS عام 2016 الذي أثر على الولايات المتحدة وأوروبا. تم اختيار أجهزة إنترنت الأشياء التي تنتجها الشركة الصينية Xiongmai في شبكة الروبوتات التي يبلغ عددها عدة ملايين والتي تسمى “Mirai”، لأن الأجهزة المخترقة كانت تفتقر إلى القدرة على تعيين كلمة مرور على بعض أشكال الاتصال.
إذا كانت الشركات المصنعة المذكورة أعلاه قد نفذت اختبار اختراق الأجهزة الذكية، لكان من الممكن اكتشاف نقاط الضعف وتصحيحها في الوقت المناسب.
بوابات مجال إنترنت الأشياء
غالبًا ما تصبح بوابات إنترنت الأشياء الميدانية أهدافًا للقراصنة. بادئ ذي بدء، تتمتع البوابات بقدرة معالجة عالية. المزيد من القوة – برامج أكثر تعقيدًا، وبالتالي المزيد من نقاط الضعف التي يجب استغلالها. ثانيًا، هذه أجهزة طرفية بين الأشياء والجزء السحابي تعمل كنقطة دخول للمتسللين.
على الرغم من أن الشركات المصنعة لأجهزة البوابة الميدانية لإنترنت الأشياء يجب أن توفر الأمان لقناة الاتصال والتشفير لنقل بيانات إنترنت الأشياء، إلا أنه يجب على شركتك جدولة اختبار الاختراق سنويًا، على الأقل. بهذه الطريقة، ستكون واثقًا من أن جميع الاتصالات بين البوابات والأجهزة آمنة.
السحابة
يتحمل مالك السحابة الخاصة كامل المسؤولية عن أمان سحابة إنترنت الأشياء. ينطبق ذلك على جميع أجزائها المتكاملة: البوابة السحابية، ومعالج البيانات المتدفقة، ومستودع البيانات الضخمة، وتحليلات البيانات، وتطبيقات التعلم الآلي والتحكم، وتطبيقات مستخدم خادم العميل.
إذا كانت شركتك مالكة سحابية خاصة، فلا تتردد في إجراء اختبارات شاملة، بما في ذلك اختبار DDoS. في حالة كون شركتك أحد عملاء السحابة العامة، فإنك أنت ومزود الخدمة السحابية الخاص بك تتقاسمان المسؤولية عن أمان سحابة إنترنت الأشياء.
نظرًا لأن سوق الخدمات السحابية يتسم بقدر كبير من التنافسية، يحاول مقدمو الخدمات السحابية الحفاظ على وضع أمني قوي وإجراء اختبارات اختراق السحابة بأنفسهم. ولكن لا يمكنك أبدًا التأكد مما إذا كان هذا الاختبار عميقًا بما يكفي لتغطية الحد الأقصى من نقاط الضعف وتغطية الأهداف الأكثر أهمية:
- البوابة السحابية (لأنها عنصر حدودي بين الإنترنت والسحابة).
- معالج البيانات المتدفقة (حيث يتعامل مع جميع تدفقات البيانات ويتم وضعه أيضًا بالقرب من الحدود).
- تحليلات البيانات (حيث يمكن الوصول إليها عبر الويب).
- تطبيقات المستخدم (كما تواجه الإنترنت).
لذلك، عادةً ما يقوم عملاء سحابة إنترنت الأشياء بتعيين بائعين لاختبار الاختراق من طرف ثالث للتحقق مما إذا كان موفرو الخدمات السحابية لديهم يولون الاهتمام الواجب للجانب الأمني.
تحديد البائع المناسب لاختبارات اختراق إنترنت الأشياء
من الواضح أن شركتك، باعتبارها أحد عملاء إنترنت الأشياء، يجب أن تحمي أمن النظام البيئي لإنترنت الأشياء بأكمله. تتمثل إحدى طرق مواجهة هذا التحدي في التعاقد مع مزود اختبار الاختراق، الذي يكون قادرًا على اكتشاف نقاط الضعف الأمنية في مكونات إنترنت الأشياء المتعددة.
ما الذي يميز البائع الجيد لاختبار اختراق إنترنت الأشياء؟ إنه نطاق الخدمة و كفاءة الفريق الأمني. سيقوم البائع ذو السمعة الطيبة بتضمين كل عنصر من عناصر نظام إنترنت الأشياء (الأشياء، وبوابات إنترنت الأشياء الميدانية، والسحابة) في نطاق الاختبار. ويتطلب هذا النطاق الواسع من الخدمة بدوره خلفية في أنواع مختلفة من الخدمات تقييم الأمن (مثل تقييم الضعف، شبكة واختبار اختراق التطبيقات، مراجعة رمز الأمان)، بالإضافة إلى المهارات الفريدة للأجهزة الذكية.
يحدد لاري ترويل، المستشار الرئيسي المساعد في Synopsys Software Integrity Group، المجالات الرئيسية التي يجب أن يكون مهندس الأمان جيدًا فيها لإجراء اختبار شامل لاختراق إنترنت الأشياء:
- البنية التحتية السحابية – التعرف على مبادئ البنية السحابية.
- أمن الشبكة – لتحديد البروتوكولات المستخدمة والمعلومات المعرضة للخطر.
- أمن الويب – لفهم ما إذا كانت هناك ثغرات أمنية متصلة بواجهة التكوين المستندة إلى الويب على جهاز مضمن.
- حالات نظام التشغيل المحددة. على الرغم من أن معظم الأجهزة تعمل بنظام التشغيل Linux، إلا أن بعضها يعمل على نظام QNX أو VXworks أو Windows المضمن. هناك أيضًا حالات لأنظمة التشغيل المخصصة.
- الهندسة العكسية وفك التطبيقات من البرامج الثابتة المستخرجة – لتحديد ما إذا كان جهاز إنترنت الأشياء الذي يعمل مباشرة على المعدن (لا يحتوي على نظام تشغيل) عرضة للهجمات.
- الهندسة المدمجة – للعثور على واجهات الباب الخلفي.
تصفية بائعي اختبارات اختراق إنترنت الأشياء غير الأكفاء
وقد اعترفت كل من سلطات الأمن السيبراني في الولايات المتحدة وأوروبا بالفعل بالحاجة إلى إدخال لوائح صارمة بشأن حماية بيانات إنترنت الأشياء في عام 2018. وبالتالي، سيتم تحديد الالتزامات الأمنية لمصنعي أجهزة إنترنت الأشياء ومقدمي الخدمات السحابية على المستوى الفيدرالي. وفي الوقت نفسه، تقع مسؤولية أمان حلول إنترنت الأشياء بالكامل على عاتقك، واختيار البائع المناسب لاختبار اختراق إنترنت الأشياء هو نصف المعركة ضد الجرائم الإلكترونية.