روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ متخصصین امنیت ایتزیک فیگلویچ و جاستین سودر در بخش «ذهن یک هکر اینترنت اشیاء» کنفرانس RSA 2021 در خصوص آسیبپذیری انواع دستگاههای اینترنت اشیاء و راهکار لازم جهت امنیت سایبری سازمانی سخنرانی کردند. آنها چندین نمونه جالب را که وضعیت امنیت این روزهای اینترنت اشیاء را نشان میداد ارائه دادند. کمتر متخصصین امنیت سازمانی حواسشان به سختافزارهای سازمانی مجهز به IoT است. بیشتر وقتها آسانسورهای هوشمند، هر نوع حسگر، IPTV، پرینترها، دوربینهای مداربسته و غیره جزو نمونه گروهبندیهای دستگاههای اینترنت اشیاء هستند که هر یک سیستمعامل و پروتکلهای اختصاصی خود را دارند. بسیاری نیز رابط کنترل مناسبی ندارند. شرکت شما میتواند پر باشد از این قِسم سیستمها. در ادامه با ما همراه باشی تا توضیح دهیم چطور دستگاههای اینترنت اشیاء میتوانند امنیت سازمانی را به خطر بیاندازند.
چرا دستگاههای اینترنت اشیاء خطری برای امنیت سازمانی به حساب میآید؟
دستگاههای IoT همیشه هم متعلقات زیرساخت مربوطه تلقی نمیشوند؛ هرچند یک پرینتر شبکه به طور نرمال دستگاهی شبکهای محسوب میشود اما این برای اجزای یک سازه هوشمند یا حتی سیستمهای تلفنی IP صدق نمیکند. بگذارید واضح بگوییم: چنین دستگاههایی درست به همان شبکهای وصل میشوند که ایستگاههای کار سازمانی بدان وصلند. حتی رفت و آمد کارکنان نیز شاید این وضعیت را پیچیدهتر نیز بکند. هرقدر نقل و انتقال در امنیت سایبری و بخش آیتی بیشتر باشد شانس اینکه فرد جدیدی در خصوص میزان اتصال دستگاههای IoT اطلاعاتی نداشته باشد بیشتر خواهد بود. شاید بدتر از همه این باشد که حتی میشود از بیرون نیز به برخی از آن دستگاهها دسترسی پیدا کرد. دلایل دسترسی بیرونی هم ممکن است بسیار توجیهپذیر باشد: کنترل فروشنده روی برخی ابعاد دستگاه، میسر کردن دورکاری، تعمیر و نگهداری. با این حال داشتن یک سری دستگاه روی شبکه سازمانی و در عین حال مدام به اینترنت وصل بودن میتواند خطرات بسیاری به همراه داشته باشد. شاید به نظر متناقض بیاید اما قدرت دستگاههای مدرن نیز عامل خطری مضاعف محسوب میشود. برخی از دستگاههای اینترنت اشیاء طول عمر زیادی دارند و در محیطهای امنیتی پیچیدهتری از آنچه برایش طراحی شده بودند اجرا میشوند. برای مثال برخی از دستگاهها دیگر منسوخ شدند، سیستمعاملشان آسیبپذیر است و دیگر هم آپدیتی برایشان منتشر نشده است. حتی اگر امکان آپدیت هم برای برخیشان وجود داشته باشد باز هم این کار به دسترسی فیزیکی نیاز دارد (این کار میتواند در بهترین حالت سخت باشد و در بدترین حالت محال). برخی از آنها پسوردهای غیرقابل تغییر دارند و بکدرها در عرضه نهایی سفتافزار به خطا در آنها باقی مانده باشد. بسیاری دیگر هم حتی عمرشان از عمر متخصص امنیت آیتیشان بیشتر میشود.
چرا مهاجمین به دستگاههای مجهز به اینترت اشیاء علاقه نشان دادهاند؟
مجرمان سایبری به دلایل مختلفی به دستگاههای اینترنت اشیاء علاقه نشان میدهند: هم برای حمله به شرکت میزبان و هم حمله به سایر شرکتها. کاربردهای اصلی برای دستگاههای هوشمند دستکاریشده عبارتند از:
- راهاندازی یک باتنت برای اجرای حملات DDoS
- ماین کردن رمزارز
- سرقت دادههای محرمانه
- خرابکاری عمدی
- به عنوان سکویی برای اجرای حملات بعدی و حرکت جانبی در شاکله شبکه اینترنتی
مطالعات موردی
محققین به برخی موارد اشاره کردند که خیلی مسخره به نظر میرسیدند. آنها هم به دستگاههای استاندارد متصل به اینترنت مربوطند هم به دستگاههای کاملاً تخصصی و موردی. دو نمونه معروف به ماشینهای فراصوت و دستگاههایی اشاره دارند که از پروتکلهای Zigbee استفاده میکنند.
ماشین فراصوت
سازمانهای مدرن در بخش مراقبتهای بهداشتی از دستگاههای IoT پزشکی مختلفی استفاده میکنند. محققین برای امتحان کردن این دستگاهها، یک ماشین فراصوت دست دوم را خریدند و سعی کردند آن را هک کنند. آنها برای دستکاری آن فقط 5 دقیقه زمان نیاز داشتند. دستگاه ویندوز 2000 را اجرا میکرد ویندوزی که هرگز آپدیت نشده بود.
پروتکلهای Zigbee
شرکتها برای ساخت شبکههای مش و اغلب برای متصل کردن چندین اجزا در یک سازه هوشمند واحد از پروتکلهای شبکهسازی Zigbee–که سال 2003 برای ارتباط وایرلس بین دستگاهها توسعه داده شده- استفاده میکنند. نتیجه: دروازهای در جایی از اداره که کلی دستگاه مختلف را کنترل میکند؛ از جمله –برای مثال-یک سیستم روشنایی هوشمند. برخی از محققین ادعا میکنند مجرمان سایبری میتوانند براحتی روی یک لپتاپ معمولی دستگاه Zigbee را الگوبرداری کنند و سپس به نصب بدافزار اقدام نمایند. مجرمان سایبری فقط باید در منطقه پوششدهی شبکه Zigbee باشند- برای مثال در لابی اداره. وقتی گیتوی را کنترل کردند میتوانند به طرق مختلفی اقدام به خرابکاری عمدی کنند- برای مثال چراغهای هوشمند رادر یک ساختمان خاموش کنند.
راهکارهای امنیتی
مدیران امنیت همیشه هم مطمئن نیستند که آیا باید از دستگاههای اینترنت اشیاء روی شبکه سازمانی محافظت کنند یا شبکه سازمانی خود را در برابر دستگاههای اینترنت اشیاء محافظت کنند. در واقع هر دو مشکل باید حل شود. نکته مهم این است که مطمئن شویم هر آیتم و اقدام در بخش شبکه واضح و شفاف است. امنیت سازمانی ابتدا مستلزم این است که همه دستگاههای متصل به شبکه شناسایی شوند، به طور صحیحی دستهبندی شوند و به طور ایدهآلی ریسکهای مربوطهشان نیز مورد تحلیل قرار گیرد. گام بعدی، البته جداسازی شبکه بر اساس نتایج این تحلیل است. اگر دستگاهی لازم است و غیرقابلجایگزین اما آسیبپذیریهایی هم دارد که برای رفعشان حتی آپدیتها هم کارساز نیستن باید شبکهای را تنظیم کرد که دستگاههای آسیبپذیر را از دسترسی اینترنت محروم کند و همچنین دسترسی آنها را از سایر بخشهای شبکه نیز بگیرد. در حالت ایدهآل از مفهوم «اعتماد صفر[1]» برای جداسازی استفاده کنید. در آخر برای شناسایی اولیهی حملات پیشرفته که دستگاههای اینترنت اشیاء را بعنوان لنگرهایی در شبکه اینترنتی به کار میگیرند و به سایر سیستمها حمله میکنند از راهکار کلاس EDR استفاده نمایید.
[1] Zero Trust concept
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
