Yazan: Dr. Torsten Staab, PhD, RTX Baş Teknik Görevlisi
Billington Siber Güvenlik, 5 Eylül – 8 Eylül 2023 tarihleri arasında Washington DC’de 14. yıllık Siber Güvenlik Zirvesine ev sahipliği yaptı
Raytheon yönetici arkadaşlarım arasında, günümüzün en acil ulusal güvenlik sorunlarından bazılarını tartışmak üzere ABD hükümeti ve müttefik ortaklarının yanı sıra diğer sektör ve akademik ortakların üst düzey liderlerine katılma onuruna layık görüldüm. Konferansın ikinci gününde ben de, telekomünikasyon yeteneklerinin gerçek 5G ağları ve birkaç milyar ağ gibi siber güvenlik üzerindeki etkilerini araştıran “Breakout C4: The Enhanced Threat Surface of 5G/6G & IoT” başlıklı panel tartışmasına katıldım. internete bağlı cihazlar gerçeğe dönüşüyor. Aşağıda bu konuyla ilgili bazı görüşlerimi ve panel sırasında tartışılan önemli noktaları ayrıntılı olarak bulabilirsiniz.
İnternete bağlı IoT cihazlarının sayısının 2030 yılına kadar 30 milyara ulaşabileceği tahmin ediliyor. Ticari ve endüstriyel IoT cihaz ve sistemlerinin katlanarak artmasıyla birlikte IoT’nin güvenlik açıklarına ilişkin endişeler de doğal olarak arttı. Bunlar, güvenli güncelleme mekanizmalarının eksikliği, şüpheli tedarikçilerden gelen bileşenlerin kullanımı, zayıf veya sabit kodlanmış parolalar, korumasız Uygulama Programlama Arayüzleri (API’ler), şifrelenmemiş veri aktarımı veya depolaması, yetersiz veri gizliliği korumaları gibi çok çeşitli farklı tehditleri içerebilir. ve cihaz yönetimi eksikliği. Birbirine bağlı IoT cihazlarını ve sensörlerini daha geniş çapta dağıtmaya, yerleştirmeye ve bunlara güvenmeye başladıkça, güvenliği artırmak için gereken temel yapı taşlarının düzeyinin yükseltilmesi gerekiyor. Bu tür güvenlik önlemleri, tasarım itibarıyla Sıfır Güveni içermeli ve güvenli önyüklemeyi, güvenli ürün yazılımı ve uygulama güncellemelerini, sürekli kimlik doğrulama ve yetkilendirmeyi, güvenli iletişimleri, veri şifrelemeyi (beklemede ve aktarımda) ve yapılandırılabilir veri gizliliğini desteklemelidir. Bu yapı taşları potansiyel saldırı vektörlerinin azaltılmasına yardımcı olacak ve saldırganların IoT cihazlarından, bağlantılı altyapıdan ve son kullanıcılardan yararlanmalarını çok daha zorlaştıracak. Odaklanmanın yalnızca IoT cihazlarının veya sensörlerinin siber sağlamlaştırılmasına odaklanmaması da önemlidir. IoT cihazlarıyla ve ev güvenlik kameraları ve Alexa tipi sesli asistanlar gibi hizmetlerle etkileşime giren mobil uygulamalar ve bulutta barındırılan hizmetler gibi çevredeki IoT ekosisteminin ve bileşenlerinin güvenliğini sağlamak da aynı derecede önemlidir.
Nesnelerin İnterneti alanında devam eden ve yaygın siber tehditler göz önüne alındığında, önleyici tedbirlerin alınması gerektiği yönünde yaygın bir kabul vardır. Temmuz ayında FCC, bir dizi ortak şirketle birlikte, ev ağı yönlendiricileri, cihazlar, güvenlik kameraları ve diğer ürünler gibi birbirine bağlı IoT ve ev otomasyon cihazları için 2024 sonlarında Cyber Trust Mark etiketleme programını duyurdu. Programın amacı tüketicilerin bir siber uzman olmalarını gerektirmeden bir IoT ürününün veya hizmetinin güvenlik düzeyini hızlı bir şekilde değerlendirmelerine yardımcı olmaktır. Singapur gibi diğer ülkelerdeki benzer ürün güvenliği programlarından sonra modellenen yeni ABD Cyber Trust Mark programının, tüketicilere IoT cihazı satın alma kararlarında yardımcı olması bekleniyor. Programın aynı zamanda IoT cihaz üreticilerini, tekliflerine gönüllü olarak daha fazla güvenlik ekleme konusunda motive etmeye yardımcı olması ve tekliflerini farklılaştırmaya yardımcı olmak için ABD Siber Güven Markasını kullanmalarına olanak sağlaması bekleniyor.
Gelişmiş 5G/6G tehditleri ve saldırı yüzeyleriyle ilgili olarak ağ dilimleme genellikle tartışmanın bir parçasıdır. Örneğin ağ dilimleme, bir ağ operatörünün bir 5G ağını birden fazla mantıksal ve bağımsız ağa “dilimlemesine” ve kimin öncelikli ağ erişimine sahip olacağı ve her kullanıcının, uygulamanın ve hizmetin ne kadar bant genişliği tüketeceği konusunda ayrıntılı kontrol sağlamasına olanak tanır. Ancak dilimleme gibi gelişmiş ağ oluşturma yetenekleri, uygulama karmaşıklığını ve saldırı yüzeyi 5G/Future G ağlarını da önemli ölçüde artırıyor. Resmi 5G standart spesifikasyonu, ağ dilimleme gibi özelliklerin güvenli bir şekilde nasıl uygulanacağı konusunda yeterli rehberlik sağlamadı. Sonuç olarak, birçok 5G uygulaması karmaşık hizmet reddi, yan kanal ve ortadaki adam saldırılarının kurbanı oldu. Bu eksikliklerin giderilmesine yardımcı olmak için NSA ve CISA yakın zamanda 5G ağ dilimlemenin uygulanmasına ilişkin güvenlik hususlarını yayınladı. Önerilerinde, 5G bağımsız ağ dilimlemeye yönelik tespit edilen bazı tehditleri ele alıyorlar ve ağ dilimlerinin tasarımı, dağıtımı, işletimi ve bakımına yönelik belirli uygulamaların ana hatlarını çiziyorlar.
Yeni nesil ağların uygulanması ve işletilmesi ile ağ dilimleme gibi gelişmiş yetenekler, ağ operatörlerinin algoritmik ve AI/ML odaklı karar almayı uygulamasını ve bunlara daha fazla güvenmesini de gerektirecektir. Ağların işleyişinde AI/ML’nin artan kullanımı, bu gelişmiş ağların güvenliğinin nasıl sağlanacağı konusunda da önemli bir değişiklik gerektirecektir. Örneğin, 5G/Future G ağlarının aynı zamanda veri zehirlenmesi ve düşmanca saldırılar gibi bilinen AI/ML ile ilgili güvenlik açıklarını ve saldırıları ele alması ve bunlarla mücadele etmesi gerekecektir. Ancak ağ dilimleme veya AI/ML işlemleri gibi ağa özgü güvenlik açıklarından bağımsız olarak, Sıfır Güven mantrası “Asla güvenme, her zaman doğrula!” her zaman geçerli olmalıdır.
Siber saldırı yüzeylerinin azaltılmasına yardımcı olmak ve sürekli gelişen IoT ve 5G/6G ile ilgili siber tehditlerle mücadele etmek için tedarikçilerin, üreticilerin, hizmet sağlayıcıların ve kullanıcıların bileşenlerini, cihazlarını, ağlarını ve hizmetlerini siber açıdan güçlendirmek için yakın işbirliği içinde çalışmaları gerekir.
Sonuçta siber güvenlik bir takım sporudur.
yazar hakkında
Torsten Staab, Raytheon’un Siber Güvenlik, İstihbarat ve Hizmetler iş biriminde Baş İnovasyon Sorumlusu ve Raytheon Blackbird Technologies, Inc.’de Baş Teknoloji Sorumlusu olarak görev yapmaktadır. Kendisi aynı zamanda RTX’in diğer işletmelerini de desteklediği bir RTX Baş Teknik Görevlisidir. Collins Havacılık ve Pratt & Whitney.
Staab’ın yazılım ve sistem mühendisliği ile siber güvenlik alanlarında geniş bir geçmişi vardır. Sıfır Güven Güvenliği, veri analitiği, makine öğrenimi, dağıtılmış sistemler ve laboratuvar otomasyonu gibi alanlarda tanınmış bir konu uzmanıdır. 50’den fazla yayına katkıda bulunmuş ve 9’u beklemede olan beş patent almıştır.
Almanya’nın Wiesbaden şehrindeki Uygulamalı Bilimler Üniversitesi’nden Diplom Informatiker (FH) derecesi aldı. Ayrıca New Mexico Üniversitesi’nden Bilgisayar Bilimleri alanında Yüksek Lisans ve Doktora derecelerine sahiptir.