Kurumsal ağlardaki ve internetteki IoT cihazlarının sayısının 2030 yılına kadar 29 milyara ulaşacağı öngörülüyor. Bu üstel büyüme, istemeden de olsa saldırı yüzeyini de artırdı. Birbirine bağlı her cihaz, siber saldırılar ve güvenlik ihlalleri için potansiyel olarak yeni yollar oluşturabilir. Mirai botnet, kritik internet altyapısına ve popüler web sitelerine büyük DDoS saldırıları başlatmak için binlerce savunmasız IoT cihazını kullanarak tam da bunu gösterdi.
IoT’nin yayılma risklerine karşı etkili bir şekilde korunmak için sürekli izleme ve mutlak kontrol çok önemlidir. Ancak bu, kurumsal ağ içindeki tüm IoT cihazlarının ve işletim sistemlerinin (OS’ler) doğru şekilde tanımlanmasını gerektirir. Bu bilgi olmadan BT ve güvenlik ekipleri, hedeflenen güvenlik kontrollerini etkili bir şekilde uygulamak, ağ etkinliğini izlemek, anormallikleri belirlemek ve potansiyel tehditleri azaltmak için gerekli görünürlük ve anlayıştan yoksundur.
IoT’nin kimlik ikilemini anlamak
Tipik olarak yöneticiler, ağ uç noktalarında çalışan ve cihaz tanımlama için bilgi toplayan yazılım aracıları tarafından atanan benzersiz Cihaz Kimlikleri aracılığıyla cihazları ve işletim sistemlerini tanımlayabilir. Ancak bu tür aracıların tüm işletim sistemlerine, özellikle de gömülü sistemlerde ve IoT cihazlarında kullanılanlara kurulması mümkün veya uygulanabilir olmayabilir. Bunun nedeni, IoT cihazlarının belirli işlevleri gerçekleştirmek üzere tasarlanmış olması ve genellikle sınırlı kaynaklara (işlem gücü, bellek ve depolama) sahip olmasıdır. Genellikle herhangi bir ek yazılım aracısını destekleme yeteneğinden yoksundurlar.
Bu nedenlerden dolayı, yazılım kurulumlarını gerektirmeyen ve belirli IoT cihaz gereksinimlerini karşılamak için özelleştirilmiş ve sadeleştirilmiş sistemlerle eşit derecede iyi çalışan pasif bir tanımlama yaklaşımına ihtiyacımız var. Bu yöntemlerden biri ağ tabanlı parmak izi ve pasif işletim sistemi parmak izidir.
Pasif işletim sistemi parmak izi nedir?
Pratikte, pasif işletim sistemi parmak izi, herhangi bir doğrudan etkileşim olmadan, yalnızca görünüm ve davranışlarından yola çıkarak insanların profilini çıkarmaya çalışmak gibidir. Benzer şekilde, bir cihazın ağ ile etkileşime girme şekli, cihazın kimliği, yetenekleri ve potansiyel riskleri hakkında çok fazla bilgi verir. Pasif işletim sistemi parmak izi alma, bir yazılım aracısı yüklemek yerine, işletim sistemlerini belirlemek için cihazlar tarafından oluşturulan ağ trafiği modellerini ve davranışlarını analiz etmeyi içerir.
Bu yöntem, çeşitli işletim sistemlerine özgü trafik modellerini ve davranışlarını saklayan yerleşik tekniklere ve parmak izi veritabanlarına dayanır. Örneğin, TCP başlıklarında veya Dinamik Ana Bilgisayar Yapılandırma Protokolü (DHCP) isteklerinde belirlenen belirli seçenekler, işletim sistemleri arasında farklılık gösterebilir. İşletim sistemi parmak izi alma, esasen bir cihazın ağ trafiği kalıplarını ve özelliklerini bilinen işletim sistemi profilleriyle eşleştirmek ve trafiği buna göre sınıflandırmaktır.
İşletim sistemi parmak izini almak için çeşitli ağ protokolleri kullanılabilir:
- MAC adresleri: MAC (medya erişim kontrolü) adresi, üreticinin bir ağ cihazına atadığı benzersiz bir tanımlayıcıdır. Her MAC adresi tipik olarak üreticiye özgü bir Organizasyonel Olarak Benzersiz Tanımlayıcı (OUI) içerir. Örneğin, yöneticiler “88:66:5a:12:08:8E” MAC adresini inceleyerek, “88:66:5a” dizesinin Apple Inc. ile ilişkili olması nedeniyle Apple’ın cihazı ürettiğini belirleyebilir. Benzer şekilde, IoT cihaz trafiği, cihazın üreticisine özel OUI’lere sahip MAC adreslerini içerir.
- TCP/IP parametreleri: TCP ve IP protokolleri, ilgili paket başlığı formatlarında çeşitli alanlara sahiptir. Farklı işletim sistemleri TCP/IP niteliklerini farklı şekilde uygular ve TCP/IP alanları için ilk yaşam süresi (TTL), Windows Boyutu, TCP Bayrakları ve daha fazlası gibi benzersiz değerlere sahip olabilir. Yöneticiler bu alanları analiz edip karşılaştırabilir ve işletim sistemine özgü TCP/IP uygulamalarına dayalı olarak temel işletim sistemini belirleyebilir.
- HTTP Kullanıcı Aracısı dizeleri: Bir ağ cihazı (istemci), HTTP protokolünü kullanarak bir ağ üzerinden bir sunucuyla iletişim kurduğunda, HTTP üstbilgisi bir HTTP kullanıcı aracısı alanı içerir. Bu alan, istemci yazılımının adı ve sürümü, işletim sistemi ve diğer ilgili bilgiler gibi bilgileri sağlayabilir. Yöneticiler, cihaz tespiti için bu alanı ve HTTP başlığındaki diğer alanları inceleyebilir.
- DHCP istekleri: DHCP, IP adreslerinin otomatik atanması için kullanılan bir ağ protokolüdür. DHCP istekleri, istemci hakkında ana bilgisayar adı, satıcı sınıfı tanımlayıcısı veya işletim sistemi türü gibi ek bilgiler sağlayan belirli alanları içerebilir. DHCP istekleri, özelleştirmeler ve değişiklikler nedeniyle temel işletim sisteminin belirlenmesinde kesin olmayabilir, ancak yine de cihaz kimliğiyle ilgili daha ayrıntılı bilgi için potansiyel olarak faydalıdır.
Sınırlamalarına rağmen, ağ katmanlarındaki çeşitli protokollerin davranışlarını ve niteliklerini analiz etmek, cihazın doğru tanımlanmasına yardımcı olabilir. Yöneticiler, erişim kontrolü ve güvenlik politikalarıyla ilgili bilinçli kararlar vermek için işletim sistemi parmak izini kullanabilir.
Kurumsal ağlarda işletim sistemi parmak izi alma
IoT ağlarının hızla genişlemesi ve bunların getirdiği güvenlik açıkları göz önüne alındığında, işletim sistemi parmak izi pasif cihaz tanımlama için yararlı olabilir. Ancak manuel işletim sistemi parmak izi alma, kapsamlı alan bilgisi ve uzmanlığı gerektiren göz korkutucu bir görevdir.
Asıl zorluk ölçeklenebilirliktir. Benzersiz tanımlayıcıları kurumsal ağlardaki binlerce trafik akışında manuel olarak eşlemek imkansızdır. Bu zorluğun üstesinden gelmek için kuruluşlar, bulut tabanlı, bütünleşik bir ağ ve güvenlik yığınının kaynaklarından ve ölçeğinden yararlanabilir. SASE (Güvenli Erişim Hizmeti Kenarı) veya SSE (Güvenli Hizmet Kenarı) gibi bulutta yerel bir güvenlik yığını, gerekli kaynaklara erişebilir ve büyük hacimli ağ trafiği verilerinden kalıpları ve davranışları çıkarmak için makine öğrenimi algoritmalarını ve istatistiksel analizleri etkinleştirebilir.
Ağ oluşturma ve güvenlik işlevlerinin birleştirilmesi, ağ etkinliğine ve bunun işletim sistemleri ve IoT cihazlarıyla ilişkisine genel bir bakış sağlamak için izinsiz giriş tespit sistemleri, güvenlik duvarı günlükleri ve uç nokta güvenlik çözümleri gibi birden fazla kaynaktan ağ oluşturma ve güvenlik verilerinin otomatik olarak toplanmasına ve ilişkilendirilmesine olanak sağlayabilir. .
Yakınsama, müşterilerin benzersiz özelliklerine göre otomatik olarak tanımlanmasını ve sınıflandırılmasını kolaylaştırır. Son olarak, merkezi bir yönetim konsolu, tanımlama ve analiz sürecini kolaylaştırmaya yardımcı olabilir ve erişim kontrolü ve güvenlik politikalarıyla ilgili anında eyleme geçilmesine olanak sağlayabilir.