Günlük yaşamın dokusuna dokunan Nesnelerin İnterneti (IoT), akıllı ev cihazlarından endüstriyel sensörlere kadar sürekli genişliyor. Ancak yeniliğin sınırındaki bir ekosistem, büyüyen bir saldırı yüzeyiyle el ele gelir ve siteler arası komut dosyası çalıştırma (XSS) ve veri ihlalleri gibi tehditlere karşı savunmasız, geçirgen bir ortam yaratır.
IoT cihazları akıllı ev aletleri (termostatlar, aydınlatma sistemleri ve buzdolapları gibi), giyilebilir sağlık monitörleri, bağlantılı arabalar, akıllı sayaçlar ve endüstriyel kontrol sistemleri kadar çeşitli ve her yerde bulunur. En önemli çıkarım, küresel olarak milyarlarca IoT cihazının olması ve güvenlik endişelerinin benzeri görülmemiş bir ölçekte olmasıdır.
IoT ortamının genişliği yeterli değilmiş gibi, BT profesyonellerinin bu on yaygın güvenlik tehdidine karşı yüksek tetikte olmaları gerekiyor.
1. Sınırlı Destek ve Güncellemeler
IoT cihazları devreye alındıktan sonra yazılım güncellemeleri çok az oluyor ve güvenlik açıklarına maruz kalma durumu üreticinin takdirine kalıyor. Kullanım Ömrü Sonu (EOL) saldırılarından sonra güncellemeler ve yamalar aniden durur ancak kullanım devam eder.
2. Standardizasyon Eksikliği
IoT ortamı, çok sayıda üretici tarafından üretilen ve her biri geniş bir tasarım standartları, protokoller ve güvenlik uygulamaları yelpazesine sahip farklı ortamlar için tasarlanmış çok çeşitli cihazları içerir. Standardizasyon ve tek tip güvenlik önlemlerinin olmayışı, IoT cihazlarının güvenliğini sağlamak, tutarsızlıklar yaratmak ve saldırı yüzeyini açığa çıkarmak için herkese uygun tek bir yaklaşımın olmadığı anlamına gelir.
3. Veri Gizliliği Kaygıları
IoT teknolojisinin hızlı gelişimi, çoğu zaman Avrupa’nın GDPR’si ve Kaliforniya’nın CCPA’sı gibi ilgili gizlilik düzenlemelerinin formülasyonunu geride bırakıyor. Hizmet sağlayıcılar ve üreticiler buna ayak uydurmak için çabalıyor ve hassas verilerin keşfedilmesi ve korunması bir kenara kalıyor. Daha da kötüsü, IoT cihazları şaşırtıcı miktarda veri topluyor ve bu karışıma ölçeklenebilirlik endişeleri de ekleniyor.
4. Ağ Güvenliği Riskleri
Bir IoT cihazındaki herhangi bir risk, tüm ağ için risk oluşturabilir ve gerekli güvenlik önlemleri, homojen ortamların güvenliğini sağlamaktan çok daha karmaşıktır. Örneğin siber suçlular, dağıtılmış hizmet reddi (DDoS) gibi daha geniş saldırıları başlatmak için IoT cihazlarını giriş noktaları olarak kullanıyor.
5. Tedarik Zinciri Güvenlik Açıkları
IoT tedarik zinciri genellikle şeffaf değildir ve farklı kaynaklardan gelebilecek bileşenlerin güvenliğinin sağlanması zordur. Yalnızca tek bir güvensiz bileşen tüm cihazın güvenliğini bozabilir ve nihai ürünün güvenliğinin garanti edilmesini zorlaştırabilir.
6. Eski Entegrasyonlar
Çoğu durumda, IoT cihazları daha eski, eski teknolojiyle çalışan veya orijinal yaratıcıları tarafından artık desteklenmeyen veya güncellenmeyen üçüncü taraf bileşenlere dayanan mevcut sistemlere entegre edilir.
7. Fiziksel Güvenlik Riskleri
Birçok IoT cihazının fiziksel dünyayla (örneğin akıllı kilitler) etkileşime girdiği göz önüne alındığında, bir güvenlik ihlali, kapıların kilidinin açılması veya endüstriyel makinelerin kontrol edilmesi gibi doğrudan fiziksel sonuçlara yol açabilir. Bu benzersiz sorun, geleneksel siber tehditlerle karşılaştırıldığında riskleri önemli ölçüde artırıyor ve özellikle manipüle edilebilecek veya sahtekarlık yapılabilecek sensörlere bağlı olduklarında cihazları kurcalamaya karşı savunmasız hale getiriyor.
8. Tüketici Bilinci ve Eğitimi
Çok sayıda IoT cihazı tüketici kullanımına yöneliktir, ancak son kullanıcıların IoT cihazlarının karmaşıklıkları ve güvenlik etkileri konusunda tam olarak bilgi sahibi olması gerekir. Kullanıcılar akıllı termostatlar gibi ürünlerin görünüşte zararsız ve doğal olarak güvenli olduğuna inanabilir. Güvenlik sorunları hakkında genellikle farkındalık veya endişe eksikliği olduğunda, kullanıcılar zayıf parola hijyeni ve güvenlik ayarları gibi sorunları görmezden gelir.
9. Tehditleri Öncelik Sırasına Koyma Yeteneği
IoT cihazlarının çeşitli doğası ve çok büyük hacmi, tehdit değerlendirmelerine karmaşıklık katarak BT profesyonellerinin kendilerini belirsizlik içinde hissetmelerine neden oluyor. Tehditler gelmeye devam ettikçe, aşırı güvenlik açığından kaçınmak için tehditleri önceliklendirmek ve bağlamsallaştırmak zorlu bir iş haline geliyor. Kapsamlı risk değerlendirmeleri ve kapsamlı izleme araçları bu süreci kolaylaştırır.
10. Performans ve Güvenliği Dengelemek
Genellikle, IoT cihazları maliyetleri ve enerji kullanımını düşük tutmak için sınırlı işlem gücü, bellek ve pil ömrü ile tasarlanır. Sağlam güvenlik önlemlerinin uygulanması, bu sınırlı kaynakları zorlayabilecek ve cihazın performansını ve işlevselliğini etkileyebilecek ek hesaplama kaynakları gerektirebilir. Bu nedenle, birçok IoT cihazı rahatlık ve işlevsellik düşünülerek tasarlanır ve güvenlik sonradan düşünülür.
11. Sıfır Gün Güvenlik Açıkları
Her yazılımda olduğu gibi, bilinmeyen kusurlar mevcuttur ve yamalar mevcut olmadan önce bu kusurlardan yararlanılabilir; bu, daha önce bahsedilen IoT yamalama ve güncelleme sorunları göz önüne alındığında yaygın bir sorundur. Sıfır gün güvenlik açıkları, cihazların hızlı bir şekilde kullanılmasına yönelik fırsatlar sağlar ve saldırı, bir ağa hızla yayılabilir.
12. Güvenli Olmayan İletişim Protokolleri
Güvenli iletişim protokolleri olmadan IoT cihazlarından gönderilen veriler iletim sırasında değiştirilebilir veya kurcalanabilir. IoT cihazları, özellikle de günlük ve ev eşyaları güçlü şifrelemeden yoksundur, bu da iletişimin veri akışına erişebilen herkes tarafından kolayca okunabilmesini sağlar.
DevSecOps Yaklaşımıyla İlerlemeye Devam Ediyoruz
DevSecOps yaklaşımı, güvenliği sonradan akla gelen bir düşünce olmaktan ziyade, geliştirme sürecinin temel bir yönüne dönüştürebilir. Güvenlik testi, sürekli izleme, yama yönetimi ve daha fazlası gibi süreçleri otomatikleştirerek güvenliği, tasarım ve planlama aşamaları da dahil olmak üzere geliştirme ve operasyonel yaşam döngüsünün her aşamasına dahil edebilirsiniz. Otomatik araçlar, benimsenmesi şaşırtıcı oranlarda arttığı için IoT güvenliğinin geleceğidir; güvenlik hususlarının sürekli olmasını ve güvenlik açıklarının hiçbir zaman gözden kaçmamasını sağlar.
Dotan Nahum, Check Point Yazılım Teknolojileri’nde Geliştirici Öncelikli Güvenlik Bölüm Başkanıdır. Dotan, Check Point Software tarafından satın alınan Spectralops’un kurucu ortağı ve CEO’suydu ve şu anda Geliştirici-Önce Güvenlik’in Başkanıdır. Dotan deneyimli, uygulamalı bir teknoloji gurusu ve kod ninjasıdır. Büyük açık kaynak katılımcısı. React, Node.js, Go, React Native, dağıtılmış sistemler ve altyapı (Hadoop, Spark, Docker, AWS, vb.) konusunda yüksek uzmanlık
Reklam