Nesnelerin İnterneti (IoT) için yeni bir şifreleme standardı, işletmelerde, üreticilerde, kritik altyapıda ve bu ekipmanı çalıştıran diğer sektörlerde bu bağlı cihazların güvenliğini artırmaya yardımcı olacaktır.
Ancak bu cihazların çoğu, siber güvenlik işlevleri ve uygulamalarında geride kalmaya devam ediyor.
7 Şubat’ta Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), “hafif” elektronik cihazlar ve bunların iletişimleri için resmi şifreleme standardı olarak Ascon olarak bilinen bir grup şifreleme algoritmasını seçtiğini duyurdu. Standart, cihaz üreticilerinin ve müşterilerinin verileri ve cihazları, bu tür cihazların sınırlı işlem gücü ve depolamaya sahip olmasına rağmen giderek daha fazla operasyonel teknolojiyi hedefleyen saldırganlardan daha iyi korumalarına yardımcı olmalıdır.
NIST bilgisayar bilimcisi Kerry McKay, standardın duyurusunda, algoritmaların en küçük cihazlar için bile şifreleme korumasına izin verdiğini söyledi.
“Dünya, algılamadan tanımlamaya ve makine kontrolüne kadar pek çok görev için küçük cihazlar kullanmaya doğru ilerliyor ve bu küçük cihazların sınırlı kaynakları olduğundan, kompakt bir uygulamaya sahip güvenliğe ihtiyaçları var” dedi. “Bu algoritmalar, bu tür kaynak kısıtlamalarına sahip çoğu cihazı kapsamalıdır.”
IoT Neden Patlıyor?
İş ve endüstriyel ortamlardaki bağlantılı cihazlar, son üç yılda iki büyük güç tarafından yönlendirilen hızla büyüyen bir uygulamadır. Başlangıçta, pandemi uzaktan operasyonları destekleme ihtiyacını teşvik ederken, mevcut durgunluk endişeleri şirketleri bağlantılı cihazları kullanarak operasyonları otomatikleştirmeye itiyor.
Örneğin, fiziksel sistemleri ve endüstriyel süreçleri izleyen ve kontrol eden bağlı cihazlar için bir şemsiye terim olan Endüstriyel Nesnelerin İnterneti’nin (IIoT) önemli ölçüde büyüyeceği tahmin ediliyor. Juniper Research’e göre, konuşlandırılan cihaz sayısının bir ölçüsü olan endüstriyel IoT bağlantılarının sayısının, 2020’de 17,7 milyardan iki katına çıkarak 2025’te 36,8 milyara ulaşması bekleniyor.
Bununla birlikte, devasa büyüme aynı zamanda devasa bir saldırı yüzeyi alanı da getiriyor. Hem cihazları hem de bu cihazları yöneten sistemleri içeren Genişletilmiş Nesnelerin İnterneti’ndeki (XIoT) güvenlik açıkları, 2022’nin ilk yarısında %57 arttı ve önceki yıla göre dramatik bir artış sürdürdü. Kurumsal tarafta güvenlik araştırmacıları, bu yılki Pwn2Own’da yazıcılar ve ağa bağlı depolama gibi çeşitli bağlı cihazlarda 63 istismar edilebilir güvenlik açığı gösterdi.
Siber güvenlik firması Trend’in altyapı stratejilerinden sorumlu başkan yardımcısı Bill Malik, bu arada, kurumsal ve endüstriyel IoT cihazları ve sistemlerinin, her üç ila beş yılda bir değiştirilen ve düzenli olarak güncellenen geleneksel BT ortamlarının aksine, genellikle onlarca yıldır düzenli güncellemeler olmadan kullanıldığını söylüyor. Mikro.
“Şu anda, on binlerce endüstriyel IoT ortamı, ya dikkatsizlik ya da risklerin farkında olmama nedeniyle internete açık” diyor. “Bu sistemlerin çoğu, kullanım nedeniyle nadiren değişen varsayılan parolalarla gönderilir ve bu sistemler genellikle güncellenemez.”
Hafif – Ama Hafif Değil – Güvenlik
NIST standardı, depolanan verileri ve iletişimleri şifreleyerek düşük güçlü cihazlara bile temel düzeyde bir siber güvenlik sağlamayı amaçlar. Mart 2019’da 57 adayla başlayan ve 2021’de 10 finaliste düşen süreç birkaç yıl sürdü.
NIST’den McKay, 7 Şubat tarihli duyurusunda, “Güvenlik sağlama yeteneği çok önemliydi, ancak hız, boyut ve enerji kullanımı açısından aday algoritmanın performansı ve esnekliği gibi faktörleri de dikkate almamız gerekiyordu.” “Sonunda, her açıdan iyi bir seçim olan bir seçim yaptık.”
NIST standardının uygulanması zaman alacaktır, çünkü birçok IoT satıcısı, genellikle güçlü kimlik doğrulama yeteneklerine sahip olmayan cihazlar, yamaları dağıtmanın ve kurmanın kolay bir yolu olmaması ve zayıf veya var olmayan günlük kaydı da dahil olmak üzere etkinlikle ilgili zayıf görünürlük nedeniyle siber güvenlik en iyi uygulamalarını yakalamaya devam etmektedir. Trend Micro’dan Malik diyor.
Örneğin, Kuzey Amerika’daki sanayi sektörü için olgunluk seviyesi diğer bazı ülkelerin gerisinde kalmaya devam ediyor. %57’lik dünya ortalaması ile karşılaştırıldığında, bölgedeki şirketlerin yalnızca yarısı (%50) anormal davranışları arayan veya cihazları yönetmek ve güvenliğini sağlamak için otomasyon ve orkestrasyon kullanan teknolojileri benimsemiştir; bu, operasyonel teknoloji için güvenlik olgunluğunun en üst iki katmanı olarak kabul edilir , Fortinet’in “2022 Operasyonel Teknoloji ve Siber Güvenlik Raporu”na göre.
Bir siber güvenlik hizmetleri firması olan Dragos’a göre, 2022’nin üçüncü çeyreğinde endüstriyel sistemlere yönelik gözlemlenen saldırıların %68’ini oluşturan imalat sektörüne yönelik bağlı kurumsal ve endüstriyel cihazlara yönelik riskler artıyor. Rusya’nın Ukrayna’yı işgali, her iki tarafta da çeşitli sistem ve cihazları hedef alan, siber saldırılar yoluyla fiziksel hasara ve kesintiye neden olmayı amaçlayan tehdit aktörleriyle çevrimiçi bir savaş alanı yarattı.
Deloitte, “Endüstri 4.0 ve Siber Güvenlik” raporunda, işletmeler ve endüstriler akıllı fabrikaları, akıllı şehirleri ve akıllı altyapıyı mümkün kılan her yerde izleme ve kontrole doğru ilerlemeye devam ettikçe, siber saldırıların daha etkili hale geleceğini belirtti.
Tespit Tek Başına “Yeterli Değildir”
Farallon Technology Group baş analisti ve Industry IoT Consortium (IIC) Güvenlik Çalışma Grubu başkanı Keao Caindec, algılamaya odaklanmanın yeterli olmadığını söylüyor.
“Bugün kullandığımız güvenlik denetimlerinin çoğu, daha çok algılama ve iyileştirmeye, çok sayıda izlemeye ve ardından olayları ve uyarıları önceliklendirmeye odaklanıyor” diyor. “Sorun şu ki, sizi her zaman saldırganın bir adım gerisinde bırakıyor, bu nedenle şirketlerin gerçekten ilk erişimi ele almaya, güvenliği ihlal edilmiş erişimi önlemeye, yetkisiz keşif ve keşifleri önlemeye ve yanal saldırıları önlemeye odaklanması gerekiyor.”
Caindec, yine de kurumsal ve endüstriyel IoT’yi koruma yeteneğinin, ortamlarına hangi cihazların bağlı olduğu konusunda mümkün olduğunca fazla görünürlük elde etmeye çalışması gereken şirketlerin elinde olduğunu söylüyor. Kurumsal ve endüstriyel IoT cihazlarını ve sistemlerini güvence altına almak için belki de en güncel yaklaşım olarak halihazırda takip edilen bir savunma çerçevesine, sıfır güven mimarilerine işaret ediyor.
Ek olarak, şirketlerin üst düzey karar vericilerin kendi taraflarında olması gerekir. Siber güvenlik çabaları, özellikle cihaz değiştirmeyi içeriyorsa, önemli bir yatırımdır, bu nedenle yönetici desteğine ihtiyacınız var, Deloitte danışmanlığında siber IoT lideri Wendy Frank diyor.
“Bence bunun çoğu, panolarınızla gerçekten konuşmak, cihazlarla ilgili belirli sorunların farkında olduklarından emin olmak, çünkü bunu yaşamak için yapmıyorlar,” diyor.