ABD Devlet Standardı Neden IoT’nin Korunmasına Yardımcı Olabilir?


Sahadaki IoT cihazlarının sayısı artmaya devam ediyor ve bunların çoğu, elektrik şebekeleri gibi kritik altyapımızın önemli parçaları haline geliyor. Ancak, tekrar tekrar gördüğümüz gibi, botnet’ler ve diğer siber saldırılar da artıyor ve IoT cihazları ve bunlara bağlı hizmetler için çok gerçek bir tehdit oluşturuyor. İyi haber şu ki, ABD Hükümeti Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) adlı bir IoT siber güvenlik standardı geliştirdi. NISTIR 8259A IoT Cihazı Siber Güvenlik Yeteneği Temel Temel, ve IoT cihazlarının ve hizmetlerinin güvende tutulmasına yardımcı olmada önemli bir rol oynuyor. Şirketler bu NISTR 8259A’yı karşılamaya çalışırken, cihaz kimlik doğrulamasını ve veri bütünlüğünü uygulamak, uyumluluk ve tabii ki IoT’yi güvence altına almak için kritik adımlardır.

IoT cihazlarına yönelik birçok tehdit ve saldırı var, ancak benim odaklandığım şey botnet denen şey. Botnet’ler, kötü bir aktör tarafından saldırıya uğrayan ve daha sonra bunları hizmet reddi saldırıları gibi siber saldırılar gibi hain amaçlar için kullanabilen cihaz ağlarıdır. Botnet’ler ilk kez çirkin kafalarını büyüttüklerinde, hedef almak için yaygın bir cihaz oldukları için çoğunlukla masaüstü bilgisayarlardan oluşuyorlardı. Artık siber suçlular genellikle video kameraları, set üstü kutuları ve hızlı bir şekilde ele geçirilebilecek güvenliği yetersiz olan her şeyi hedef alıyor. Bu endişe verici botnet’ler de yükselişte. Bir Fortinet raporu, kuruluşlarda tespit edilen botnetlerin Ocak 2021’de %35,1’den Haziran 2021’de %51,4’e yükseldiğini gösterdi.

Birçok botnet kötü amaçlı yazılım türü sahada aktif olarak faaliyet gösterirken, ilginç olanı Mirai kötü amaçlı yazılımıdır. IoT cihazlarını hedef alan ilk ciddi botnetlerden biri olan Mirai, sofistike değil, ancak uzun süredir var. Esasen Mirai böyle çalışır. İlk olarak, bir saldırgan, yararlanabileceği bilinen güvenlik açıklarına sahip cihazları taramak için bir sunucu kullanır. Saldırgan daha sonra Mirai kötü amaçlı yazılımını bulduğu cihazlara yerleştirmek için bu güvenlik açıklarını kötüye kullanır ve bunları bir komut ve kontrol sunucusundan kontrol eder. Bu sunucudan, istediği zaman bu virüslü cihazlardan saldırılarını başlatabilir. Yararlanılabilir güvenlik açıkları, güncellenmemiş bilinen güvenlik açıklarına sahip yazılımlardan, operatörleri gönderildikleri varsayılan güvenlik kimlik bilgilerini kullanmaya devam eden cihazlara kadar çeşitlilik gösterir. Ne yazık ki, bu varsayılan kimlik bilgileri bir sır değildir. Kötü oyuncular arasında iyi bilinirler ve Dark Web’de ucuza satılırlar.

Botnet’ler ve diğer saldırılar, artık can sıkıcı bir sorun olmaktan çıkıp ekonomimiz ve geçim kaynağımız için büyük tehditler haline geldi. Bu, ne yazık ki, 2010’larda, 2015’te Ukrayna elektrik şebekesine yapılan “Kara Enerji” saldırısı ve 2017’de “Petya Değil” saldırıları olmak üzere iki saldırıyla doğrudan gösterildi. IoT cihazlarına yönelik siber saldırılar devam etmeyi ve daha karmaşık hale gelmeyi vaat ederken, orada bazı iyi haberler. Bu saldırıların birçoğu, bazı temel ve yerleşik güvenlik uygulamaları izlenerek basitçe önlenebilir. Bazı önemli olanlar, her bir IoT cihazının sektörde yaygın olan güvenli tanımlama teknikleri kullanılarak doğru şekilde tanımlanmasını ve cihazdaki yazılımın yalnızca uygun yetkilendirmeye sahip kuruluşlar tarafından güncellenmesini sağlamaktır.

ABD Hükümeti IoT’yi güvence altına almak için harekete geçiyor

IoT cihazlarına yönelik tehditlerin sayısı ve bu saldırıların olası ciddi sonuçlarıyla birlikte, ABD Hükümeti bu tehditlere karşı politika yanıtları oluşturmanın gerekliliğini kabul etti. İlk somut adımlardan biri, Mayıs 2017’de bir Başkanlık yürütme emrinin yayınlanmasıydı. Ardından, ABD Kongresi tarafından 2020 Nesnelerin İnterneti Siber Güvenliği Geliştirme Yasası’nı kabul etti. Bu faaliyetin sonuçlarından biri, NIST yayıncılığı ve tanıtımıdır. yukarıda belirtilen NISTIR 8259A standardı.

Anlaşılması güç bir devlet kurumundan gelen bu standart neden önemlidir? ABD Hükümetinin yalnızca NISTIR 8259A ile uyumlu cihazları satın alması gerekmektedir ve ABD Hükümeti birçok şirket için çok büyük bir müşteridir. ABD Hükümeti’nin büyüklüğü ve pazardaki gücü göz önüne alındığında, önceki NIST güvenlik standartları endüstri tarafından geniş çapta benimsenmiştir ve NISTIR 8259A’nın farklı olacağını düşünmek için hiçbir neden yoktur. Buna göre, gerçek bir oyun değiştirici olma potansiyeline sahiptir ve endüstrinin yakından ilgilenmesi gerekir.

Aşağıdaki grafikte gösterildiği gibi NISTIR 8259A, IoT cihazlarını korumak için bir dizi güvenlik önleminin uygulanmasını gerektirir. Bunlara yönelik çözümlerden bazıları zaten iyi biliniyor ve teknoloji endüstrisi tarafından benimseniyor ve diğerleri benimseme eğrisini tırmanmaya başlıyor.

NIST Temel Çizgisi tarafından belirtilen iki önemli teknik önlem not edilmelidir. Bunlardan biri, güvenli cihaz kimlik doğrulaması ihtiyacıdır. Cihazlar “sahte” olabilir. Cihazların kimliğini doğrulamak, kimlik sahtekarlığını durdurmanın etkili bir yoludur. Intertrust PKI tarafından sunulanlar gibi PKI tabanlı sertifikaları kullanan cihaz tanımlama, endüstri standardı ve piyasada kanıtlanmış bir cihaz kimlik doğrulama yöntemidir. Ayrıca, güvenli önyükleme ve güvenli yazılım güncellemeleri gibi diğer önlemlerin üzerine inşa edildiği temel bir güvenlik teknolojisidir. En basit senaryoların ötesinde düşünmeliyiz. Güvenliği daha da artırmak için şirketler, bir cihazın herhangi bir sayıda yeteneğinin kimliğini doğrulayabilen genişletilmiş veya zengin kimlikleri kullanmayı araştırmalıdır.

Bir diğeri ise güvenli veri bütünlüğüdür. IoT cihazlarından gelen verilere dayalı olarak çok çeşitli kritik eylemler gerçekleştirilebilir. Buna göre, cihaz tarafından depolanan verilerin yanı sıra cihaz tarafından iletilen verilerin güvenliğinin sağlanması ve güvenilir olması gerekir. Veri şifreleme gibi veri doğrulama önlemleri için cihaz kimlik doğrulaması gereklidir. Veriler, nihai tüketicisine giden yolda güvenilmeyen ağlar ve cihazlar üzerinden seyahat edebileceğinden, veri bütünlüğünü korumak için ek yetenekler eklemek için cihaz kimlik doğrulaması da gereklidir.

IoT cihaz üreticileri, müşterileri ve diğer ekosistem ortaklarına, ürün yol haritalarına NISTR 8259A uyumluluğunu eklemeleri tavsiye edilir. Intertrust PKI ve Intertrust Platform bunu yapmak için faydalı araçlardır.

Julian Durand, CISO, Ürün Yönetimi Başkan Yardımcısı, Intertröst

Yazar – Biyografi

Julian Durand başarılı bir ürün sahibi, ekip lideri ve 25 yılı aşkın bir süredir çığır açan ürünleri büyük ölçekte pazara sunma başarısına sahip yaratıcı bir mucittir. Dijital Haklar Yönetimi (DRM), Nesnelerin İnterneti (IoT) ve sanal SIM teknolojilerinde tanınmış bir mucittir. İlk müzikli telefonun teknik lideriydi ve Qualcomm’da vSIM ve IoT işlerine öncülük etti. Julian ayrıca inşaat telematiği, gerçek zamanlı çocuk takibi ve siber risk veri analitiği alanlarında SaaS ve PaaS teklifleri üretti ve şu anda bir CISSP (Sertifikalı Bilgi Sistemi Güvenlik Uzmanı). Temiz enerji için IoT güvenliği, sensörlerle IoT takibi ve OT IoT uygulamalarında verilerin güvenilir olmasının nasıl sağlanacağı gibi konuları ele alabilir. Ayrıca BM Mülteci Ajansı ile birlikte çalışarak, siber güvenlikle ilgili insani ihtiyaç ve maliyetler hakkında benzersiz bir anlayış sağladı.



Kaynak : https://www.insightssuccess.com/why-a-u-s-government-standard-can-help-protect-iot/

Yorum yapın