Uzmanlar, Nesnelerin İnterneti (IoT) cihazlarında artan sayıda belgelenmiş güvenlik sorununun, işletmelerin siber güvenlik konusunda yeni bir yama yönetimi sorununa sahip olduğu anlamına geldiğini söylüyor.
Daha fazla bağlantılı ürün, araştırmacılar tarafından daha fazla inceleme ve güvenlik açıklarının ifşa edilmesini gerektiren düzenlemelerin bir araya gelmesi, ifşa edilen hataların artmasına neden oldu. Claroty, yakın tarihli bir raporda, örneğin Genişletilmiş Nesnelerin İnterneti’nin (XIoT) bir parçası olduğu düşünülen ürünlerde bulunanların, yılın ilk yarısında önceki altı aya kıyasla %57 arttığını belirtti.
Bu arada, gömülü IoT cihazları, 2021’in ikinci yarısındaki %9’dan XIoT güvenlik açıklarının %15’ini oluşturmaya sıçradı.
IoT cihazlarının ve altyapısının hızla genişleyen bu ortamı, şirketlerin yalnızca IoT cihazlarında değil, bu cihazları yöneten tüm sistemlerde de görünürlük sağlamaları ve bu cihazları hızla yamalamaya hazır olmaları gerektiği anlamına geliyor, diyor Sharon Brizinov. Claroty.
“Ağlar [have become] her zamankinden çok daha çeşitli ve bu, daha fazla güvenlik araştırmacısının her zamankinden daha fazla güvenlik açığı aradığı gerçeğiyle el ele gidiyor” diyor ve ekliyor: “Bu nedenle, daha fazla cihaz ve daha fazla farkındalık ve bu cihazları araştıran daha fazla güvenlik araştırmacısı demektir. daha fazla güvenlik açığı ifşa ediliyor.”
Uzmanlara göre bu eğilim sadece devam edecek. Şirketlerin IoT varlıklarını takip etmeleri gerekecek ve güvenlik açığı düzeltmesi genellikle bir yazılım güncellemesi gerektirdiğinden, dağıtılan cihazların kolayca güncellenip güncellenemediğini değerlendirecek.
Daha az sayıda satıcı güvenlik sorunlarını gizlemeye çalışıyor ve sessiz yama uygulamasından uzaklaşıyor – güvenlik için iyi bir gelişme, ancak IoT güvenlik açıklarının kamuya açıklanmasındaki “farkedilir artışa” katkıda bulunan bir gelişme, diyor baş güvenlik araştırmacısı Deral Heiland. Rapid7’de IoT.
“Hiçbir veri kamuya açıklanmazsa, son kullanıcılar bir güvenlik açığından kaynaklanan potansiyel olarak ciddi bir riskin farkında olamazlar ve yamayı geciktirebilir” diye belirtiyor. “Yani, satıcıların bu şekilde yayınlaması olumlu bir hareket.”
Artan Sayıda XIoT sorunları
Claroty’s’e göre, Ocak ayının başı ile Haziran ayının sonu arasında XIoT cihazlarında genel olarak 747 güvenlik açığı açıklandı, önceki altı aya göre %57’lik bir artış.XIoT Güvenliğinin Durumu: 1H 2022Etkilenen ürünler 86 farklı satıcıdan geldi ve ilk kez satıcılar tarafından proaktif olarak açıklanması, üçüncü taraf firmalar tarafından açıklandıktan sonra güvenlik açıklarıyla ilgili bilgilerin yayınlanmasının ikinci en yaygın yolu oldu. Bağımsız araştırmacılar ve Sıfır Gün Girişimi güvenlik açığı bilgilerinin üçüncü ve dördüncü en yaygın kaynaklarıydı.
Claroty’den Brizinov, bir grup olarak satıcılar güvenlik konusunda mutlaka daha iyi değiller – rakamlar, Siemens gibi güçlü güvenlik programları uygulayan birkaç büyük firma tarafından yönlendiriliyor. Claroty’nin raporuna göre Siemens, 214’te XIoT güvenlik açıklarının en üst düzeyde ifşasını temsil etti, ikincisi 87’de Reolink ve ardından 52’de Schneider oldu.
“Bu sonuca yol açan bazı iş kararları vardı – bazı karar vericiler temiz olmaya karar verdi” diyor. “Bunun önemli bir bilgi parçası olduğunu anlıyorlar.”
Farklı inisiyatifler de artan açıklama oranını körükledi. 2020 Nesnelerin İnterneti Siber Güvenliği Geliştirme Yasası, hükümete IoT ürünleri sağlayan şirketler üzerinde baskı yaratırken, IoT cihazları için güvenlik “beslenme etiketleri” oluşturmaya yönelik tüketici odaklı bir program, tüketicileri büyük olasılıkla daha güvenlik bilincine sahip ürünlere yönlendirecektir.
Nesnelerin İnternetinin Hareketli Bir Tanımı
Artık Flashpoint’in bir parçası olan güvenlik açığı istihbarat şirketi Risk Tabanlı Güvenlik, IoT ekosisteminin bir parçası olarak kabul edilebilecek ürünlerdeki güvenlik sorunlarının sayısında bir artış olduğunu da kaydetti. Ancak şirket, IoT cihazları için iyi bir tanımın olmamasının kategoriyi takip etmeyi zorlaştırdığını vurguladı.
Endüstriyel izleme cihazları, tıbbi görüntüleme ekipmanları, IP video kameralar ve elektronik kapı kilitlerinin tümü İnternet’e bağlıdır ve dijital iletişimin fiziksel dünya üzerinde etkileri olmasını sağlar. 2020 yayınında, “IoT Cihaz Üreticileri için Temel Siber Güvenlik Faaliyetleri“ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), IoT cihazlarını “doğrudan fiziksel dünyayla arabirim oluşturmak için en az bir dönüştürücüye (sensör veya aktüatör) ve fiziksel dünyayla arabirim oluşturmak için en az bir ağ arabirimine… dijital Dünya.”
Claroty, kategoriyi Genişletilmiş Nesnelerin İnterneti olarak adlandırıyor ve tıbbi, endüstriyel ve ticari uygulamalardan gelen cihazları tek bir çatı altında topluyor. Şirket, XIoT kategorisine dahil olan ürünlerin, yeni cihazların piyasaya sürülmesi, önceki ürünlere bağlantı eklenmesi ve yeni ürünlerin IoT tanımını zorlaması nedeniyle geçen yıl orada olmayabileceğini kabul etti.
Örneğin, üretim, kritik altyapı ve şehir yönetimi bağlantılı cihazları benimserken, Siemens ve diğer operasyon teknolojisi (OT) şirketleri, ürünlerini endüstriyel kontrol sistemlerinden endüstriyel IoT’ye dönüştürdüClaroty’den Brizinov, siber güvenliğin bu dönüşümün kritik bir parçası haline geldiğini söylüyor.
“Geçmişte, BT ve OT arasında belirgin bir ayrım vardı – bu alanları daire içine alabilirdik ve bunlar ayrı olurdu” diyor. “Sonra IoT geldi ve bu çevreler kesişti, böylece hem BT hem de OT’de bazı cihazlar vardı.”
IoT’nin büyüyen bir diğer yönü, akıllı telefonlar ve tabletler gibi mobil cihazlardır. Birçok şirket, IoT cihaz ağlarını izlemenin ve kontrol etmenin bir yolu olarak mobil cihazları kullanır; bu, cihazın IoT ekosisteminin tek bileşeni olmadığı, mobil cihazlar ve arka uç sunucuların da dahil edilmesi gerektiği anlamına gelir.
Bu nedenle Rapid7, bulut bileşenlerini ve yönetim yazılımını ekosistemin bir parçası olarak görüyor.
Rapid7’den Heiland, “Tipik olarak, bağımsız bir cihaz olarak bir mobil cihaz IoT olarak kabul edilmez” diyor. “Bir IoT çözümünü etkileşimde bulunmak, kontrol etmek ve/veya yönetmek için tasarlanmış yazılımları çalıştırırken, IoT ürünleri ekosisteminin bir parçası haline gelir ve IoT ürününün güvenliğini değerlendirirken dikkate alınmalıdır.”