Kötü Amaçlı Yazılımdan Koruma Test Standartları Organizasyonu (AMTSO), IoT güvenlik çözümlerinin etkinliğini test etmek için önerilen yayın standartlarının bir listesini açıkladı.
AMTSO’nun yönergeleri kuruluşların hangi araçların en etkili ve çevrelerine en uygun olduğunu değerlendirmelerine yardımcı olmayı amaçlamaktadır. Belge altı temel alanı özetlemektedir:
- Genel İlkeler: Tüm testler ve karşılaştırmalar, ürünün arka uçta nasıl çalıştığı yerine, sağlanan korumanın nihai sonucunu ve performansını doğrulamaya odaklanmalıdır.
- Örnek seçimi: İlgili bir IoT güvenlik çözümü kıyaslama testi için, test uzmanlarının hala etkin olan ve aslında akıllı cihazların üzerinde çalıştığı işletim sistemlerini hedefleyen örnekleri seçmesi gerekir.
- “Tespit”in belirlenmesi: IoT güvenliği ile geleneksel siber güvenlik çözümleri arasındaki farklar nedeniyle, yönergeler, tehditleri test eden kişi tarafından kontrol edilebilen yönetici konsollarıyla veya gerçekleşirse saldırının görünür olacağı cihazları kullanmayı önerir.
- Test ortamı: Test eden kişi, test ortamında gerçek aygıtları kullanmamaya karar verirse, güvenlik aygıtının güvenlik işlevi devre dışı bırakılmış olarak istedikleri senaryoyu çalıştırarak ve saldırı yürütmesini ve başarısını kontrol ederek yaklaşımlarını doğrulamalıdır.
- Belirli güvenlik işlevlerinin test edilmesi: Kılavuzlar, keşif, ilk erişim ve yürütme dahil olmak üzere farklı saldırı aşamaları hakkında tavsiyelerde bulunur ve tüm saldırıyı bir kerede yapmak yerine her bir aşamayı ayrı ayrı test etmenizi önerir.
- Performans kıyaslaması: Yönergeler, tüketicilere karşı işletmeler gibi çeşitli kullanım durumları veya amacına bağlı olarak gecikmenin kritikliği veya protokol başına düşen aktarım hızı arasında ayrım yapılmasını önerir.
Delinea’nın siber güvenlik savunucusu Tony Goulding, IoT cihazlarında çok fazla çeşitlilik olduğunu ve bu da güvenliğe tek boyutlu bir yaklaşım oluşturmayı zorlaştırdığını söylüyor. Bazı cihazlarda bilgi işlem kapasitesi yoktur ve cihazlara güvenlik aracıları veya istemcileri yerleştirememek, merkezi ve tutarlı bir güvenlik ilkeleri kümesinin uygulanmasını zorlaştırır.
“Tehdit aktörleri bunu fark ediyor ve bu cihazların kötü amaçlı yazılımlara karşı özellikle savunmasız olduğu gerçeğinden yararlanıyor” diyor. “Güvenlik topluluğu olarak, rakiplere altyapımıza yasa dışı erişim sağlayarak veri ihlaline, fidye yazılımı saldırısına veya kritik OT altyapısını çevrimdışına almasına neden olabilecek saldırı vektörlerini ortadan kaldırmak veya boğmak için çalışıyoruz.”
Goulding, PCI, HIPAA ve SOX gibi endüstri düzenlemelerinin, geleneksel BT ortamlarında hassas verilere ve sistemlere erişimi korumak için güvenlik ve gizlilik yönergelerine odaklandığını söylüyor. Kuruluşlar, ürünlerinde bu tür risklerin azaltılmasına yardımcı olmak için bu tür testlerden geçen satıcıların IoT ürünlerine öncelik vermelidir.
“Benzer şekilde, hassas ortamlarda kullanılan IoT cihazlarına erişimi korumak önemlidir” diyor. “Eşdeğer bir düzenleme seti olmadan, AMTSO yönergeleri, IoT satıcılarının ürünlerinin saldırıları tespit etme ve önleme yeteneklerini test etmelerine yardımcı olmak için doğru yönde atılmış bir adımı temsil ediyor.”
Kuruluşlar için Kritik Güvenli IoT
Viakoo CEO’su Bud Broomhead, birçok siber suçlunun giriş noktası olarak IoT cihazlarını hedeflediklerini çünkü bu cihazların kurumsal ağlar içinde yatay hareketi mümkün kıldığını söylüyor. Güvenlik açığı bulunan IoT cihazlarının güvenliği işletmeler için kritik öneme sahip olsa da, IoT cihazlarının güvenlik açıklarını yamalamak, ürün yazılımı ve dijital sertifikaları güncellemek veya yerleşik parolaları değiştirmek için genellikle otomatik yöntemlerden yoksun olduğu gerçeği devam etmektedir.
“İhlal edilen IoT cihazları, fidye yazılımı, veri kaybı, bir belediye su kaynağındaki kimyasal dengeyi değiştirmek, gerçek kamera görüntülerini derin sahte görüntülerle değiştirmek veya ulaşım sistemlerini bozmak gibi yıkıcı etkilere sahip” diyor.
Cihazlar çok dağıtılmış ve genellikle farklı marka ve modellere sahip olduğundan, kameralar, kiosklar, interkomlar ve diğer ekipmanlar için birden fazla konumda cihaz güvenliğini manuel olarak yönetmek, büyük ölçekte gerçekleştirmek çok zor olabilir.
Goulding, önerilen yönergelerin doğru yönde atılmış bir adım olmasına rağmen, geniş çapta uygulanan daha fazla ve daha güçlü standartların gerekli olduğunu söylüyor. Avrupa’nın ETSI EN 303 645’i ve Kaliforniya’nın “Bağlı Cihazların Güvenliği” yasasıyla bazı ilerlemeler var. ABD’deki NIST, tüketici IoT cihazlarının siber güvenlik etiketlemesi için pilot programlara sahiptir.
Goulding, “O zamana kadar satıcılar ve sanayi sektörleri farklı önceliklere sahip olacak” diyor.