התרעות קומסק

מצב אבטחת IoT – אינטרנט של דברים (מרשתת הדברים)

מצב אבטחת IoT – אינטרנט של דברים (מרשתת הדברים)

מצב אבטחת IoT – אינטרנט של דברים (מרשתת הדברים) רשימת עשרת קווי המנחה הנוגעים לאינטרנט של דברים שפורסמה על ידי OWASP ב25 לדצמבר, 2018 הינה ניסיון לאחד מספר בעיות שאיתן מתמודדות מחלקות מרובות בארגון כאשר עוסקים בתכנון הטמעה של מוצרי אינטרנא של דברים. בעוד שהיו רשימות כאלו בעבר, הן הוכנו ונכתבו על ידי ארגונים שעבור מרביתם, אבטחה אינה הנדבך העיקרי של עיסוקן ויועדו עבור קהל יעד מסויים או במטרה לדון על טכנולוגיה מסויימת. שוק האינטרנט של דברים גדל בתאוצה בשנים האחרונות ולכן עלה הצורך בקווי מנחה בעקבות תהליך הבשלתו של התחום. רשימת קווי המנחה העדכית האחרונה הוצגה בשנת 2014 על ידי OWASP ופנתה בעיקרה למפתחים ומומחי IT. על מנת לקבל קצת מושג בנוגע למספרים, מספר מכשירי האינטרנט של דברים הפעילים גבל ליותר מ-7 מיליארד בשנת 2018 וצפוי לשלש את עצמו עד שנת 2025. אחת הבעיות העיקריות בתחום אבטחת האינטרנט של דברים הינה חוסר היכולת לנהל יצרני מכשירי אינטרנט של דברים העלולים לספק מוצרים זולים (במחיר ובאיכות) ללקוח, שעלול לגלות בשלב מאוחר יותר כי לתג המחיר הזול קיימות השלכות רבות וכי אבטחה אינה מגיע ללא עלות.
יצרנים כאלו, במקרה הטוב, עלולים פשוט לא להיות מודעים לחשיבות של אבטחת המוצר, או במקרה יותר גרוע, עלולים להיות חסרי אכפתיות וגם כאשר הותרע בפניהם על פגיעויות הקיימות במוצר שלהם, לא יעשו מאמץ מיוחד על מנת לתקנן. המשמעות של גישה כזו מצד יצרני מכשירי האינטרנט של דברים, עלולה להיות הרסנית עבור לקוחות ועסקים קטנים, כמו כן עלולה להיות להיות פוגענית עבור עסקים גדולים. גם היצרינים הנמנים בין הטובים עבור מכשירי אינטרנט של דברים זונחים את הצורך בעדכון שוטף ותדיר, ובכך הופכים את מכשיריהם למיושנים ולא מעודכנים (המקרה הטוב יותר). היצרינים הקטנים או כאלו שמייצרים מכשירים בכמויות אינם מעדכנים את המכשירים שלהם כלל ואינן מיישמות מנגנון עדכון במכישירם שהם מייצרים (המקרה הגרוע ביותר).
בנוסף להתנהלות לוקה זו, ברוב המקרים שימוש בהגדרות גנריות המשתמשות באותן רשימת מפתחות ומזהי גישה הן האופציה המגיעה כברירת מחדל או היחידה להגדרת המכשיר. מחדלים אלו ייצרו הזדמנות בה תוכנות הנוזקה Mirai ו Reaper – אשר התגלו ב2016 ו 2017 בהתאמה) הצליחו לפעול ולהציג את תג המחיר החבוי ביישום מוצר ללא החשבות באבטחה. בעוד שתוכנות נוזקה אלו היו בשימוש בעיקר עבור מתקפות מסוג DDoS, מתקפות אחרות בעתיד עלולות להיות פחות "נחמדות" ועלולות להשתמש בפגיעויות החבויות במכשירי האינטרנט של דברים על מנת להשיג דריסת רגל אל תוך רשת הקורבן.

ברגע שדריסת הרגל קיימת, ניתן לבצע מתקפות נוספות על מנת להשיג מידע רגיש ובעל ערך. אם לדוגמה, מצלמת אבטחה או נתב של רשת נפרצו, ההשלכות עלולות לכלול סחיטה, לדעת את הזמן המתאים לפרוץ לבית כשהוא ריק, גניבת מידע אודות כרטיס אשראי, יכולת גישה ו"הבדקה" של מכשירים נוספים ועוד. על מנת ליצור מערכת אקולוגית בטוחה יותר, נדרשות גם פעולות רגולטוריות, בנוסף לחינוך טוב יותר כבר מהשלב הראשוני – מתכנון המכשיר ועד לסיום מחזור חיי המוצר, מנקודת המבט העיסקית, מידול איומים (Threat Modeling) , עיצוב ארכיטקטורה, פיתוח עד הטמעה ותמיכה ארוכת טווח.
רשימת עשרת קווי המנחה הנוגעים לאינטרנט של דברים שפורסמה בשנת 2018 מנסה לתת מענה לצורך בחינוך שהוזכר קודם בכל השלבים השונים, עבור משתמשים שונים, על אף שמדובר ברשימה המתחייסת לדברים בהסתכלות עילית ורחבה ואינה צוללת לתוך הפרטים הקטנים החשובים ביותר כאשר מקימים פלטפורמה מאובטחת. מסמכים עם קווי מנחה אחרים המציעים הסתכלות יסודית יותר כוללים, בנוסף למידע מעמיק יותר אודות קווי המנחה הכלליים, גם קווי מנחה אודות פיתוח מאובטח (SSDLC).

ניתן למצוא את המסמכים הללו באתר של OWASP, אך יחד עם זאת המידע באתר הינו מפוזר וכתוצאה מכך קיים הסיכון שהמידע לא יגיע לקהל היעד שלו ונושאים חשובים יוחמצו כגון צעדים ודרישות סף על מנת לאבטח מוצר כזה או אחר. במידה והינך מעוניין לשמו פרטים נוספים אודות אבטחה בעולם האינטרנט של הדברים או לדון כיצד נוכל לסייע לך במאמיך בתחום אבטחת מוצר, תרגיש חופשי ליצור איתנו קשר.

Recent Posts

5 דרכים לדעת שאכן בחרת יועץ אבטחת מידע מוצלח

5 דרכים לדעת שאכן בחרת יועץ אבטחת מידע מוצלח

5 הטעויות הנפוצות ביישום של פיתוח מאובטח

5 הטעויות הנפוצות ביישום של פיתוח מאובטח

חשיבותו של פיתוח מאובטח

חשיבותו של פיתוח מאובטח — "ה-CISO ממאדים והמפתחים מנגה"

Follow Us

Register for our blog