Elérhetőség
info[kukac]it-assist.hu
+36709384285
Elérhetőek vagyunk
Hétfőtől - Péntekig:
09:00-16:00

IoT-Rendszerek Biztonságának Növelése


Az IoT-eszközök és -hálózatok, valamint az általuk összegyűjtött adatok védelme nagy lépéseket és finom kiigazításokat kíván.

Komoly kihívás elé állítja a dolgok internetével (internet of things, IoT) foglalkozó szakembereket a hálózatok, adatok és eszközök védelmének biztosítása. Már napvilágra kerültek komoly incidensek (lásd Az IoT még forró kása című cikkünket), ezért a rendszer-adminisztrátorok aggodalma legalábbis érthető. Milyen lépéseket kell tennünk a helyzet javítása érdekében? – tette fel a kérdést Bob Violino, a Network World munkatársa, a válaszok pedig nem csupán maguktól értetődő teendőkre világítottak rá.

Kezdjük kicsiben!

Elsőként a legkisebb elemet, a kódot vegyük górcső alá, tanácsolja Laura DiDio, az ITIC kutató és tanácsadó cég vezetője. Az IoT-eszközök többsége nagyon kicsi, ezért a forráskódot C, C++ vagy C# nyelven írják meg, ami memóriaszivárgáshoz és puffertúlcsorduláshoz vezethet, teszi hozzá. Ezek a sérülékenységek komolyan veszélyeztethetik az IoT-környezetek biztonságát. Ez ellen alapos, gondos teszteléssel lehet leginkább védekezni. Jó hasznát vehetik még a rendszer-adminisztrátorok a stack cookie-knak. Ezekkel a randomizált adatfüzérekkel kideríthető, milyen adatok csordulnak túl.

Kontextus-érzékeny hozzáférés-vezérlés

Amikor a termékek és eszközök csatlakoztatására kerül sor, egyike a legnagyobb biztonsági kihívásoknak a hozzáférés-felügyelet. Mindenekelőtt azonosítanunk kell azokat a viselkedéseket és tevékenységeket, amelyek elfogadhatók az IoT-környezethez csatlakozó eszközöktől, majd be kell vezetnünk az ezeket felügyelő vezérléseket úgy, hogy ne akadályozzák a rendszer normál működését, sorolja John Pironti IoT-biztonsági szakértő, az IP Architects tanácsadó cég elnöke.

Egy, az IoT-eszközök működését bénító virtuális LAN vagy hálózati szegmens használata helyett vezessünk be kontextus-érzékeny hozzáférés-felügyeletet a hálózatban a megfelelő tevékenységek és viselkedések betartatására nem csupán a kapcsolódási szinten, hanem a parancs- és adatátviteli szinteken is, tanácsolja. Ez fogja biztosítani, hogy az eszközök terv szerint működjenek, miközben megakadályozza a rosszindulatú vagy nem engedélyezett tevékenységeket.

Feleljenek a gyártók!

Különféle szolgáltatókkal kötött szerződések nyomán olyan eszközök települhetnek a megrendelőnél, amelyek sebezhetővé tehetik a hálózatot. Szerződésben kell rögzítenünk a szállító felelősségét az általa telepített eszközökért, illetve tisztáznunk kell, kinek a feladata a frissítés és az életciklus-felügyelet, továbbá gondoskodnunk kell arról, hogy biztonsági incidens esetén a megrendelő hozzáférhessen az eszközhöz, tanácsolja Brian Haugli, a SideChannelSec biztonsági tanácsadó cég partnere. 

Milyen alapon várnánk el támogatást a szállítóktól, ha nem tudatjuk előre az elvárásokat, nem gondoskodunk a megfelelőségről, és nem jelöljük ki a felelősöket? Ahogy az OEM-gyártóktól és szoftvercégektől is elvárjuk termékeik hibáinak azonosítását és gyors kijavítását, az IoT-eszközök (IP-kamerák, orvosi berendezések, nyomtatók, vezeték nélküli hozzáférési pontok, hűtőgépek stb.) szállítóitól is jogosan várjuk el ugyanezt, hangoztatja Jason Taule, a biztonsági szabványokkal foglalkozó Hitrust alelnöke. Rögzítsük a szerződésben biztonsági elvárásainkat, kérjünk rendszeres sebezhetőségvizsgálatot, követeljük meg a felfedezett sérülékenységek kijavítását, firmware-frissítések után az eszközök ismételt tesztelését, ajánlja.

Identitáshamisítás

Egyre képzettebb hackerekkel nézünk szembe, ezért az IoT-eszközök számának exponenciális mértékű növekedése hatalmas és egyre nagyobb támadási felületet képez, ami miatt egy percre sem hanyagolható el az eszközök identitásának ellenőrzése. DiDio szerint minden IoT-eszköznek egyedi azonosítóval kell rendelkeznie, ennek hiányában a felhasználó komoly kockázatnak van kitéve: megnő az identitáshamisítás és az eszközök feltörésének esélye.

Egyirányú IoT-kapcsolatok

Pironti szerint csakis a hozzáférési listán található összeköttetéseket szabad engedélyeznünk, azokat is kizárólag tűzfalon keresztül. Ha az egyirányú bizalom elvét alkalmazzuk, az IoT-eszközök nem fognak tudni kapcsolatot kezdeményezni belső rendszerekkel, ami megakadályozza, hogy a támadók belépési pontként használják azokat a hálózat feltörésére. Bár ettől még nem zárhatjuk ki a kiberbűnözőket, jelentősen korlátozhatjuk oldalirányú mozgásukat a hálózatban.

Amennyiben megköveteljük, hogy az IoT-eszközökhöz csak jump hostokon és/vagy hálózati proxykon keresztül lehessen csatlakozni, pontosan nyomon követhető a forgalom, mondja Pironti.

Szegregált hálózat

Sok vezérlőeszköz csatlakozik vezeték nélkül (például termosztátok és világításszabályozók), mások a WPA2-Enterprise/802.1x titkosítási szabványt használják. James McGibney, a Rosendin Electric kiberbiztonságért és megfelelőségért felelő vezetője szerint azonban sokuk nem felel meg a WPA2-Enterprise szabványnak. Meggyőződése, hogy biztonságosabb eszközökre lenne szükség. Ezért, ha tehetjük, csak internet-hozzáférést adó, a gyártási rendszerektől elkülönült, vezeték nélküli hálózatba kössük a vezérlőeszközöket. Ehhez külön SSID-azonosítót és virtuális LAN-t kell létrehoznunk, továbbá biztosítanunk kell, hogy a forgalom tűzfalon haladjon át. A szegregált vezeték nélküli hálózatot központi helyről kell konfigurálni és felügyelni. 

– Mi így jártunk el egyes eszközöknél, például árusító automatáknál, mondta McGibney. – A termelési hálózatunktól elkülönített vendéghálózatba kötöttük őket, ugyanazon a hardveren, de külön virtuális LAN-ban.

Ellátási lánc

Egy-egy ellátási láncon belül általában több partnerre – technológiai szállítókra, termékbeszállítókra, ügyfelekre – terjednek ki az IoT-rendszerek, így kiemelten fontos a biztonság szavatolása. Ha még nem tettük volna meg, keressük fel vállalatunknál az ellátási láncot felügyelő részleget, és beszéljük meg velük, hogy csak akkor kössenek IoT-rendszerekkel kapcsolatos szerződéseket, ha a biztonsági csapat már megvizsgálta az alkalmazni kívánt rendszert, és jóváhagyta annak bevezetését, tanácsolja Taule. A megfelelő szállító kiválasztásának folyamata szervezetenként változik, Taule szerint azonban olyan partnereket kell előnyben részesítenünk, amelyek független validálást engednek, garantálják, hogy tudtunk nélkül nem hajtanak végre firmware-frissítést , és kizárólag eredeti termékeket alkalmaznak, hamisítványokat nem.

Forrás: https://computerworld.hu

Kapcsolódó bejegyzések

IT-Assist.hu
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Add a Comment

Ez az oldal az Akismet szolgáltatást használja a spam csökkentésére. Ismerje meg a hozzászólás adatainak feldolgozását .



Hírlevél

Ne maradjon le az Újdonságokról, Akciókról, Kedvezményekről. Iratkozzon fel Hírlevelünkre!
Adatait biztonságban tároljuk és bizalmasan kezeljük, harmadik félnek nem adjuk ki!

error: A tartalom védett!!!