دستگاههای متصل و ریسک محصول جانبی شناخته شدهای از عصر دیجیتالی است که به سرعت در حال تحول است که ما اکنون در آن فعالیت میکنیم. دانیل دوس سانتوس، رئیس بخش تحقیقات امنیتی، میگوید، نرخی که دستگاههای IT، اینترنت اشیا (IoT)، اینترنت اشیاء پزشکی (IoMT) و فناوری عملیاتی (OT) در معرض خطر قرار میگیرند، متفاوت است. Forescout Vedere Labs; بازوی تحقیقات امنیت سایبری پیش بینی.
برخی از آنها به طور قابل توجهی بیشتر از دیگران در معرض خطر هستند، به خصوص که مجرمان سایبری با سرعتی سریع به نوآوری برای دستیابی به دستگاه های متصل و بهره برداری برای دستیابی به اهداف خود ادامه می دهند.
تعداد روزافزون و تنوع دستگاههای متصل در هر صنعتی چالشهای جدیدی را برای سازمانها به وجود میآورد تا ریسکهایی را که در معرض آن هستند درک و مدیریت کنند. سطح حمله اکنون تقریباً در هر سازمانی IT، IoT و OT را در بر می گیرد، با اضافه شدن IoMT در مراقبت های بهداشتی، که باعث افزایش آسیب پذیری در شبکه های به هم پیوسته می شود.
در واقع، طبق گزارش اخیر موسسه Ponemon، 65 درصد از سازمانهای پاسخدهنده میگویند که دستگاههای IoT و OT یکی از کمایمنترین بخشهای شبکههایشان هستند، در حالی که 50 درصد میگویند که حملات علیه این دستگاهها افزایش یافته است.[i]. متخصصان امنیت فناوری اطلاعات و فناوری اطلاعات در 88 درصد از این سازمانها، دستگاههای IoT متصل به اینترنت، 56 درصد دستگاههای OT متصل به اینترنت و 51 درصد دارای شبکه OT متصل به شبکه فناوری اطلاعات هستند.
واقعیت این است که دستگاههای متصل در حال حاضر در هر عمودی وجود دارند و همچنان خطرات امنیتی قابل توجه و گستردهای را برای سازمانها در همه بخشها ایجاد میکنند، زیرا بسیاری از آنها هنوز هم در معرض آسیبپذیریهای شناخته شده و قدیمیتر هستند. برای شناسایی نقاط خطر ذاتی انواع دستگاهها، بخشهای صنعت و سیاستهای امنیت سایبری، تحقیقات اخیر وضعیت خطر بیش از 19 میلیون دستگاه را در خدمات مالی، دولتی، مراقبتهای بهداشتی، تولید و خردهفروشی مورد تجزیه و تحلیل قرار داده است تا پرخطرترین دستگاههای متصل سال 2022 را نشان دهد.
یافته ها نشان داده است که:
دستگاه های IT هنوز هدف مورد علاقه هستند
دستگاههای فناوری اطلاعات از جمله رایانهها، سرورها، روترها و نقاط دسترسی بیسیم جزو پرخطرترینها هستند، زیرا همچنان هدف اصلی بدافزارها، از جمله باجافزار، و اصلیترین نقاط دسترسی اولیه برای عوامل مخرب هستند. این بازیگران از آسیبپذیریهای دستگاههای در معرض اینترنت، مانند سرورهایی که سیستمهای عامل و برنامههای تجاری وصلهنشده را اجرا میکنند، یا از تکنیکهای مهندسی اجتماعی و فیشینگ برای فریب دادن کارمندان برای اجرای کدهای مخرب بر روی رایانههایشان استفاده میکنند.
روترها و نقاط دسترسی بی سیم، و همچنین سایر دستگاه های زیرساخت شبکه، در حال تبدیل شدن به نقاط ورودی رایج تر بدافزارها و تهدیدات دائمی پیشرفته هستند. روترها خطرناک هستند زیرا اغلب به صورت آنلاین در معرض دید قرار می گیرند، با شبکه های داخلی و خارجی رابط دارند، دارای پورت های باز خطرناک خطرناک هستند و آسیب پذیری های زیادی دارند که اغلب به سرعت توسط عوامل مخرب مورد سوء استفاده قرار می گیرند.
هایپروایزر یا سرورهای تخصصی میزبان ماشینهای مجازی (VM) در سال 2022 به هدف مورد علاقه باجافزارهای باجافزار تبدیل شدهاند، زیرا به مهاجمان اجازه میدهند چندین ماشین مجازی را به طور همزمان رمزگذاری کنند – توسعهدهندگان باجافزار به سمت زبانهایی مانند Go و Rust حرکت میکنند که اجازه میدهند کار متقابل آسانتر انجام شود. کامپایل و می تواند هم لینوکس و هم ویندوز را هدف قرار دهد.
وصله و مدیریت دستگاه های اینترنت اشیا سخت تر است
تعداد فزایندهای از دستگاههای IoT در شبکههای سازمانی به طور فعال مورد سوء استفاده قرار میگیرند، زیرا اصلاح و مدیریت آنها نسبت به دستگاههای IT سختتر است. دستگاههای اینترنت اشیا به دلیل اعتبارنامههای ضعیف یا آسیبپذیریهای اصلاحنشده عمدتاً برای تبدیل شدن به بخشی از باتنتهای انکار سرویس توزیعشده (DDoS) در معرض خطر قرار میگیرند.
دوربینهای IP، VoIP و سیستمهای کنفرانس ویدیویی خطرناکترین دستگاههای IoT هستند زیرا معمولاً در اینترنت در معرض دید قرار میگیرند و سابقه طولانیای از فعالیت عامل تهدید وجود دارد که آنها را هدف قرار میدهد. به عنوان مثال، در سال 2019 APT28 تلفنهای VoIP را برای دسترسی اولیه به چندین شبکه به خطر انداخت، در سال 2021 Conti دوربینها را برای حرکت داخلی در سازمانهای آسیبدیده هدف قرار داد و در سال 2022، هر دو UNC3524 و TAG-38 کنفرانسهای ویدئویی و دوربینها را برای استفاده به عنوان فرمان و کنترل هدف قرار دادند. زیر ساخت.
دستگاههای خودپرداز به دلیل اهمیت تجاری آشکارشان در سازمانهای مالی و همچنین به این دلیل که دادهها نشان میدهد که بسیاری از دستگاههای خودپرداز در مجاورت سایر دستگاههای اینترنت اشیا مانند دوربینهای امنیتی و سیستمهای امنیتی فیزیکی که اغلب در معرض دید هستند، در رتبهبندی ظاهر میشوند.
چاپگرها نه تنها شامل دستگاههای چاپ و کپی چند منظوره هستند که در دفتر متصل استفاده میشوند، بلکه دستگاههای تخصصی برای چاپ رسید، لیبل، بلیط، مچبند و سایر موارد استفاده میشوند. اگرچه چاپگرها به طور گسترده ای با خطر سایبری مرتبط نیستند، اما باید چنین باشند. مانند دوربین های IP، آنها در نفوذ توسط عوامل تهدید مانند APT28 مورد سوء استفاده قرار گرفته اند و در موارد متعدد توسط هکتیویست ها اسپم شده اند. و درست مانند دستگاههای خودپرداز، چاپگرها اغلب به دستگاههای حساس مانند سیستمهای فروش در مورد چاپگرهای رسید و ایستگاههای کاری معمولی با کاربران ممتاز در مورد چاپگرهای اداری متصل میشوند.
دستگاه های اشعه ایکس و مانیتورهای بیمار از جمله پرخطرترین دستگاه های IoMT هستند
دستگاه های پزشکی متصل بدیهی است که به دلیل تأثیر بالقوه آنها بر ارائه مراقبت های بهداشتی و ایمنی بیمار خطرناک هستند. حملات باجافزاری زیادی به شبکههای فناوری اطلاعات شرکتهای سیستم سلامت صورت گرفته است که به دستگاههای پزشکی سرایت کرده و آنها را غیرقابل استفاده کرده است، مانند WannaCry در سال 2017، حمله به بیمارستانی در آلاباما که بر مانیتورهای جنین در سال 2019 تأثیر گذاشت و چندین حمله که بر سیستمهای اطلاعات تشعشعات تأثیر گذاشت. ایالات متحده و ایرلند از سال 2020.
ایستگاههای کاری DICOM، سیستمهای پزشکی هستهای، دستگاههای تصویربرداری و PACS که بهعنوان خطرناکترین رتبهبندی شدهاند، همه دستگاههای مرتبط با تصویربرداری پزشکی هستند و چند ویژگی مشترک دارند: آنها اغلب سیستمعاملهای آسیبپذیر فناوری اطلاعات قدیمی را اجرا میکنند، اتصال شبکه گستردهای دارند تا امکان اشتراکگذاری فایلهای تصویری را فراهم کنند. و از استاندارد DICOM برای اشتراک گذاری این فایل ها استفاده کنید.
DICOM هم فرمت ذخیره تصاویر پزشکی و هم پروتکل ارتباطی مورد استفاده برای تبادل آنها را تعریف می کند. این پروتکل از رمزگذاری پیام پشتیبانی می کند، اما استفاده از آن توسط سازمان های مراقبت های بهداشتی پیکربندی شده است. از طریق ارتباطات رمزگذاری نشده در بین سازمانهای مختلف، مهاجمان میتوانند تصاویر پزشکی را از جمله برای انتشار بدافزار به دست آورند یا دستکاری کنند.
علاوه بر این، مانیتورهای بیمار از رایجترین دستگاههای پزشکی در سازمانهای بهداشتی و درمانی و همچنین از آسیبپذیرترین آنها هستند. مانند دستگاه های تصویربرداری پزشکی، آنها اغلب با پروتکل های رمزگذاری نشده ارتباط برقرار می کنند، به این معنی که مهاجمان می توانند در قرائت های خود دستکاری کنند.
دستگاههای OT در عین حال از نظر طراحی ناامن هستند
در دهه گذشته، حملات دولتی علیه سیستمها و دستگاههای OT رایج شدهاند. این تحقیق نشان میدهد که تولید بالاترین درصد دستگاههای با خطر بالا (11 درصد) را دارد، اما چیزی که نگرانکنندهتر است، افزایش فعالیتهای سایبری و هکتیویستی است که این دستگاهها را هدف قرار میدهند. اخیراً، گروههای باجافزار در چندین موقعیت به سیستمهای SCADA شرکتهای آب دسترسی پیدا کردند، و هکریستها به HMI یک مرکز تصفیه آب در فلوریدا دسترسی پیدا کردند.
به طور کلی، PLC ها و HMI ها خطرناک ترین دستگاه های OT هستند زیرا بسیار حیاتی هستند و امکان کنترل کامل فرآیندهای صنعتی را فراهم می کنند و از نظر طراحی ناامن هستند. اگرچه PLC ها اغلب به اینترنت متصل نیستند، بسیاری از HMI ها به اینترنت متصل هستند تا عملیات یا مدیریت از راه دور را فعال کنند. این دستگاهها نه تنها در بخشهای زیرساختی حیاتی، مانند تولید، رایج هستند، بلکه در بخشهایی مانند خردهفروشی نیز رایج هستند، جایی که آنها لجستیک و اتوماسیون انبار را هدایت میکنند.
با این حال، سایر دستگاه های OT پرخطر مشاهده شده بسیار گسترده تر از PLC ها و HMI ها هستند. به عنوان مثال، منابع تغذیه اضطراری (UPS) در بسیاری از شبکههای شرکتها و مراکز داده در کنار رایانهها، سرورها و دستگاههای IoT وجود دارند. یو پی اس ها نقش مهمی در پایش برق و مدیریت برق مرکز داده ایفا می کنند. حملات به این دستگاه ها می تواند اثرات فیزیکی داشته باشد، مانند قطع برق در یک مکان بحرانی یا دستکاری ولتاژ برای آسیب رساندن به تجهیزات حساس.
نظارت بر محیط و سیستمهای اتوماسیون ساختمان برای مدیریت تأسیسات حیاتی هستند، که یک نیاز رایج در اکثر سازمانها است. ساختمانهای هوشمند کاملاً نمونهای از یک حوزه بینصنعتی هستند که در آن IT، IoT و OT در یک شبکه همگرا هستند. چندین نمونه از ساختمانهای هوشمند وجود دارد که توسط عوامل تهدید برای غیرقابل استفاده کردن کنترلکنندهها، استخدام دستگاههای کنترل دسترسی فیزیکی آسیبپذیر برای باتنتها یا استفاده از ایستگاههای کاری مهندسی برای دسترسی اولیه مورد سوء استفاده قرار میگیرند. این دستگاهها بهطور خطرناکی ماهیت طراحی ناامن OT را با اتصال اینترنت IoT ترکیب میکنند و اغلب حتی در مکانهای حساس بهصورت آنلاین در معرض دید قرار میگیرند.
محافظت از دستگاه ها در سطوح مختلف
هم تولیدکنندگان دستگاه و هم کاربران مسئول توسعه و حفظ دفاع امنیتی سایبری خود هستند، که چشم اندازی است که با پیشرفت های نظارتی تقویت می شود.
ضروری است که سازندگان از چرخه عمر توسعه نرم افزار ایمن استفاده کنند. این شامل فرآیندهایی مانند بررسی کد، اسکن آسیب پذیری و تست نفوذ است. مهمتر از همه، این فرآیندها نباید محدود به نرم افزاری باشد که سازندگان تولید می کنند، بلکه باید به تمام اجزایی که وارد یک دستگاه می شوند، از جمله کتابخانه های شخص ثالث باشد.
در مورد تحولات نظارتی، مقررات پیشنهادی اتحادیه اروپا برای الزامات امنیت سایبری، در صورت اجرا، دریافت گواهی امنیت سایبری برای دستگاههای IoT را برای فروشندگان اجباری میکند. از دیدگاه کاربر، فشار زیادی برای اجباری کردن افشای حوادث امنیت سایبری وجود دارد که بدون شک شرکتها را مجبور میکند وضعیت امنیتی خود را افزایش دهند.
متأسفانه، یک راه حل سریع برای محافظت از دستگاه های متصل وجود ندارد. اما اقدامات عملی وجود دارد که همه سازمان ها می توانند اتخاذ کنند، که با ایجاد یک موجودی کامل، خودکار و مستمر از تمام دارایی های شبکه شروع می شود. هنگامی که همه دستگاهها و پیکربندیهای آنها شناخته شدند، میتوان ارزیابی ریسک را انجام داد تا دستگاههایی را که به دلیل ناامن بودن یا حیاتی بودن آنها نیاز به توجه ویژه دارند، برجسته کند.
سپس اقدامات کاهشی می تواند اجرا شود. اقدامات شامل اصلاح آسیبپذیریهای شناخته شده، سختسازی دستگاهها با غیرفعال کردن سرویسهای بلااستفاده، استفاده از رمزهای عبور قوی و منحصربهفرد، بخشبندی شبکهها برای جداسازی دستگاههای خطرناک و استفاده از نظارت جامع شبکه برای شناسایی تلاشها برای سوءاستفاده از دستگاهها است.
محافظت از دستگاه های متصل در برابر حمله یک مسئولیت مشترک است. همه ما در کشف خطرات و محافظت از زیرساختهای خود در برابر تاکتیکهای پیچیدهتر نقشی داریم. و افشای هر گونه شکاف احتمالی در زره ما جایی است که همه چیز شروع می شود.
همچنین ببینید
منبع: https://www.professionalsecurity.co.uk/news/interviews/true-risk-of-connected-devices/