يشهد إنترنت الأشياء (IoT) ، مثل أي تقنية سريعة التطور ، عددًا من "أمراض النمو" ، ومن بينها أخطر المشكلات الأمنية. كلما زادت الأجهزة "الذكية" المتصلة بالشبكة ، زادت المخاطر المرتبطة بالوصول غير المصرح به إلى نظام إنترنت الأشياء واستخدام قدرات المهاجمين له. اليوم ، تهدف جهود العديد من الشركات والمنظمات في مجال تكنولوجيا المعلومات إلى إيجاد حلول تقلل من التهديدات التي تعوق التنفيذ الكامل لإنترنت الأشياء.
ذكي ولكن ضعيف
إن تطوير مفهوم إنترنت الأشياء وتطبيقه في مختلف المجالات يوفر وجود عشرات المليارات من الأجهزة المستقلة. وفقًا لبوابة
Statista ، في عام 2017 ، كان هناك بالفعل أكثر من 20 مليارًا منهم ، وبحلول عام 2025 من المتوقع ألا يقل عن 75 مليارًا
، وجميعهم متصلون بالشبكة وينقلون البيانات التي تتوافق مع وظائفهم من خلالها. تعتبر كل من البيانات والوظائف أهدافًا للمهاجمين ، مما يعني أنه يجب حمايتهم.
بالنسبة لأجهزة إنترنت الأشياء ، يتكون الأمان في المقام الأول من سلامة الرمز ، ومصادقة المستخدمين (الأجهزة) ، وإنشاء حقوق الملكية (بما في ذلك البيانات التي تم إنشاؤها من قبلهم) ، والقدرة على صد الهجمات الافتراضية والمادية. ولكن في الواقع ، معظم أجهزة إنترنت الأشياء التي تعمل اليوم ليست مجهزة بميزات الأمان ، ولديها واجهات تحكم خارجية ، وكلمات مرور افتراضية ، أي أنها تحتوي على جميع علامات ضعف الويب.
ما زلنا نتذكر الأحداث قبل عام ، عندما اخترقت Mirai botnet ، من خلال تحديد مجموعات من تسجيلات الدخول وكلمات المرور الافتراضية ، عددًا كبيرًا من الكاميرات وأجهزة التوجيه ، والتي تم استخدامها لاحقًا في هجوم DDoS قوي على شبكات مزود البريد في المملكة المتحدة ، Deutsche Telekom ، TalkTalk ، KCOM و Eircom. في هذه الحالة ، تم تنفيذ "تمهيد التشغيل" لأجهزة إنترنت الأشياء باستخدام Telnet ، وتم اختراق أجهزة التوجيه عبر المنفذ 7547 باستخدام البروتوكولين TR-064 و TR-069.
ولكن الأكثر صدى ، ربما ، هو الهجوم الذي وضع مشغل DNS DYN ، ومعه تقريبًا "نصف الإنترنت" للولايات المتحدة. بالنسبة لهجوم الروبوتات ، تم استخدام أسهل طريقة من خلال تسجيلات الدخول وكلمات المرور للجهاز الافتراضي.
أظهرت هذه الأحداث بوضوح الفجوات في أنظمة إنترنت الأشياء وضعف العديد من الأجهزة الذكية. من الواضح أن فشل الساعات الذكية أو متتبعو اللياقة البدنية لشخص ما لن يضر كثيرًا باستثناء إحباط أصحابه. لكن اختراق أجهزة إنترنت الأشياء التي هي جزء من أنظمة وخدمات M2M ، على وجه الخصوص ، مدمجة في البنية التحتية الحيوية ، محفوف بعواقب لا يمكن التنبؤ بها. في هذه الحالة ، يجب أن تتوافق درجة سلامتهم مع أهمية هذه البنية التحتية أو تلك: النقل ، الطاقة ، أو غيرها ، التي يعمل عليها النشاط الحيوي للناس والاقتصاد. على مستوى الأسرة أيضًا - يمكن أن تؤدي حالات الفشل والهجمات على نظام المنزل "الذكي" نفسه إلى حالات طائفية محلية أو حالات طوارئ وحالات خطيرة أخرى.
بالطبع ، كانت التهديدات للبنية التحتية موجودة أيضًا في أوقات ما قبل الإنترنت - على سبيل المثال ، بسبب نفس الكوارث الطبيعية أو أخطاء المصممين. ومع ذلك ، مع ظهور الأجهزة المتصلة بالشبكة ، تمت إضافة جهاز آخر ، وربما أمرًا أكثر خطورة - هجوم إلكتروني.
شهادة الجهاز
لم تنشأ مشكلة الأمان الحالية لأجهزة إنترنت الأشياء بسبب الغباء الفني أو إهمال المطورين. هنا تلتصق الآذان بالحسابات الرصينة: سرعة الدخول إلى السوق تمنح ميزة على المنافسين ، وإن لم يكن ذلك لفترة طويلة ، وحتى بسبب انخفاض عتبة الأمان.
لا يهتم معظم الشركات المصنعة بقضاء الوقت والمال في تطوير واختبار الرموز وأنظمة الأمان الخاصة بمنتجاتهم "الذكية".
إحدى الطرق لجعلهم يعيدون النظر في موقفهم تجاه أمن منتجات إنترنت الأشياء الخاصة بهم هي الشهادة. الفكرة ليست جديدة ، لكنها لا تزال تستحق الاهتمام ، على الأقل هذه طريقة على الأقل لحل المشكلة. يجب ألا تكون إجراءات التصديق على أجهزة إنترنت الأشياء بيروقراطية وتوفر للمشتري ضمانًا بأن لديه درجة معينة من الحماية ضد هجمات القراصنة. بادئ ذي بدء ، يمكن الإشارة إلى الحاجة إلى شهادة أمنية عند إجراء مشتريات الدولة والشركات.
اليوم ، تشارك العديد من الشركات الخاصة في قضايا إصدار الشهادات. على وجه الخصوص ، اتخذ تحالف الثقة عبر الإنترنت (OTA) زمام المبادرة لمعالجة أمن إنترنت الأشياء على مستوى الدولة والشركة المصنعة من خلال إصدار
إطار عمل إنترنت الأشياء ، وهي قائمة بالمعايير للمطورين ومصنعي الأجهزة ومقدمي الخدمات الذين يسعون إلى تحسين أمانهم وخصوصيتهم ودورة حياتهم. منتجات إنترنت الأشياء. بادئ ذي بدء ، يركز على الأجهزة المتصلة بالمنزل والمكتب والأجهزة القابلة للارتداء وهو نوع من مدونة قواعد السلوك للتوصية والأساس للعديد من برامج الاعتماد وتقييم المخاطر.
أطلقت إدارة مختبرات ICSA المستقلة التابعة لـ Verizon هذا العام
برنامج اختبار أمني وشهادة لأجهزة إنترنت الأشياء. وفقًا لمطوريها ، فهي واحدة من الأولى من نوعها ، وهي تختبر مكونات مثل الإخطار / التسجيل والتشفير والمصادقة والاتصالات والأمن المادي وأمن النظام الأساسي. سيتم تمييز الأجهزة المعتمدة بعلامة اعتماد خاصة لمختبرات ICSA ، تشير إلى أنها قد تم اختبارها وتم إصلاح الثغرات المكتشفة. كما سيتم مراقبة الأجهزة المعتمدة واختبارها بشكل دوري طوال دورة حياتها بأكملها للحفاظ على سلامتها.
في المقابل ، يهدف
برنامج اختبار واعتماد ضمان الأمن السيبراني (CAP) UL إلى ضمان سلامة المنتجات والأنظمة. تشهد شهادة CAP بأن المنتج أو النظام يوفر مستوى معقولًا من الحماية ضد المخاطر التي قد تؤدي إلى الوصول أو التغيير أو الفشل غير المقصود أو غير المصرح به. بالإضافة إلى ذلك ، يؤكد CAP أيضًا أن التصحيحات المستقبلية أو التحديثات أو إصدارات البرامج الجديدة لمنتج أو نظام معتمد لن يقلل من مستوى الحماية الذي كان موجودًا في وقت التقييم.
ومع ذلك ، يعتقد العديد من خبراء أمن إنترنت الأشياء أن أكبر فائدة من برامج الاعتماد هذه ستكون عند اختبار ليس فقط جهاز معين ، ولكن النظام البيئي بأكمله: بنيته التحتية وتطبيقاته ، إلخ. بعد كل شيء ، يمكن أن يفشل جهاز إنترنت الأشياء الذي تم اختباره وتأمينه أيضًا أثناء التفاعل داخل النظام.
نظرًا لوجود مزايا لا يمكن إنكارها لتطوير إنترنت الأشياء ، فإن برامج الاعتماد لها جانب سلبي. إن مجرد اجتياز جهاز الاختبار وتوافر الشهادة لا يمكن أن يكون ضمانًا بنسبة 100٪ على سلامته ، لأنه ، على الأرجح ، لا يزال يحتوي على بعض العيوب. يمكن أن يؤدي الثقة المفرطة في شهادة الأمان إلى خدعة المستخدمين الذين لديهم احتياجات فردية وتطبيقات مختلفة لأجهزتهم ، مما يعني المخاطر والتهديدات الخاصة بهم. وبطبيعة الحال ، لا يتم استبعاد إمكانية سوء المعاملة. من المؤكد أن هناك شركات مصنعة ستدفع ثمن "شبه الشهادة" ، تسعى لتحقيق أهداف تجارية بحتة.
يبدو أنه من أجل حل عالمي لمشكلة الأمان من خلال الاعتماد ، هناك حاجة إلى حل موحد ، حافز مشترك لجميع الشركات المصنعة لإنتاج الأجهزة المحمية ، وليس على المستهلكين شراء أولئك الذين لم يتم تأكيد سلامتهم بأي شيء. ما ينبغي أن يكون - تشريعي أو اقتصادي أو عقابي - لم يتحدد بعد. في نهاية المطاف ، ينبغي أن تكون النتيجة هي أمن نظام إنترنت الأشياء العالمي.
تقنية Blockchain
كان أمن إنترنت الأشياء أحد المجالات الأولى لاستخدام تكنولوجيا blockchain. بفضل تقنية التسجيل الموزع ، أصبح من الممكن توفير مستوى عالٍ من الأمان لأجهزة إنترنت الأشياء على الشبكة وإزالة القيود والمخاطر الحالية لإنترنت الأشياء المرتبطة بالمركزية.
يسمح لك بحفظ بروتوكولات التبادل ونتائج التفاعل بين مختلف أجهزة إنترنت الأشياء في نظام لا مركزي بسرعة وأمان. إنها البنية الموزعة لسلسلة الكتل التي تضمن الأمان العالي بما فيه الكفاية لنظام إنترنت الأشياء بأكمله. ولكن إذا كانت بعض أجهزة الشبكة لا تزال عرضة للقرصنة بشكل عام ، فلن يؤثر ذلك على التشغيل العام للنظام. أصبح الاستخدام المذكور من قبل botnets للأجهزة "الذكية" التي تعمل في أنظمة إنترنت الأشياء ممكنًا بسبب ضعف أمنها. يسمح لك نوع الثقة الموزع بالتخلص من جهاز تم اختراقه دون ضرر ملحوظ لنموذج التفاعل الكامل بين الأشياء "السليمة".
في السياق الأمني ، يمكن اليوم استخدام blockchain في عدد من المجالات التي تتطور فيها إنترنت الأشياء بشكل مكثف. على سبيل المثال ، هذه هي إدارة المصادقة ، والتحقق من صحة الخدمات المختلفة ، وضمان عدم قابلية المعلومات للتجزئة ، وغيرها. في بداية العام ، شكل عدد من الشركات الرائدة ، بما في ذلك Cisco و BNY Mellon و Bosch و Foxconn وعدد من الشركات الأخرى ،
اتحادًا سيجد حلولًا لاستخدام blockchain لزيادة الأمان وتحسين تفاعل منتجات إنترنت الأشياء. المهمة الرئيسية التي حددها أعضاؤها لأنفسهم هي التطوير على أساس تقنية blockchain لقاعدة بيانات موزعة وبروتوكول لتبادل المعلومات بين أجهزة إنترنت الأشياء.
لاحظ أنه في يناير 2017 ، بدأت DHS USA في استخدام تقنية blockchain لحماية ونقل وتخزين البيانات التي جمعتها الإدارة من كاميرات المراقبة بالفيديو وأجهزة استشعار المراقبة المختلفة. كما يتم اختبار هذه التكنولوجيا من قبل DARPA ، وهو قسم في وزارة الدفاع الأمريكية يشرف على تطوير تقنيات جديدة للجيش. بالإضافة إلى ذلك ، وقعت إحدى الوكالات التي تجري أبحاثًا تحت سقف البنتاغون عقدًا بقيمة عدة ملايين من الدولارات مع شركة البرمجيات Galois ، التي تعمل على تطوير الأمن في مجال blockchain.
اليوم أصبح من الواضح بالفعل أنه سيكون من الصعب تحقيق جميع الاحتمالات التي يمكن أن يوفرها مفهوم إنترنت الأشياء للمستخدمين دون حل مشاكل الأمان والخصوصية. وبالطبع ، فإن الأساليب المذكورة أعلاه لحماية إنترنت الأشياء ليست شاملة ؛ حيث تعمل العديد من المجموعات والشركات والمتحمسين على حل المشكلة. ولكن قبل كل شيء ، ينبغي أن يكون مستوى الأمان العالي لأجهزة إنترنت الأشياء هو الشاغل الأساسي لمصنعيها. يجب أن تأتي الحماية الموثوقة في البداية كجزء من وظائف المنتج وتصبح ميزة تنافسية جديدة لكل من مصنعي وموردي حلول إنترنت الأشياء المعقدة.