آیا ریز‌بخش‌بندی می‌تواند به امنیت IoT کمک کند؟

آیا ریز‌بخش‌بندی می‌تواند به امنیت IoT کمک کند؟
۲۳ آبان ۱۳:۰۰ ۱۳۹۸ پرینت گرفتن از این مقاله

به گزارش BACpress؛ استقرار ریزبخش‌بندی به عنوان بخشی از یک راهبرد گسترده امنیت IoT می تواند کنترل یک به یک سیستم های شبکه‌ای را میسر ساخته و امکان دهد تا در صورتی که مهاجمین قصد بهره‌برداری از یک نقص امنیتی را داشته باشند، ایزولاسیون به نحو بهتری انجام گیرد.

اینترنت اشیاء (IoT) نویدبخش منافع زیادی برای سازمان‌ها است، منجمله کسب بینش‌های فراگیرتری درخصوص عملکرد دارایی‌های شرکت و محصولات تمام‌شده آن، بهبود فرایندهای ساخت، و بهتر شدن سرویس‌دهی به مشتریان. متاسفانه مسائل امنیتی IoT که همچنان یک دغدغه بزرگ شرکت‌ها بوده و در برخی موارد ممکن است مانع از پیشرفت طرح‌های پیشگامانه شود. یک راه حل برای حداقل برخی از این ریسک‌های امنیتی IoT ، ریزبخش‌بندی است. ریزبخش‌بندی یکی از مفاهیم شبکه بندی است که به زعم متخصصین می‌تواند محیط‌های IoT را تحت کنترل درآورد.

با ریزبخش‌بندی، سازمان‌ها می‌توانند منطقه‌های امنی را تحت مراکز داده‌ای و محیط‌های ابری خود ایجاد می‌کنند که آنها را قادر می سازد تا کاربارها را از یکدیگر ایزوله ساخته و امنیت آنها را به طور انفرادی برقرار کنند. در محیط‌های IoT، ریزبخش‌بندی می‌تواند شرکت‌ها را قادر سازد تا کنترل بیشتری بر حجم رشدیابنده ارتباطات جانبی میان دستگاه‌ها داشته باشند، ارتباطاتی که ابزارهای امنیتی متمرکز-بر-پیرامون (perimeter-focused) را دور می زنند.

شاید برای شرکت‌ها زود باشد که از ریزبخش‌بندی برای IoT استفاده کنند، اما به زعم دیدبانان صنعت، استقرار‌های IoT بالقوه می‌توانند شرکت‌ها را برانگیزند تا برای محافظت‌هایی که در قیاس با فایروال‌های سنتی یک به یک و کمتر پیچیده هستند، ریزبخش‌بندی را اتخاذ کنند.

IoT ریسک‌های امنیتی جدیدی را به همراه دارد

ریسک های امنیتی IoT ممکن است همه گونه تهدیدی را شامل شوند، چه آنهایی که به خود دستگاه‌ها مربوط می‌شوند و چه آنها که نرم‌افزارهای پشتیبان IoT  یا شبکه‌هایی که این اتصال‌ها را امکان‌پذیر می‌سازند مربوطند.

با افزایش استقرارهای IoT، بر تهدیدهای امنیتی نیز افزوده شده است. بنا بر گزارش شرکت تحقیقاتی Ponemon Institut و شرکت خدمات مدیریت ریسک The Santa Fe Group، از سال ۲۰۱۷ به این سو شاهد افزایشی چشمگیر در رخنه‌های داده‌ای مرتبط-با-IoT بوده‌ایم. آنچه این مساله را پیچیده‌تر می‌سازد این است که اغلب سازمان‌ها از تک‌تک دستگاه‌ها یا اپلیکیشن‌های IoT ناامن محیط خود یا آنهایی که از طرف موجودیت ثالثی هستند آگاه نیستند. تحقیق پونمون نشان می‌دهد که در بسیاری سازمان‌ها یک مسئولیت مرکزی برای پرداختن به ریسک‌های IoT یا مدیریت آنها وجود ندارد و به نظر اغلب آنها طی ۲۴ ماه آینده رخنه‌ای به داده‌هایشان صورت خواهد گرفت.

ریسک‌های امنیتی IoT ممکن است برای صنایعی نظیر مراقبت‌های سلامت بالاخص بالا باشد چون در این صنایع حجم‌ زیادی از اطلاعات حساس، گردآوری شده و در شبکه میان دستگاه‌ها به اشتراک گذاشته می‌شود. در میان ۲۳۲ سازمان فعال در عرصه مراقبت‌های سلامت که توسط شرکت تحقیقاتی Vanson Bourne مورد پایش قرار گرفتند، ۸۲% طی یک سال گذشته تجربه حمله سایبری متمرکز-بر-IoT را داشتند. وقتی از انها خواسته شد تا رایج‌ترین آسیب‌پذیری‌ها در سازمان‌های مراقبت‌های سلامت را بیان کنند، بیش از همه به شبکه‌ها اشاره شد (۵۰%) و در مرتبه‌های بعدی از دستگاه‌های متحرک (موبایل) و اپایکیشن‌های همراه آنها (۴۵%) و دستگاه‌های IoT (42%) صحبت به میان آمد.

ریزبخش‌بندی چگونه به امنیت IoT کمک می کند؟

ریزبخش‌بندی به این منظور طراحی شده است که امنیت شبکه را دانه‌دانه‌تر‌تر کند. هرچند راه‌حل‌های دیگر نظیر فایروال‌های نسل بعد، شبکه‌های مجازی ناحیه موضعی (VLAN)، فهرست‌های کنترل دسترسی (ACL)، سطحی از بخش‌بندی شبکه را فراهم می‌آورند اما در ریزبخش‌بندی، سیاست‌هایی بر کاربارهای منفرد اعمال می گردد تا محافظت بهتری در قبال حملات فراهم شود. نتیجتا، این ابزارها در مقایسه با مثلا VLANها بخش‌بندی دانه‌دانه‌تر‌تری برای ترافیک شبکه فراهم می‌کنند.

امنیت IOT

چگونگی ریزبندی به امنیت IoT کمک می کند؟

آنچه به پیشبرد توسعه ریزبخش‌بندی کمک کرده است، ظهور شبکه‌های نرم افزار-محور (SDN) و مجازی‌سازی شبکه است. هنگامی که از نرم‌افزارهایی استفاده می‌شود که از سخت‌افزار شبکه منفک شده‌اند (decoupled)، پیاده‌سازی ریزبخش‌بندی آسانتر است.

از آنجا که ریزبخش‌بندی، در مقایسه با محصولات متمرکز-بر-پیرامون نظیر فایروال‌ها، کنترل بیشتری بر ترافیک در مراکز داده‌ای اعمال می‌کند، می تواند مانع از ورود مهاجمین به شبکه شود.

ریزبخش‌بندی یک مزیت مدیریتی نیز دارد. رابین وسترولت، تحلیلگر امنیت IoT در شرکت تحقیقاتی IDC می‌گوید: “اگر بتوانید ریزبخش‌بندی را به درستی پیاده‌سازی کنید می توانید میان دستگاه‌های IoT و سایر منابع حساس یک لایه امنیتی اضافه کنید، بی آنکه روزنه‌هایی در فایروال‌تان ایجاد کرده باشید. اما برای انجام این کار، زیرساخت باید از این رویکرد پشتیبانی کند و این شاید مستلزم نصب سویچ‌ها و گیت‌وی‌ها (دروازه‌ها) و … جدید و مدرن باشد.”

این ایده که شبکه‌ها، به دلایل مربوط به امنیت یا حریم خصوصی، به بخش‌هایی تقسیم شوند ایده جدیدی نیست. مدتی است که شرکت‌ها برخی از منابع خود که حیاتی هستند یا ریسک بالایی دارند ایزوله می‌کنند.

وسترولت از بخش فروش مثال می‌زند که بخش‌بندی شبکه در آن رویه‌ معمولی است. بسیاری از بازرگانان برای آنکه قلمرو “استاندارد امنیت داده‌ها برای صنعت کارت‌های پرداخت” (PCI DSS) را کاهش دهند، محیط‌های پرداخت خود را از سایر بخش‌های ترافیک شبکه ایزوله می کنند. PCI DSS مجموعه‌ای از استانداردهای امنیتی است که هدف از آن تضمین حفظ امنیت محیطی توسط شرکت‌هایی است که اطلاعات کارت‌های اعتباری را می‌پذیرند، پردازش می کنند، ذخیره‌سازی می کنند، یا انتقال می‌دهند.

وسترولت می‌گوید: “این البته خالی از خطا نیست چون چنانکه در رخنه به داده‌ها در اهداف فروشگاهی دیده‌ایم مهاجمین می‌توانند راهی برای پریدن از یک سیستم به سیستم دیگر بیابند. اما در این حالت دیگر برای چنین پرشی به کار پیچیده و به منابع بیشتری نیاز هست و همین کافی است تا بسیاری از مهاجمینی را که با انگیزه مالی دست به عمل می‌زنند منصرف کند. با این حال حمله همچنان امکان‌پذیر است”.

“در گذر سالها، جزییات رخنه‌های داده‌ای مخدوش گشته و از یادها رفته است. به طور مثال، مهاجمین از اعتبارنامه‌های ربوده‌شده استفاده کرده و به سیستم صدور صورت‌حساب پیمانکاران دسترسی پیدا می‌کردند، یعنی سیستمی که، سازمان هدف حمله، از آن برای پرداخت پول به فراهم کننده خدمات «گرمایش، تهویه و تهویه مطبوع» استفاده می کرده است. مهاجمین از آنجا به شبکه دسترسی پیدا می‌کردند و بعد طی حرکتی جانبی خودشان را به سیستم‌های پوز {نقطه فروش} می رساندند».

به گفته وسترولت می توان از بخش‌بندی برای ایزوله کردن کاربارهای اپلیکیشنی حیاتی و حساس در محیط‌های مجازی نیز استفاده کرد. «این چیزی است که در زمینه ریزبخش‌بندی در ذهن دارم. به این ترتیب شما می توانید کنترل‌های سفت و سخت‌تری بر کاربارهای حساس و خطیر داشته باشید و از نزدیک بر دسترسی و تغییرات نظارت کنید».

این فناوری همچنین بهترین رویه در محیط‌های سیستم کنترل صنعتی محسوب می‌شود و به گفته وسترولت «سازمان می‌تواند کنترلر‌های منطقی حیاتی قابل برنامه‌ریزی که به فرایندهای حساس تخصیص داده شده‌اند با استفاده از فایروال‌های صنعتی و گیت‌وی‌های یک‌طرفه ایزوله کند».

در محیط‌های IT می توان فناوری‌های عملیاتی (OT) به تازگی مستقرشده و دارای اتصال اینترنت را بخش‌بندی کرده و به این ترتیب مانع از آن شد که مهاجمین از آنها به عنوان سکوی پرش یا جاپایی برای رساندن خود به سیستم‌های تولید استفاده کنند. اینجا است که ریزبخش‌بندی به IoT ربط پیدا می‌کند.

وسترولت می گوید:«این فناوری‌های OT مواردی چون سیستم‌های مدرن مدیریت ساختمان، صفحات خورشیدی، حسگرهای آسانسورها، و مکانیزم‌های ایمنی فیزیکی نظیر سیستم‌های اطفاء حریق را شامل می‌شوند. در حال حاضر این عرصه خیلی اهمیت ندارد اما شاهد هستیم که برخی بانک‌های بزرگ و شرکت‌های خدمات مالی در تلاشند تا از ریسکی که متوجه تاسیسات داده‌ای مرکزی این فناوری‌های OT است بکاهند».

به زعم متخصصین شبکه‌بندی، مستقر ساختن ریزبخش‌بندی به عنوان بخشی از یک راهبرد گسترده امنیت IoT کار معقولی است.

کوین بیور، یک مشاور در زمینه امنیت اطلاعات، می‌گوید: «این مدل شبکه‌بندی اجازه می‌دهد تا کنترل دانه‌دانه‌تری بر سیستم‌های شبکه داشته و در صورتی که کسی قصد بهر‌ه‌برداری از یک نقص امنیتی را داشته باشد ایزولاسیون به نحو بهتری انجام گیرد. این مزیت‌ها نه فقط به بهبود رویت‌پذیری و کنترل امنیت کمک می کنند بلکه واکنش‌دهی به سوانح و خرابکاری‌ها را هم بهتر می‌کنند».

جان آماتو، تحلیلگر ارشد در شرکت تحقیقاتی گارتنر می‌گوید که این فناوری «می تواند راه بسیار موثری برای بخش‌بندی و جداسازی شبکه‌های IoT از سیستم‌های IT باشد. توانایی محصولات ریزبخش‌بندی برای خلق «بخش‌های مجازی» که انواع متفاوت دستگاه‌ها را، حتی در میان چندین مکان فیزیکی، از یکدیگر جدا می‌سازد توانایی سودمندی است».

به گفته آماتو، این فناوری با رهنمودهای امنیتی IoT  که از سوی سازمان‌هایی نظیر سازمان امنیت داخلی آمریکا (DHS) صادر شده‌اند نیز همسویی دارد. DHS در گزارش خود درخصوص «اصول راهبردی برای برقراری امنیت اینترنت اشیاء» توصیه می‌کند که سازمان‌ها مزیت‌های اتصال به شبکه‌ها و ریسک‌های آن را سبک سنگین کنند. در این گزارش آمده است:

«مصرف کنندگان IoT، بالاخص در محیط های صنعتی، می‌بایست به این موضوع فکر کنند که با توجه به ریسک‌هایی که با دستگاه‌های IoT همراه است آیا واقعا لازم است مستمرا به شبکه متصل باشند یا نه. مصرف‌کنندگان IoT همچنین می‌توانند با متصل‌شدن‌های محتاطانه و سنجیده، و سبک سنگین کردن ریسک رخنه‌های بالقوه یا ازکارافتادگی دستگاه‌های IoT در مقایسه با هزینه‌های محدودسازی اتصال به اینترنت، به جلوگیری از تهدید‌های بالقوه کمک کنند».

به گفته آماتو، ریزبخش‌بندی با این توصیه کاملا همسو است؛ وی می گوید: «اینکه صرفا یک بخش واحد IoT ایجاد شود حقیقتا کافی نیست. من اسم این را گذاشته ام باتلاق IoT. لازم است که بخش‌بندی‌ای صورت گرفته و دستگاه‌ها از یکدیگر مجزا شوند. و از آنجا که برای اغلب دستگاه‌های IoT کنترل‌های مبتنی-بر-میزبان وجود ندارند، راهی ندارید جز استفاده از از راه‌حل‌های بیرونی نظیر ریزبخش‌بندی».

به گفته آماتو، علیرغم مزیت‌های بالقوه ریزبخش‌بندی، ‌تا به امروز نشانی از اتخاذ گسترده ریزبخش‌بندی برای امنیت IoT نمی‌بینیم؛ وی می گوید:

«چیزی که من می‌بینیم این است که سازمان‌هایی که حال دیگر از یک برنامه پخته و رشدیافته امنیت IoT برخوردار هستند، دارند با پیاده‌سازی ریز‌بخش‌بندی یا بسط دادن برنامه کنونی‌شان به قلمرو IoT، آن را تکمیل می‌کنند. برای اغلب سازمان‌ها، همین که IT و IoT را مجزا از یکدیگر نگه دارند بهترین کاری است که فعلا از دستشان برمی‌آید و گاهی اوقات همان بهترین کاری که از دستتان برمی‌آید کفایت می‌کند. این کار سودمندی است و از خیلی سازمان‌ها تعریفش را شنیده‌ام. اما در مقایسه با سازمان‌هایی که به جداسازی IoT و IT اقدام کرده‌اند، با توجه به میزان تلاشی که برای راه اندازی ریزبخش‌بندی لازم است، تعداد بسیار کمتری از سازمان‌ها دست به کار پیاده‌سازی ریزبخش‌بندی برای IoT شده‌اند».

به گفته بیور، مهم است که سازمان‌هایی که دست به کار ایجاد یک زیرساخت IoT هستند این را نیز مدنظر داشته باشند که آیا واقعا برای امنیت IoT به ریزبخش‌بندی نیاز دارند یا نه. وی می‌گوید:

«می‌بایست سطح ریسک کنونی خود و کارجریان‌هایتان را معین کنید. هر فناوری یا کنترل جدیدی پیامدهای ناخواسته‌ای نیز دارد. آیا ممکن است پیچیدگی‌هایی که یک مدل اعتماد-صفر (zero-trust) با خود می‌آورد چنان بر برنامه امنیتی‌تان تاثیر بگذارد که هرگونه مزیتی که برای چنین مدلی متصور بود را خنثی سازد؟».

یکی از کارهای خوبی که می توان انجام داد این است که شناخت کاملی از چگونگی تاثیر‌گذاری IoT بر تمامی شبکه‌های شرکت پیدا کنیم تا به این ترتیب بتوان بهترین رویکرد را برای تضمین انتقال امن داده‌ها یافت.

بیور می‌گوید:”استانداردها و خط مشی‌هایی برای امنیت وضع کنید که نه فقط قابل‌ اعمال باشند بلکه واقعا هم اعمال گردند، منجمله برای IoT. درخصوص کنترل‌هایتان هوشمندانه عمل کنید. اگر از منظری ریسک-محور با آن مواجه شوید و به خود قول دهید که پیچیدگی شبکه را به حداقل برسانید، در ان صورت شاید بتوانید محیط IoT خود را تحت کنترل درآورده و تحت کنترل نگه دارید”.

  Article "tagged" as:
  Categories:

هیچ نظری ارسال نشده است!

شما می توانید یک مکالمه را شروع کنید.

ارسال دیدگاه

اطلاعات شما در امنیت کامل خواهد بود! آدرس ایمیل شما منتشر نخواهد شد.