چندان نگران IT سایه نباشید چون IoT سایه به مراتب بدتر است

چندان نگران IT سایه نباشید چون IoT سایه به مراتب بدتر است
۲۴ مهر ۱۷:۰۰ ۱۳۹۸ پرینت گرفتن از این مقاله

IoT سایه، یعنی استفاده غیرمجاز از دستگاه‌ها و شبکه‌های اینترنت اشیاء، تهدیدهایی که متوجه بنگاه‌ها است را به تراز جدیدی رسانده است.

به گزارش BACpress؛ سال‌های سال است که دادِ دپارتمان‌های IT از خطرات IT سایه و رویه‌ی هرکسی-دستگاه-خودش (bring-your-own-device)  به هوا است. این نگرانی وجود دارد که این رویه‌های غیرمجاز، ریسک‌هایی را متوجه سیستم‌های شرکتی کرده، آسیب‌پذیری‌های جدیدی را باعث شده و سطوح در معرض حمله را افزایش دهند.

این شاید حقیقت داشته باشد اما همه ماجرا نیست. از مدتها پیش گفته‌ام که IT سایه در عین حال که می‌تواند باعث افزایش ریسک‌ها شود، امکان کاستن از هزینه‌ها، تقویت بهره‌وری و تسریع نوآوری را نیز دارد. به همین خاطر است که کاربران اغلب تا این اندازه مشتاقند که دپارتمانهای IT را، که از دید این کاربران کند و محافظه‌کار هستند، دور زده و از بدیل‌های مصرف‌کننده‌ای و مبتنی-بر-ابر که به نحو فزاینده‌ای در حال قوی‌تر شدن و ارزان‌تر شدن هستند استفاده کنند، و به ناراحتی و نارضایتی اولیای امور هم وقعی نگذارند. شواهد بسیار از این حکایت دارند که این واحدهای فهیم و کاردرست IT باید از این رویکردهای جدید بهره گرفته و در خدمت‌رسانی به مشتریان داخلی، با چابکی بیشتری عمل کنند.

IoT سایه، در ترازی فراتر از IT سایه جای دارد

خب، تا اینجای کار مشکلی نیست. اما استدلال فوق‌الذکر درخصوص IT سایه را نمی‌توان به قضیه نوظهور IoT سایه بسط داد. در این یک سال اخیر، دغدغه‌ها در خصوص IoT سایه بیشتر شده است. منظور از IoT سایه این است که پرسنل سازمان، دستگاه‌های اینترنتی به شبکه سازمان اضافه کنند (یا از این بدتر، شبکه‌های IoT به شبکه سازمان اضافه کنند !) بی انکه دانش و تخصصی در زمینه IT داشته باشند.

این کارکنان “خائن” احتمالا به دنبال همان سرعت و انعطاف‌پذیری هستند که مشوق IT سایه بوده است، اما در مورد IoT ، هم ریسک کار خیلی بزرگتر است و هم فواید حاصل از آن خیلی کمتر است. در IoT سایه، بالقوه با تعداد بسیار بیشتری از دستگاه‌ها و همچنین انواع جدیدتری از آنها و موارد استفاده جدیدتر سر و کار خواهیم داشت، بگذریم از اضافه شدن شبکه‌های جدید و فناوری‌های جدید.

سایه IOT

سایه IT

چرا IoT سایه بدتر از IT سایه است

در گزارش ۸۰۲ Secure  برای سال ۲۰۱۸ آمده است:

«IoT، با سیستم عامل‌ها، پروتکل‌ها و فرکانس‌های بی‌سیم جدیدی همراه بوده است. شرکت‌هایی که اتکایشان به فناوری‌های امنیتی به جا مانده از گذشته است، از این تهدید شایع   IoTبی خبرند. لازم است که سازمان‌ها دیدشان را چنان وسعت ببخشند که دستگاه‌ها و شبکه‌های نامشهود را نیز شامل گردد تا به این ترتیب بتوانند دستگاه‌های سرکش  IoT را روی شبکه شناسایی کرده، شبکه‌های IoT سایه در حیطه دیدشان قرار گیرند، و توانایی تشخیص تهدیدهایی نظیر هواپیماهای بی‌سرنشین و دوربین‌های جاسوسی را پیدا کنند”.

بنا بر گزارش فوق‌الذکر، در شبکه‌های شرکتی تمام سازمان‌های مورد پایش، دستگاه‌های IoT سرکش بی‌سیم مصرفی یافت شد. از هر ۱۰ سازمان، در نه تا آنها شبکه‌های سایه بی‌سیم IoT یا IIoT وجود داشت. منظور از شبکه‌های سایه بی‌سیم “شبکه‌های بی‌سیم شناسایی نشده مستقر در شرکت هستند که جدای از زیرساخت شرکتی می‌باشند”.

در گزارش سال ۲۰۱۸ شرکت Infoblox هم آمده است که به طور معمول در یک‌سوم شرکت‌ها بیش از ۱۰۰۰ دستگاه IoT سایه وجود دارد که به شبکه‌های این شرکت‌ها متصلند. از جمله این دستگاه‌ها می‌توان به دستبند‌های ورزشی هوشمند، دستیارهای دیجیتال، تلویزیون‌های هوشمند، وسایل برقی خانگی و شخصی و کنسول‌های بازی اشاره کرد (اشتباه ننوشته‌ایم، گزارش Infoblox واقعا درباره شبکه‌های شرکتی است!).

اوضاع در حال بدتر شدن است. در بسیاری از این دستگاه‌های IoT مصرفی حتی تلاشی هم برای حفظ امنیت نشده است و به گفته مایکروسافت، همین حالا هم چه کسانی که فعالیت مجرمانه شخصی سایبری دارند و چه آنها که از طرف حکومت‌ها پشتیبانی می‌شوند، استفاده تخریبی از این دستگاه‌ها و شبکه‌ها را آغاز کرده‌اند (هم دستگاه‌ها و شبکه‌های سایه و هم آنها که تاییدشده هستند)، گواه این ادعا نیز Mirai botnet و بسیاری موارد دیگر است.

مطلب دیگری را نیز باید اضافه کرد؛ برخلاف IT ابری و IT سایه مصرف‌کننده‌ای، معمولا IoT های سایه از سطوح بالاتری از سرعت، چابکی یا کاربردپذیری برخوردار نیستند، و این یعنی آنکه سازمان‌ها در قبال ریسکی که از جانب آنها متحمل می‌شوند نفعی نمی‌برند. با این حال به نظر نمی‌رسد که این باعث خودداری افراد از استفاده از آنها در شبکه‌های شرکتی شده باشد.

Shadow IoT

سایه IOT

مبانی امنیتی

خوشبختانه، کار محافظت از سازمان در مقابل IoT سایه چندان تفاوتی با رویه‌های امنیتی برتری که برای سایر تهدیدها مورد استفاده قرار می‌گیرند، منجمله IT سایه، ندارد.

آموزش:

اطمینان حاصل کنید که تیم‌تان به تهدید مربوطه آگاه است، و تلاش کنید تا موافقت عملی‌شان را درخصوص خط‌مشی کلیدی IoT و اقدامات اساسی امنیتی جلب کنید. بنا بر گزارش ۸۰۲ Secure “88 درصد مدیران و راهبران IT در ایالات متحده و انگلیس معتقدند که برای کاستن از ریسک‌های امنیتی ناشی از دستگاه‌های متصل به شبکه، خط‌مشی موثری را به عمل در آورده‌اند. اما ۲۴ درصد کل کارکنان در این پایش گفته‌اند که از وجود چنین خط‌مشی‌هایی به کلی بی‌خبرند و در میان افرادی که از این خط‌مشی‌ها شناخت داشتند نیز فقط ۲۰ درصد به آنها پایبند بوده و رعایتشان می‌کردند”. البته یک مشارکت ۱۰۰ درصدی هیچگاه ممکن نیست اما موضوع این است که کسی نمی‌تواند از خط‌مشی‌ای پیروی کند که حتی از وجودش هم بی‌خبر است.

جذب:

خط‌مشی‌هایی ایجاد کنید که به اعضاء تیم امکان دهد تا دستگاه‌ها و شبکه‌های IoT خود را با موافقت و پشتیبانی واحد IT سازمان به شبکه شرکت متصل کنند. البته این زحمت اضافه ای خواهد بود و به هر حال برخی هم سرکشی خواهند کرد، اما چه بهتر که از دستگاه‌های هر چه بیشتری باخبر باشید.

جداسازی:

شبکه‌های جداگانه‌ای نصب کنید تا بتوانید در عین حال که حتی‌الامکان از شبکه‌های شرکتی اصلی‌تان محافظت می‌کنید، بتوانید از دستگاه‌های IoT تاییدشده و سایه نیز پشتیبانی کنید.

نظار‏ت:

منظما دستگاه‌های متصل به شبکه و شبکه‌ها را وارسی کرده و به صورت پیشگیرانه، به دنبال دستگاه‌های ناشناخته روی همه شبکه‌ها بگردید.

منبع: networkworld

  Article "tagged" as:
  Categories:

هیچ نظری ارسال نشده است!

شما می توانید یک مکالمه را شروع کنید.

ارسال دیدگاه

اطلاعات شما در امنیت کامل خواهد بود! آدرس ایمیل شما منتشر نخواهد شد.