[vc_row][vc_column][vc_column_text]به گزارش BACpress؛ استقرار ریزبخشبندی به عنوان بخشی از یک راهبرد گسترده امنیت IoT می تواند کنترل یک به یک سیستم های شبکهای را میسر ساخته و امکان دهد تا در صورتی که مهاجمین قصد بهرهبرداری از یک نقص امنیتی را داشته باشند، ایزولاسیون به نحو بهتری انجام گیرد.
اینترنت اشیاء (IoT) نویدبخش منافع زیادی برای سازمانها است، منجمله کسب بینشهای فراگیرتری درخصوص عملکرد داراییهای شرکت و محصولات تمامشده آن، بهبود فرایندهای ساخت، و بهتر شدن سرویسدهی به مشتریان. متاسفانه مسائل امنیتی IoT که همچنان یک دغدغه بزرگ شرکتها بوده و در برخی موارد ممکن است مانع از پیشرفت طرحهای پیشگامانه شود. یک راه حل برای حداقل برخی از این ریسکهای امنیتی IoT ، ریزبخشبندی است. ریزبخشبندی یکی از مفاهیم شبکه بندی است که به زعم متخصصین میتواند محیطهای IoT را تحت کنترل درآورد.
با ریزبخشبندی، سازمانها میتوانند منطقههای امنی را تحت مراکز دادهای و محیطهای ابری خود ایجاد میکنند که آنها را قادر می سازد تا کاربارها را از یکدیگر ایزوله ساخته و امنیت آنها را به طور انفرادی برقرار کنند. در محیطهای IoT، ریزبخشبندی میتواند شرکتها را قادر سازد تا کنترل بیشتری بر حجم رشدیابنده ارتباطات جانبی میان دستگاهها داشته باشند، ارتباطاتی که ابزارهای امنیتی متمرکز-بر-پیرامون (perimeter-focused) را دور می زنند.
شاید برای شرکتها زود باشد که از ریزبخشبندی برای IoT استفاده کنند، اما به زعم دیدبانان صنعت، استقرارهای IoT بالقوه میتوانند شرکتها را برانگیزند تا برای محافظتهایی که در قیاس با فایروالهای سنتی یک به یک و کمتر پیچیده هستند، ریزبخشبندی را اتخاذ کنند.
IoT ریسکهای امنیتی جدیدی را به همراه دارد
ریسک های امنیتی IoT ممکن است همه گونه تهدیدی را شامل شوند، چه آنهایی که به خود دستگاهها مربوط میشوند و چه آنها که نرمافزارهای پشتیبان IoT یا شبکههایی که این اتصالها را امکانپذیر میسازند مربوطند.
با افزایش استقرارهای IoT، بر تهدیدهای امنیتی نیز افزوده شده است. بنا بر گزارش شرکت تحقیقاتی Ponemon Institut و شرکت خدمات مدیریت ریسک The Santa Fe Group، از سال 2017 به این سو شاهد افزایشی چشمگیر در رخنههای دادهای مرتبط-با-IoT بودهایم. آنچه این مساله را پیچیدهتر میسازد این است که اغلب سازمانها از تکتک دستگاهها یا اپلیکیشنهای IoT ناامن محیط خود یا آنهایی که از طرف موجودیت ثالثی هستند آگاه نیستند. تحقیق پونمون نشان میدهد که در بسیاری سازمانها یک مسئولیت مرکزی برای پرداختن به ریسکهای IoT یا مدیریت آنها وجود ندارد و به نظر اغلب آنها طی 24 ماه آینده رخنهای به دادههایشان صورت خواهد گرفت.
ریسکهای امنیتی IoT ممکن است برای صنایعی نظیر مراقبتهای سلامت بالاخص بالا باشد چون در این صنایع حجم زیادی از اطلاعات حساس، گردآوری شده و در شبکه میان دستگاهها به اشتراک گذاشته میشود. در میان 232 سازمان فعال در عرصه مراقبتهای سلامت که توسط شرکت تحقیقاتی Vanson Bourne مورد پایش قرار گرفتند، 82% طی یک سال گذشته تجربه حمله سایبری متمرکز-بر-IoT را داشتند. وقتی از انها خواسته شد تا رایجترین آسیبپذیریها در سازمانهای مراقبتهای سلامت را بیان کنند، بیش از همه به شبکهها اشاره شد (50%) و در مرتبههای بعدی از دستگاههای متحرک (موبایل) و اپایکیشنهای همراه آنها (45%) و دستگاههای IoT (42%) صحبت به میان آمد.
ریزبخشبندی چگونه به امنیت IoT کمک می کند؟
ریزبخشبندی به این منظور طراحی شده است که امنیت شبکه را دانهدانهترتر کند. هرچند راهحلهای دیگر نظیر فایروالهای نسل بعد، شبکههای مجازی ناحیه موضعی (VLAN)، فهرستهای کنترل دسترسی (ACL)، سطحی از بخشبندی شبکه را فراهم میآورند اما در ریزبخشبندی، سیاستهایی بر کاربارهای منفرد اعمال می گردد تا محافظت بهتری در قبال حملات فراهم شود. نتیجتا، این ابزارها در مقایسه با مثلا VLANها بخشبندی دانهدانهترتری برای ترافیک شبکه فراهم میکنند.

چگونگی ریزبندی به امنیت IoT کمک می کند؟
آنچه به پیشبرد توسعه ریزبخشبندی کمک کرده است، ظهور شبکههای نرم افزار-محور (SDN) و مجازیسازی شبکه است. هنگامی که از نرمافزارهایی استفاده میشود که از سختافزار شبکه منفک شدهاند (decoupled)، پیادهسازی ریزبخشبندی آسانتر است.
از آنجا که ریزبخشبندی، در مقایسه با محصولات متمرکز-بر-پیرامون نظیر فایروالها، کنترل بیشتری بر ترافیک در مراکز دادهای اعمال میکند، می تواند مانع از ورود مهاجمین به شبکه شود.
ریزبخشبندی یک مزیت مدیریتی نیز دارد. رابین وسترولت، تحلیلگر امنیت IoT در شرکت تحقیقاتی IDC میگوید: “اگر بتوانید ریزبخشبندی را به درستی پیادهسازی کنید می توانید میان دستگاههای IoT و سایر منابع حساس یک لایه امنیتی اضافه کنید، بی آنکه روزنههایی در فایروالتان ایجاد کرده باشید. اما برای انجام این کار، زیرساخت باید از این رویکرد پشتیبانی کند و این شاید مستلزم نصب سویچها و گیتویها (دروازهها) و … جدید و مدرن باشد.”
این ایده که شبکهها، به دلایل مربوط به امنیت یا حریم خصوصی، به بخشهایی تقسیم شوند ایده جدیدی نیست. مدتی است که شرکتها برخی از منابع خود که حیاتی هستند یا ریسک بالایی دارند ایزوله میکنند.
وسترولت از بخش فروش مثال میزند که بخشبندی شبکه در آن رویه معمولی است. بسیاری از بازرگانان برای آنکه قلمرو “استاندارد امنیت دادهها برای صنعت کارتهای پرداخت” (PCI DSS) را کاهش دهند، محیطهای پرداخت خود را از سایر بخشهای ترافیک شبکه ایزوله می کنند. PCI DSS مجموعهای از استانداردهای امنیتی است که هدف از آن تضمین حفظ امنیت محیطی توسط شرکتهایی است که اطلاعات کارتهای اعتباری را میپذیرند، پردازش می کنند، ذخیرهسازی می کنند، یا انتقال میدهند.
وسترولت میگوید: “این البته خالی از خطا نیست چون چنانکه در رخنه به دادهها در اهداف فروشگاهی دیدهایم مهاجمین میتوانند راهی برای پریدن از یک سیستم به سیستم دیگر بیابند. اما در این حالت دیگر برای چنین پرشی به کار پیچیده و به منابع بیشتری نیاز هست و همین کافی است تا بسیاری از مهاجمینی را که با انگیزه مالی دست به عمل میزنند منصرف کند. با این حال حمله همچنان امکانپذیر است”.
“در گذر سالها، جزییات رخنههای دادهای مخدوش گشته و از یادها رفته است. به طور مثال، مهاجمین از اعتبارنامههای ربودهشده استفاده کرده و به سیستم صدور صورتحساب پیمانکاران دسترسی پیدا میکردند، یعنی سیستمی که، سازمان هدف حمله، از آن برای پرداخت پول به فراهم کننده خدمات «گرمایش، تهویه و تهویه مطبوع» استفاده می کرده است. مهاجمین از آنجا به شبکه دسترسی پیدا میکردند و بعد طی حرکتی جانبی خودشان را به سیستمهای پوز {نقطه فروش} می رساندند».
به گفته وسترولت می توان از بخشبندی برای ایزوله کردن کاربارهای اپلیکیشنی حیاتی و حساس در محیطهای مجازی نیز استفاده کرد. «این چیزی است که در زمینه ریزبخشبندی در ذهن دارم. به این ترتیب شما می توانید کنترلهای سفت و سختتری بر کاربارهای حساس و خطیر داشته باشید و از نزدیک بر دسترسی و تغییرات نظارت کنید».
این فناوری همچنین بهترین رویه در محیطهای سیستم کنترل صنعتی محسوب میشود و به گفته وسترولت «سازمان میتواند کنترلرهای منطقی حیاتی قابل برنامهریزی که به فرایندهای حساس تخصیص داده شدهاند با استفاده از فایروالهای صنعتی و گیتویهای یکطرفه ایزوله کند».
در محیطهای IT می توان فناوریهای عملیاتی (OT) به تازگی مستقرشده و دارای اتصال اینترنت را بخشبندی کرده و به این ترتیب مانع از آن شد که مهاجمین از آنها به عنوان سکوی پرش یا جاپایی برای رساندن خود به سیستمهای تولید استفاده کنند. اینجا است که ریزبخشبندی به IoT ربط پیدا میکند.
وسترولت می گوید:«این فناوریهای OT مواردی چون سیستمهای مدرن مدیریت ساختمان، صفحات خورشیدی، حسگرهای آسانسورها، و مکانیزمهای ایمنی فیزیکی نظیر سیستمهای اطفاء حریق را شامل میشوند. در حال حاضر این عرصه خیلی اهمیت ندارد اما شاهد هستیم که برخی بانکهای بزرگ و شرکتهای خدمات مالی در تلاشند تا از ریسکی که متوجه تاسیسات دادهای مرکزی این فناوریهای OT است بکاهند».
به زعم متخصصین شبکهبندی، مستقر ساختن ریزبخشبندی به عنوان بخشی از یک راهبرد گسترده امنیت IoT کار معقولی است.
کوین بیور، یک مشاور در زمینه امنیت اطلاعات، میگوید: «این مدل شبکهبندی اجازه میدهد تا کنترل دانهدانهتری بر سیستمهای شبکه داشته و در صورتی که کسی قصد بهرهبرداری از یک نقص امنیتی را داشته باشد ایزولاسیون به نحو بهتری انجام گیرد. این مزیتها نه فقط به بهبود رویتپذیری و کنترل امنیت کمک می کنند بلکه واکنشدهی به سوانح و خرابکاریها را هم بهتر میکنند».
جان آماتو، تحلیلگر ارشد در شرکت تحقیقاتی گارتنر میگوید که این فناوری «می تواند راه بسیار موثری برای بخشبندی و جداسازی شبکههای IoT از سیستمهای IT باشد. توانایی محصولات ریزبخشبندی برای خلق «بخشهای مجازی» که انواع متفاوت دستگاهها را، حتی در میان چندین مکان فیزیکی، از یکدیگر جدا میسازد توانایی سودمندی است».
به گفته آماتو، این فناوری با رهنمودهای امنیتی IoT که از سوی سازمانهایی نظیر سازمان امنیت داخلی آمریکا (DHS) صادر شدهاند نیز همسویی دارد. DHS در گزارش خود درخصوص «اصول راهبردی برای برقراری امنیت اینترنت اشیاء» توصیه میکند که سازمانها مزیتهای اتصال به شبکهها و ریسکهای آن را سبک سنگین کنند. در این گزارش آمده است:
«مصرف کنندگان IoT، بالاخص در محیط های صنعتی، میبایست به این موضوع فکر کنند که با توجه به ریسکهایی که با دستگاههای IoT همراه است آیا واقعا لازم است مستمرا به شبکه متصل باشند یا نه. مصرفکنندگان IoT همچنین میتوانند با متصلشدنهای محتاطانه و سنجیده، و سبک سنگین کردن ریسک رخنههای بالقوه یا ازکارافتادگی دستگاههای IoT در مقایسه با هزینههای محدودسازی اتصال به اینترنت، به جلوگیری از تهدیدهای بالقوه کمک کنند».
به گفته آماتو، ریزبخشبندی با این توصیه کاملا همسو است؛ وی می گوید: «اینکه صرفا یک بخش واحد IoT ایجاد شود حقیقتا کافی نیست. من اسم این را گذاشته ام باتلاق IoT. لازم است که بخشبندیای صورت گرفته و دستگاهها از یکدیگر مجزا شوند. و از آنجا که برای اغلب دستگاههای IoT کنترلهای مبتنی-بر-میزبان وجود ندارند، راهی ندارید جز استفاده از از راهحلهای بیرونی نظیر ریزبخشبندی».
به گفته آماتو، علیرغم مزیتهای بالقوه ریزبخشبندی، تا به امروز نشانی از اتخاذ گسترده ریزبخشبندی برای امنیت IoT نمیبینیم؛ وی می گوید:
«چیزی که من میبینیم این است که سازمانهایی که حال دیگر از یک برنامه پخته و رشدیافته امنیت IoT برخوردار هستند، دارند با پیادهسازی ریزبخشبندی یا بسط دادن برنامه کنونیشان به قلمرو IoT، آن را تکمیل میکنند. برای اغلب سازمانها، همین که IT و IoT را مجزا از یکدیگر نگه دارند بهترین کاری است که فعلا از دستشان برمیآید و گاهی اوقات همان بهترین کاری که از دستتان برمیآید کفایت میکند. این کار سودمندی است و از خیلی سازمانها تعریفش را شنیدهام. اما در مقایسه با سازمانهایی که به جداسازی IoT و IT اقدام کردهاند، با توجه به میزان تلاشی که برای راه اندازی ریزبخشبندی لازم است، تعداد بسیار کمتری از سازمانها دست به کار پیادهسازی ریزبخشبندی برای IoT شدهاند».
به گفته بیور، مهم است که سازمانهایی که دست به کار ایجاد یک زیرساخت IoT هستند این را نیز مدنظر داشته باشند که آیا واقعا برای امنیت IoT به ریزبخشبندی نیاز دارند یا نه. وی میگوید:
«میبایست سطح ریسک کنونی خود و کارجریانهایتان را معین کنید. هر فناوری یا کنترل جدیدی پیامدهای ناخواستهای نیز دارد. آیا ممکن است پیچیدگیهایی که یک مدل اعتماد-صفر (zero-trust) با خود میآورد چنان بر برنامه امنیتیتان تاثیر بگذارد که هرگونه مزیتی که برای چنین مدلی متصور بود را خنثی سازد؟».
یکی از کارهای خوبی که می توان انجام داد این است که شناخت کاملی از چگونگی تاثیرگذاری IoT بر تمامی شبکههای شرکت پیدا کنیم تا به این ترتیب بتوان بهترین رویکرد را برای تضمین انتقال امن دادهها یافت.
بیور میگوید:”استانداردها و خط مشیهایی برای امنیت وضع کنید که نه فقط قابل اعمال باشند بلکه واقعا هم اعمال گردند، منجمله برای IoT. درخصوص کنترلهایتان هوشمندانه عمل کنید. اگر از منظری ریسک-محور با آن مواجه شوید و به خود قول دهید که پیچیدگی شبکه را به حداقل برسانید، در ان صورت شاید بتوانید محیط IoT خود را تحت کنترل درآورده و تحت کنترل نگه دارید”.[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][ult_ihover][/ult_ihover][/vc_column][/vc_row]