Büyük ve küçük firmalar IoT devriminin sağladığı iş olanaklarından faydalanırken, ne yazık ki bilişim suçluları da aynısını yapıyor.
Geçtiğimiz dönemde Miraj adı verilen bir malware, 1.6 milyon güvensiz IoT güvenlik kameralarını, DVR'ları ve eski web yönlendiricilerini sessizce gasp ediyor ve bunları DDoS saldırıları için kullanıyordu. Aynı zamanlarda etrafta dolanan başka bir botnet olan Bashlight, araştırmalara göre Miraj'ın yaklaşık dört kat daha fazla IOT kontrolünü ele geçirdi.
Nesnelerin İnternetinin güvenlik açıkları, ucuz IoT cihazlarının satıcılar ve bunları kullanan firmalar tarafından yeterli güvenlik önlemleri olmadan çevrimiçi hale gelmesi nedeniyle güvenlik uzmanlarının en büyük endişelerinden biri haline geldi. IoT güvenlik danışmanı Rohan Kotian’a göre “Çoğu IoT uç birimi veri işlerken veya diğer cihazlarla iletişime geçerken şifrelenmiyor. Ortamdan geçen ses ve veri hassaslığı arttıkça, kesilme ve müdahale edilme potansiyeli de artıyor.”
Bu büyüyen tehdit göz önünde tutulduğunda, kamu ve iş güvenliği adına şirketinizin IoT güvenlik durumunu iyileştirmek için sizlere 7 temel konuyu listeledik;
1. Güvenliği ciddiye alan satıcıları tercih edin
Bütün IoT satıcılarının takip etmesi gereken bazı basit güvenlik önlemleri var. Eğer IoT satıcınız bu minimum güvenlik koşullarına uymuyorsa, alternatif çözümler bakabilirsiniz. Bu minimum gereksinimler; güvenceye alınmış bağlantılar için uygulayıcı SSL/TLS şifrelemesi, cihazdaki hassas durağan veriler için şifreleme ve doğrudan firmware güncellemeleri için cihaza güvenli bir kanal sağlanmasını kapsar. WolfSSL’nin kurucu ortaklarından biri; cihazlar ve uygulama için gömülü güvenlik önlemleri geliştiren bir programlama kütüphanesinin kurucularından olan Larry Stefonic’e göre:
“Bunlar, IoT oyununda oynamak için ‘table stakes’lerdir.”
2. Yazılım Güncellemelerini Acilen İndirin
Firmaların yaptığı en büyük nesnelerin interneti güvenliği hatalarından biri, cihazlarını en yeni yazılım ve güvenlik yamaları ile güncellememeleridir. Bu, kullanımda olan bir sürü IoT cihazıyla yapılması kolay bir hatadır, fakat bu hata bilgisayar korsanlarını, zayıf noktaları kendi çıkarlarına kullanmaları için pahalıya mal olacak şekilde motive edebilir.
Stefonic “Firmalar savunma konusunda geri kalıyor, güncellemeleri yapmıyor ve zarar görüyor.” diyor. “Tehdit alanı sürekli büyüyor, bu yüzden firmaların da savunmacı duruşu da gelişmeli.”
3. Düzenli Sızma Testleri Uygulayın
Firmaların yapabileceği en büyük veri güvenliği eylemlerinden biri tedbirli olarak ağlarını güçlendirmektir.
Kotian, “Cihazları ve bağlı uygulamaları korumak için mevcut olması gereken güvenlik politikalarının eksikliğinden dolayı siber saldırıların çoğu başarılıdır.”diyor. ”Cihazlar için bir güvenlik temeli tasarlayın ve onları kabul edilmiş sınırın ötesine çıkmamaları için düzenli bir şekilde gözlemleyin.”
4. Bütün Cihazları Eşsiz Parolalarla Güvenceye Alın
IoT cihazlarına erişim sağlamak, genellikle değiştirilmemiş fabrika ayarlarını taramak kadar kolaydır. Bu zayıf noktaları güçlendirmeyi unutmayın.
Güvenlik ve gizlilik konularında danışmanlık yapan Tauseef Ghazi, “Mümkünse, satın aldığınız konfigurasyonlarla kullanmayın ve güvenlik için düzenlemeler yapın” diye not ediyor. Bu diğer yapılandırma değişiklerini; varsayılan şifreleri değiştirme, erişimi sınırlandırma ve bilgileri filtreleme olarak sıralayabiliriz. Bazen bu bir parola ekleme anlamına bile gelebilir.
Kotian “IoT cihazları bilindiği üzere ya varsayılan kimlik bilgileri olmadan ya da son derece zayıf şifrelerle sevk edilmiş olmakla tanınmıştır.” diye ekliyor. “Bu durum, saldırganların ve botnet’lerin kendilerini doğrulamalarına ve çoğu durumda idari seviyede erişim ayrıcalığı kazanmalarına yol açtı.”
5. Gerçek Zamanlı Aygıt Sağlığını İzleme
Sahipsiz bırakılan cihazlarda, merkezi bir yönetim sunucusu ile kontrol edilebilen ve sağlık durumuyla ilgili rapor oluşturabilen yerleşik bir "kalp atışı" özelliği olmalıdır. Bu raporlama mekanizmasını, cihazlarınızı istilalara karşı gözlemlemek için kullanın.
Ayrıca, Ghazi “IoT cihazlarınızın trafiğini, olağan tavizleri veya istenmeyen trafiği ve aktiviteyi saptamak için gözlemleyin.” diye tavsiyelerde bulunuyor. Olağandışı trafik modelleri, IoT cihazına izinsiz erişim olduğuna dair bir işaret olabilir.
6. Ağınızı Bölümlere Ayırın
Kotian’a göre halihazırda birçok teknoloji ağı, hala kurumsal ağlara ve internete bağlanmak üzere tasarlanmadığından dolayı düz topoloji olarak uygulanıyor. Düz topolojilerin bir sürü güvenlik dezavantajı vardır, özellikle konu nesnelerin interneti olunca.
Güvenliğinizi geliştirmek için önemli bir anahtar, IoT uç noktaları etrafında bölgeler oluşturmanız ve iş gereksinimlerine dayalı olarak belirli güvenlik poliçeleri geliştirmektir. Bu, özellikle cihazlar bir işlem veya güvenlik açısından önemli bir sürecin parçası olduğunda daha da mühimdir.
Ghazi, “IoT cihazları mutlaka bölümlendirilmiş, kritik alt yapı veya hassas bilgiden ayrı bir ağ erişimine sahip olmalıdır”diye ekliyor.
7. İnsan Hatasına Karşı Hazırlıklı Olun
Son olarak, insan hatası firmalar için en hassas noktalardan biridir ve IoT da bir istisna değildir. Güvenlik, ihlallere kapı açabilecek insan hatasını en aza indirmek için, müşteri deneyimlerinden bir dokuyla örülmelidir. Bu veri şifreleme, güvenli önyükleme ve kimlik doğrulama gibi unsurların planlandığı gibi olmasını garanti etmekte önemli bir rol oynayan, otomatikleştirilmiş dijital sertifika konfigurasyonu ve dağıtımı kapsar.
“Otomasyon, otomasyon, otomasyon!” diye vurguluyor Stefonic. ”Diğer bir deyişle, insan hatasını hafifletmek için senaryo ve araçlar kullanın.”
Nesnelerin interneti ile ilgili standartlar hala tartışılıyor, cihazların sevkiyatı hızlı ve yeterli güvenlik önlemleri olmadan yapılıyor ve dahası birçok BT departmanı potansiyel güvenlik açıklarının farkında değiller. Bu nedenle, işletmeler IoT güvenliği meselesiyle doğrudan karşı karşıya ve proaktif bir duruş sergilemekle yükümlüler. Sıraladığımız bu yedi güvenlik anahtarı da, proaktif güvenlik duruşunun parçasıdır.
Sizler de nesnelerin interneti konusunda karşılaşılabilecek güvenlik sorunları ve çözümleri ile ilgili yorumlarınızı bizimle paylaşabilirsiniz.
Bu yazıyı okuyanlar, bunları da okudu;
Blok Zinciri ile Nesnelerin İnterneti İçin Güvenli Bir Model
Hacklenen Nesnelerin İnterneti (Internet of Hacked Things) Nedir?
Li-Fi Nedir, Yoksa Wi-Fi’ın Yerini mi Alacak?
