Güvenlik tuzakları: Endüstriyel kullanımdaki eski ve unutulmuş IoT cihazları. Yedi yıllık güvenlik açıkları hâlâ güncel ve yamalanmamış durumda. ESET'ten güvenlik uzmanı Thomas Uhlemann'dan bir yorum.
Nesnelerin İnterneti (IoT), Alman endüstrisinde uzun süredir kurulmuştur. Bir Statista anketine göre, ankete katılan tüm şirketlerin üçte ikisi zaten Endüstri 4.0 uygulamalarını kullanıyor. Ancak operatörler, cihazların BT güvenliğini o kadar ciddiye almıyor gibi görünüyor: Güvenlik uzmanı Thomas Uhlemann, bilgisayar korsanlarının yedi yıl veya daha uzun süredir bilinen güvenlik açıklarından yararlanarak başarılı oldukları gerçeğiyle ilgili başka bir açıklamaya sahip değil. Aslında, IoT cihazları için ESET'in ilk 10 güvenlik açığının tümü 2015-2012 arasındaki sızıntılardır.
Yamasız: IoT'de asırlık sızıntılar
“Nesnelerin İnterneti, şirketlere hayal bile edilemeyecek yeni olanaklar sunuyor. Ancak bilinen güvenlik açıklarını yıllarca düzeltmezseniz, istediğinizden daha fazlasını kaybetme riskini alırsınız" diyor ESET Almanya Güvenlik Uzmanı Uhlemann. "Üstelik, Fritz!Fax gibi modası geçmiş BT gazileri, muhtemelen yama yapılmadan hala kullanılıyor. Yalnızca Almanya'da 3 milyondan fazlası hala aktif olarak kullanılıyor.”
Ancak cihazların korunması genellikle arzulanan çok şey bırakır. Erişimlerine bir kullanıcı adı ve parola kombinasyonuyla erişilebilir - modern çok faktörlü kimlik doğrulamanın izi yoktur. Buradaki en kötü kimlik doğrulamalarından kimin kim olduğuyla karşılaştığınızda gerçekten endişe verici hale geliyor:
“Dünya çapındaki bilgisayar korsanı saldırılarının mevcut başarılarıyla, sıfır güven güvenliği günün emri olmalıdır. Bu nedenle her güvenlik açığı, özellikle IoT cihazlarındakiler acilen kapatılmalıdır", diye öneriyor Thomas Uhlemann.
Özel hata grupları
Temel olarak, uzman, Nesnelerin İnterneti kullanımını bu kadar sorunlu hale getiren dört ciddi hata grubu görüyor:
- IoT cihazlarının tasarımında halihazırda bulunan güvenlik sorunları
- İnsanlar tarafından yanlış kullanım veya kurulum
- Güvenlik ve veri koruma yasası açısından şüpheli uygulamaların kullanımı
- Cihazdan internete istenmeyen veya fark edilmeyen veri aktarımları
“Olası güvenlik sızıntıları dışında birçok endüstriyel IoT cihazı zamanla tehlikeli hale geliyor. Çünkü hizmet ömürleri yıllarca veya on yıllarca tasarlanmıştır - ve ne yazık ki güvenlik açısından çok şey olur. Bu bakımdan her şirket, bu cihazları aktif ağda internete bağlayıp bağlamayacağını ve nasıl bağlayacağını dikkatlice düşünmelidir” diyor BT uzmanı. Bunun en sevdiği örneği, yaygın olarak kullanılan web kamerasıdır. Bu, büyük ölçekli üretim operasyonlarında kullanılmasa da, uzun hizmet ömrüne sahip cihazların simgesidir. Birçoğu hala şirketten internete canlı videolar aktarıyor - belki de unutmuş bile. Üzerine tıklamak sizi genellikle kameraların yönetici arayüzüne götürür. Siz giriş yapmak istemeseniz bile saldırgan, genel IP adresi veya kameranın hangi ağ segmentinde yer alıp almadığı gibi değerli bilgileri öğrenir.
Unutulan cihazlar bir güvenlik riskidir
Kısacası: Unutulan veya envantere alınmayan cihazlar büyük bir güvenlik riski oluşturur. Bu arada, bu, projeler iptal edildiğinde veya şirketler satıldığında çok sık olur. Sonra bu ekipman arka plana çekilir ve ancak daha sonra bir saatli güvenlik bombası olur.
Şirketler, IoT cihazlarıyla uğraşırken bunu dikkate almalıdır:
- Envanter yazılımını kullanın
- Ağ segmentlerini kullan
- Güvenli erişim kullan
- Sensörler, aktüatörler ve benzerleri, sunucular ve PC'ler kadar önemlidir
- Güncelle, güncelle, güncelle
- Tasarımda güvenlik
- Ek koruma yazılımı kullanın
Güvenlik blogunda uzman ayrıca hangi tehlikelerin pusuda beklediğini, şirketlerin nelerin farkında olması gerektiğini ve kendilerine nasıl yardımcı olabileceklerini açıklıyor.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.