IoT Güvenlik Raporu 2022'de BT uzmanları, cihaz yazılımı için bir Malzeme Listesi (SBOM) talep ediyor: Endüstriyel kontroller, üretim ve akıllı ev bilgisayar korsanlarına karşı genellikle "yetersiz" korunuyor. Uzmanlar, kullanılan tüm yazılım bileşenlerinin kanıtını talep eder.
Şampuan, bisküvi, konserve çorba ve ilaçların ortak bir yanı vardır: paketteki tüm bileşenlerin listesi ve bunların, üreticiden her bir bileşenin üreticisine kadar izlenebilirliği. Yönlendiriciler, ağ kameraları, yazıcılar ve diğerleri gibi önemli akıllı endüstriyel kontroller, akıllı üretim sistemleri ve aygıtlar, ürün yazılımlarını doğrudan işletim sistemi ve uygulamalarla birlikte getirir - içerdiği yazılım bileşenlerinin kesin kanıtı olmadan. Bu genellikle, bu kontrolleri ve cihazları kullanan şirketlerde bilgisayar korsanları ve veri hırsızları tarafından büyük saldırı riskleri anlamına gelir.
Yönlendiriciler, ağlar ve Co'nun içinde neler var?
"IoT Güvenlik Raporu 2022" araştırmasının bir parçası olarak, ankete katılan BT endüstrisinden 75 uzmanın ve yöneticinin yüzde 318'i, "Yazılım Malzeme Listesi" (SBOM) olarak adlandırılan tüm yazılım bileşenlerinin hassas bir şekilde doğrulanmasından yana. bir uç noktanın içerdiği tüm yazılımlar dahil olmak üzere tüm bileşenleri çıkarın. "Son birkaç yıldaki araştırmalarımızın bir parçası olarak, bir ağa bağlı hemen hemen tüm cihazların aygıt yazılımında ve uygulamalarında az ya da çok gizli kusurları vardır, bu nedenle yazılım bileşenlerinin kesin bir açıklaması bir yazılım için son derece önemlidir. ONEKEY CEO'su (eski adıyla IoT Inspector) Jan Wendenburg, güvenlik düzeyini kontrol etmek ve sürdürmek için şirketin BT'sini kullanıyor. Şirket, kontrollerin, üretim sistemlerinin ve akıllı cihazların yazılımları için tam otomatik bir güvenlik ve uygunluk analizi geliştirerek bunu şirketler ve donanım üreticileri için kolay entegre edilebilir bir platform olarak kullanıma sunuyor.
Üreticiler güvenliği ihmal ediyor
Bu nedenle üreticilerin IoT cihazlarının korunmasına pek güvenmiyor: Ankete katılan 24 kişinin yüzde 318'ü bunu "yetersiz", yüzde 54'ü ise en fazla "kısmen yeterli" buluyor. Bilgisayar korsanları bu nedenle savunmasız cihazları uzun süredir izliyor ve bu eğilim artıyor. BT uzmanlarının yüzde 63'ü, bilgisayar korsanlarının zaten IoT cihazlarını ağlara açılan bir ağ geçidi olarak kullandığını doğruluyor. Özellikle şirketlerde IoT ile ilgili güvenlik önlemlerine olan güven düşük: 318 katılımcının yalnızca dörtte biri kendi BT departmanları tarafından tam güvenlik garantisi verildiğini düşünürken, yüzde 49'u bunu yalnızca "kısmen yeterli" olarak görüyor. 37 IoT Güvenlik Raporu için ankete katılan BT uzmanlarının yüzde 2022'si, normal PC istemcileri olmayan uç noktalarda zaten güvenlikle ilgili olaylar yaşadı.
Bağlantılı üretim riskleri artırıyor
“Ağa bağlı üretim genişlemeye devam ettikçe risk daha da artıyor. Genel olarak, ağa bağlı cihazların sayısının birkaç yıl içinde ikiye katlanması beklenebilir," diyor ONEKEY'den Jan Wendenburg. Cihaz üretici yazılımını kontrol etmek için otomatik analiz platformuna ek olarak, şirket aynı zamanda kendi test laboratuvarına sahiptir ve burada büyük üreticilerin donanımları test edilir ve güvenlik açığı raporları, sözde tavsiyeler düzenli olarak yayınlanır.
Şirketlerde belirsiz sorumluluklar
Diğer bir risk: Endüstriyel kontrol, üretim sistemleri ve diğer akıllı altyapı uç noktaları genellikle on yıldan uzun süredir kullanılmaktadır. Bununla birlikte, uyum stratejileri olmadan, şirkette genellikle güncelleme yönergeleri yoktur. Ek olarak, sorumlulukla ilgili genellikle çok net olmayan bir durum vardır: Ankete katılan 318 şirket temsilcisi arasında IoT güvenliğinden çok çeşitli kişiler ve departmanlar sorumludur. Spektrum, CTO'dan (yüzde 16) CIO'ya (yüzde 21), Risk ve Uyumluluk Yöneticisine (yüzde 22) ve BT Satın Alma Müdürüne (yüzde 26) kadar uzanıyor. Şirketlerin yüzde 21'inde IoT cihazlarının ve sistemlerinin satın alınmasını bile harici danışmanlar üstleniyor.
Öte yandan, yalnızca yüzde 23'ü en basit güvenlik denetimini gerçekleştiriyor - güvenlik açıkları için ürün yazılımının analizi ve testi. "Bu ihmalkarlık. Cihaz yazılımının incelenmesi birkaç dakika sürer, sonuç riskler ve bunların risk seviyelerine göre sınıflandırılması hakkında net bilgiler sağlar. Bu süreç, yönlendiriciden üretim makinesine uç noktaların kullanımından önce ve kullanım sırasında zorunlu programın bir parçası olmalıdır", diye özetliyor ONEKEY'den Jan Wendenburg.
Onekey.com'da daha fazlası[BİR ANAHTAR]