التنبؤات: تأمين وحماية الإنترنت من الأشياء

في تقريرنا حول التنبؤات المهمة لعام 2014 ، نظرنا في أهداف جديدة للهجمات ، وصعود الإنترنت الوطني ، وأمن المحمول ، والمدفوعات عبر الإنترنت. كانت إمكانية أن يستهدف المهاجمون "Internet of Things" ثاني التنبؤ الأكثر شيوعًا بين خبراء الأمن ، بعد أمن الهاتف المحمول. حتى أن سيمانتك أطلق عليها اسم "إنترنت الأشياء" كـ "إنترنت نقاط الضعف".

يشير Internet of Things إلى كيفية حصول الأجهزة الإلكترونية الاستهلاكية على عنوان IP ويمكن التحكم فيه عن بُعد. تعد الثلاجات الذكية وأنظمة الحرارة المنزلية وأجهزة التلفزيون الذكية وأجهزة التخزين والأجهزة الطبية والسيارات وأجهزة الاستشعار على الشبكة الكهربائية وآلات التمرين وحتى فتحات أبواب الجراجات مجرد عينة صغيرة من إنترنت الأشياء.

الهجمات قادمة

قال Andreas Baumhof ، CTO لدى ThreatMetrix إنه بينما لا تزال في المراحل المبكرة ، فبمجرد العام المقبل ستنتقل الثلاجات الذكية والأقفال وأجهزة الحرارة إلى التيار الرئيسي. لا يختلف إنترنت الأشياء اختلافًا كبيرًا عن الأنواع الأخرى من الأنشطة عبر الإنترنت ؛ وقال إن المهاجمين الإلكترونيين سيكونون قادرين على خطف الشبكة اللاسلكية أو استغلال ثغرة أمنية لمهاجمة الشبكة أو سرقة المعلومات الشخصية.

لقد رأينا بعض الأمثلة للهجمات المحتملة في العديد من مشاريع إثبات المفاهيم في Black Hat وغيرها من المؤتمرات في جميع أنحاء البلاد. أظهر باحث من Qualys كيف كان من الممكن استغلال الثغرات الأمنية في واجهة المستخدم لكاميرات D-Link IP لاختطاف الكاميرات وتغذية الصور. أظهر الراحل بارنابي جاك كيفية اختراق مضخة الأنسولين قبل بضع سنوات ، وكان من المقرر أن يناقش المخاطر التي يتعرض لها منظمو ضربات القلب في بلاك هات هذا العام. كشف نائب الرئيس السابق ديك تشيني في أكتوبر عن كيفية قيام الأطباء بتعطيل الاتصال اللاسلكي على جهاز تنظيم ضربات القلب بسبب مخاوف من أن يتمكن شخص ما من اختراق الجهاز.

ومع ذلك ، نادراً ما يفكر بائعي الأجهزة في الأمان - سواء كان ذلك لإصلاح الأخطاء في البرنامج المضمن أو معالجة المشكلات من جانب الجهاز - عند طرح أجهزة جديدة في السوق. وقال باحثون من Rapid7 إنه حتى عند تحديد المشكلات ، فإن المصنِّعين كثيرا ما يجرون أقدامهم حول تصحيح الثغرات الأمنية. كان عام 2013 عامًا كبيرًا للديدان وأشكال الاستغلال الأخرى لشبكة إنترنت الأشياء ، ومع انفجار معدل اعتماد هذه الأجهزة ، سنرى المزيد من أنواع الهجمات.

لدينا بعض الوقت ، على الرغم من. وقالت هوية الإنترنت إن الحوادث التي "يستغل فيها المتسللون الخبيثون من خلال حرق المنازل عن بُعد و / أو إيقاف تشغيل أنظمة الأمن عن بُعد للسماح للسطو بداخلها" ، ليس شيئًا ينبغي أن نتوقعه في عام 2014 ، ولكن في عام 2015 ، قال IID.

البحث ، إثبات المفاهيم

وقال جيرهارد إيشيلبيك ، CTO في سوفوس: "في الوقت الذي لا نتوقع فيه انتشار الهجمات على" إنترنت الأشياء "على نطاق واسع في عام 2014 ، فإننا نتوقع زيادة في نقاط الضعف المبلغ عنها واستغلال إثبات المفاهيم".

وقال ستيف دوربين ، نائب رئيس منتدى أمن الإنترنت ، إن التهديدات الأمنية واسعة و "مدمرة محتملة" ، ويجب على المؤسسات ضمان أن تلتزم التكنولوجيا لكل من المستهلكين والشركات بمعايير السلامة والأمن العالية. وقال دوربين "يجب أن يعود الأمر للشركات نفسها لمواصلة بناء الأمن من خلال التواصل وقابلية التشغيل البيني".

تدعو مجموعة صغيرة من خبراء الأمن المؤثرين الباحثين إلى تركيز طاقاتهم على هذه الأجهزة المتصلة والمعرضة للخطر مثل أجهزة ضبط نبضات القلب ومضخات الأنسولين والأنظمة الأخرى المدمجة. ترغب مجموعة "نحن الفرسان" في تثقيف عامة الناس حول القضايا الخطيرة الموجودة في هذه الأجهزة لأنها تضرب السوق دون أي اعتبار يذكر للأمن ، وجوش كورمان ، مدير الاستخبارات الأمنية في أكاماي وواحد من أخبر قادة المجموعة الحضور في مؤتمر OWASP AppSec USA في نوفمبر.

وقال نيك بيركوكو ، مدير KPMG وزعيم آخر للمجموعة ، في العرض التقديمي نفسه: "يتعلق الأمر بإجراء بحث حول أشياء مهمة وليس على أشياء لا تهمك بصراحة". وقال إنه إذا توفي شخص مصاب بجهاز تنظيم ضربات القلب ، فيجب أن يقوم شخص ما بعمل الطب الشرعي على جهاز تنظيم ضربات القلب. إذا لم يركز مجتمع البحث على هذه الأجهزة ونشر القضايا ، "كيف سنعرف كمجتمع أن هذه الأشياء بها عيوب؟" سأل.

وقال كورمان "دعونا نفعل الأمن الذي يهم ، ليس فقط وظائفنا اليومية. العالم الخارجي جزء من مجموعة الحلول. هذا أمن للصالح العام".