Temellere Geri Dönüyoruz: Neden Daha Güvenli IoT Geliştirme Sürecini Teşvik Etmeliyiz
06.06.2018Nesnelerin İnterneti (IoT), çalışma ve yaşama şeklimizi radikal olarak yeniden şekillendiriyor. Gözlerimizin önünde kurumlar daha çevik, verimli ve uygun maliyetli hale geliyor.
Nesnelerin İnterneti (IoT), çalışma ve yaşama şeklimizi radikal olarak yeniden şekillendiriyor. Gözlerimizin önünde kurumlar daha çevik, verimli ve uygun maliyetli hale geliyor. Biz müşteriler ise akıllı evlerin, fitness takipçilerinin ve bağlı arabaların yarattığı harikalar karşısında hayrete düşüyoruz. Ancak önemli bir sorun var: Bu yeni alt yapının büyük çoğunluğu saldırıya ve kötü kullanıma açık. Güvenliğini sağlamak, tüm ekosistem paydaşlarını içeren çok katmanlı çabaları içerecek.Ama bu süreç, ürünlerin kendisini üretmekle başlıyor.
Bu nedenle, IoT üreticilerinin ilk adımdan itibaren güvenlik tehditlerine karşı mücadele etmelerinin yardımcı olmak adına, savunmasızlık araştırmaları kapsamında, endüstri lideri uzmanlık çerçevesinde, yeni bir program tasarladık ve sunduk.
Tehditler Her Yerde
IoT güvenlik sorunları, ilk olarak 2016 yılında Mirai botnet kullanıcı farkındalığıyla ortaya çıktı. Saldırganlar, fabrikanın varsayılan bilgilerini tarayıp giriş yaparak binlerce cihazın kontrolünü kolay bir şekilde ele geçirdi. Ortaya çıkan botnet ise şimdiye kadar görülmüş en büyük Dağıtılmış Hizmet Engelleme (DDoS) saldırısını düzenlemek için kullanıldı ve internet üzerinde en önemli oyuncularından bazılarını geçici olarak devre dışı bıraktı. Açığa çıkma tehdidi hala sürüyor. FBI son zamanlarda yönlendirici, kablosuz radyo, Raspberry Pi, IP kameraları, DVR, NAS cihazları ve akıllı garaj kapılarıyla ilgili uyarılar yayınlıyor.
FBI bulguları, bu gibi cihazların saldırıları, tıklama sahteciliklerini, spam kampanyalarını ve daha fazlasını yapmak için botnetlere yüklenebileceğini ve zararlı trafik kaynağının düzenlemek için kullanılabileceğini gösteriyor. Ama kurumsal düzlemde daha fazla tehdit var: Güvensiz son noktalar, veri çalma baskınlarında kurumsal ağa sızmak veya işletme süreçlerini ve fabrika çıktılarını bozmak için sabotaj yapmada kullanılabilir.
Normalde, ürünlerde savunmasız noktalar keşfedersek, kurumlara yama yapmalarını öneriyoruz. Ama söz konusu IoT cihazları olunca durum daha da sorunlu oluyor. Tipik IoT üreticisi, yazılım geliştirme konusunda uzmanlaşmış olmayabilir. Bu nedenle yazılım güncelleme mekanizması olmayabilir. Eğer yamalar çıkarılsa bile, son kullanıcının bu yamayı uygulaması zor olabilir. Bu durum özellikle, kritik görev ortamlarında kapama yapamayacakları, binlerce IoT uç noktası çalıştıran büyük kurumlar için geçerli. İşletme sahipleri bunları belirli göreveler için satın aldıysa birçoğu IT bilgisine sahip olmadan çalışabilir.
Trend Micro Araştırma farkı
Siber güvenlikte iyi anlaşılan bir kural var: Bir sorunu geliştirme aşamasında çözmek, fabrikayı terk ettikten sonra çözmekten daha ucuz ve etkilidir. Bu durum, üretim hattından çıktıktan sonra düzeltilemeyecek IoT cihazları için oldukça geçerlidir
Bu nedenle IoT üreticilerinin Trend Mikro Araştırması ve Sıfırıncı Gün Girişimi (ZDI) uzmanlığına ve deneyimlerine güvenmesini istiyoruz. ZDI, 13 yıldır güvenliği geliştiriyor ve günümüzde, programa katkıda bulunan 3.500 harici araştırmacıyla birlikte, dünyanın en büyük satıcı tarafı agnostoik bug ödül programına sahip. ZDI satıcılara, savunmasızlık açıklama süreci geliştirme ve yazılım kusurlarına yama yapma konusunda kılavuzluk ve en iyi uygulama çalışmalarını sunuyor. Sonuçta, düzeltme planı olmadan bug bulmanın bir anlamı yok.
ZDI’nin ötesinde IoT üreticilerini, ürünlerini bize test için göndermesini ve Trend Mikro Araştırmada yer alan diğer uzmanlar tarafından test edilerek güvenliğin daha da arttırılmasını sağlamaya davet ediyoruz. Böylelikle, pazara çıkmadan önce IoT satıcının, ürünlerinin potansiyel savunmasız yanlarını belirlemesine yardımcı olabiliriz.
Bu durum güvenlik endüstrisi, üreticiler, telekomünikasyon operatörleri, geliştiriciler, standart kuruluşları ve yasa yapıcıları da içeren evrensel çabalar için sadece küçük bir adım. Yine de dayanıklı ve güvenli ürünler üretmeyi teşvik ederek ilk olarak temel hakları elde etmek oldukça önemli.
Bu nedenle eğer artan rekabete sahip bu pazarda güvenlik konusunda farklılaşmak isteyen bir cihaz üreticisiyseniz, Trend Mikro’nun nasıl yardım edebileceğini görmek için hemen iletişime geçin.