در دهه گذشته، ransomware (باج‌افزار) از یک تهدید کوچک‌مقیاس که کامپیوترهای شخصی را هدف قرار می‌داد، به یک خطر سیستمی تبدیل شده است که زیرساخت‌های حیاتی، کارخانه‌های هوشمند و دستگاه‌های متصل را تحت تأثیر قرار می‌دهد.

در سال ۲۰۱۵، FBI حدود ۲۴۰۰ شکایت مربوط به باج‌افزار دریافت کرد که منجر به خسارت‌هایی بیش از ۲۴ میلیون دلار شد. در همان سال، تخمین‌های گسترده‌تر، خسارت باج‌افزار را حدود ۳۰۰ میلیون دلار برآورد کردند. تا سال ۲۰۱۷، مقیاس گسترش یافته بود و تخمین خسارت‌ها به ۵ میلیارد دلار رسید. حالا به سال ۲۰۲۱ برسیم: خسارت‌های باج‌افزار به سازمان‌ها حدود ۲۰ میلیارد دلار تخمین زده شد و حملات تقریباً هر ۱۱ ثانیه رخ می‌داد.

امروز، پیش‌بینی‌ها از افزایش شدید خبر می‌دهند: خسارت جهانی باج‌افزار ممکن است در سال ۲۰۲۶ به ۵۷ میلیارد دلار برسد و تا سال ۲۰۳۱، هزینه‌ها سالانه بیش از ۲۷۵ میلیارد دلار شود. در عین حال، در سال ۲۰۲۵، میانگین هزینه هر حمله ۱۷ درصد افزایش یافته است.

دستگاه‌های متصل به ویژه آسیب‌پذیر هستند: بسیاری از آن‌ها امنیت داخلی ندارند، روی firmware قدیمی کار می‌کنند یا بدون segmentation مستقر شده‌اند. وقتی این نقاط انتهایی (endpoints) آلوده شوند، می‌توانند به مهاجمان دسترسی مستقیم به شبکه‌های صنعتی بدهند یا به عنوان مسیر حرکت جانبی به دارایی‌های باارزش عمل کنند.

بیایید ببینیم چگونه تولیدکنندگان، اپراتورهای شهرهای هوشمند و ارائه‌دهندگان خدمات IoT می‌توانند تاب‌آوری خود را تقویت کنند تا باج‌افزار نتواند از ضعیف‌ترین حلقه‌های آن‌ها سوءاستفاده کند.

درک چگونگی هدف قرار دادن باج‌افزار سیستم‌های IoT و Edge

حملات باج‌افزار سنتی بر رمزگذاری سیستم‌های IT تمرکز دارند. در مقابل، حملات علیه محیط‌های IoT و OT اغلب هدف اختلال در عملیات را دنبال می‌کنند؛ مانند متوقف کردن خطوط تولید، غیرفعال کردن سنسورها یا خراب کردن داده‌های تله‌متری.

یک کمپین باج‌افزار معمولی به این شکل پیش می‌رود:

۱. شناسایی (Reconnaissance): مهاجمان دستگاه‌های هوشمند در معرض دید، APIها یا MQTT brokers را اسکن می‌کنند و اغلب دستگاه‌های قدیمی با firmware بدون پچ را شناسایی می‌کنند.

۲. دسترسی اولیه (Initial Access): نفوذ از طریق اعتبارنامه‌های ضعیف، gatewayهای edge نادرست پیکربندی‌شده یا ایمیل‌های phishing رخ می‌دهد که لپ‌تاپ‌های مهندسی را آلوده می‌کند و بعداً به شبکه‌های OT متصل می‌شوند.

۳. حرکت جانبی (Lateral Movement): پس از ورود، مهاجمان از نقاط انتهایی IoT به سیستم‌های نظارتی pivot می‌کنند و از معماری‌های شبکه flat سوءاستفاده می‌کنند.

۴. افزایش امتیاز و تأثیر (Privilege Escalation and Impact): هکرها ممکن است سرورهای پیکربندی را رمزگذاری کنند، PLCها یا gatewayها را غیرفعال کنند و برای بازگرداندن کنترل، باج مطالبه کنند؛ گاهی نیز تهدید به افشای داده‌های تله‌متری یا عملیاتی می‌کنند.

حوادث اخیر نشان می‌دهد که اپراتورهای باج‌افزار به طور فزاینده‌ای از اتوماسیون و AI برای سرعت بخشیدن به شناسایی و استقرار payload در سیستم‌های edge توزیع‌شده استفاده می‌کنند، از جمله بهره‌برداری از AI برای تولید deepfakes قانع‌کننده در فیشینگ.

دفاع از باج‌افزار IoT: ۵ استراتژی برای تاب‌آوری پایدار پس از ۲۰۲۶

مهاجمان باج‌افزار زمان زیادی برای آماده‌سازی دارند و از همه بردارهای حمله، از social engineering تا بهره‌برداری از آسیب‌پذیری‌های zero-day استفاده می‌کنند. بنابراین، سیستم حفاظتی باید جامع و لایه‌لایه باشد.

گام ۱: تشکیل تیم و تخصیص نقش‌ها

امنیت IoT نمی‌تواند فقط به تیم‌های IT وابسته باشد. اکثر سازمان‌ها با کمبود متخصصان امنیت سایبری ماهر، به ویژه در سطوح متوسط، مواجه هستند. مهندسان، توسعه‌دهندگان و متخصصان امنیت را گرد هم آورید تا موجودی دستگاه‌ها، وابستگی‌های firmware، نقاط دسترسی احتمالی و فرآیندهای remediation را نقشه‌برداری کنید. آموزش امنیتی اضافی برای همه اعضای تیم ارائه دهید و نقش‌های کاملاً تعریف‌شده تخصیص دهید. همه افراد درگیر باید بردارهای تهدید فعلی و روش‌هایی که مهاجمان برای نفوذ به زیرساخت‌های متصل استفاده می‌کنند را بفهمند.

گام ۲: انجام ممیزی‌های منظم

در طول ممیزی امنیتی، تیم‌ها اتصالات شبکه غیرمجاز یا قدیمی، پورت‌های باز غیرضروری، خدمات منسوخ و حساب‌های فعال که دیگر لازم نیستند را شناسایی می‌کنند.

اهداف اصلی ممیزی عبارتند از:

  • نگهداری موجودی به‌روز از همه دارایی‌های متصل، از سنسورها تا gatewayها. فهرست‌برداری همه دارایی‌های شرکت برای ساخت و نگهداری نقشه شبکه به‌روز، شامل تعاملات بین خدمات، سیستم‌ها و کاربران.
  • تعیین اینکه کدام خدمات، APIهای دستگاه و رابط‌های مدیریت در معرض اینترنت قرار دارند و می‌توانند اسکن، بهره‌برداری یا به عنوان نقاط ورود استفاده شوند. اعتبار firmware و به‌روزرسانی‌های امضاشده را تأیید کنید.

فرمت ممیزی بسته به سطح بلوغ سازمان متفاوت است. شرکت‌های نوپا ممکن است با ممیزی داخلی شروع کنند، در حالی که سازمان‌های بالغ‌تر اغلب به سمت Penetration Testing یا تمرین‌های کامل Red Team حرکت می‌کنند.

گام ۳: مدل‌سازی تهدید و ارزیابی ریسک

پس از جمع‌آوری همه اطلاعات لازم دارایی‌ها، گام بعدی شناسایی منابع تهدید احتمالی و ساخت مدل مهاجم است. ضروری است بدانید که این مدل پویاست. می‌تواند با عوامل ذهنی مانند رشد شرکت یا تغییرات فرآیندهای کسب‌وکار، و همچنین عوامل عینی مانند تحولات سیاسی یا منطقه‌ای تکامل یابد. IoT معمولاً پیچیدگی اضافه می‌کند به دلیل فروشندگان مختلف، پروتکل‌ها و cadenceهای به‌روزرسانی – مسیرهای حمله را از سنسورهای متصل از طریق کنسول‌های مدیریت ابری مدل‌سازی کنید.

شناسایی آسیب‌پذیری فراتر از یافتن ضعف‌هاست. همچنین نیاز به اولویت‌بندی آن‌ها برای رفع دارد. آسیب‌پذیری‌های حیاتی‌ترین – آن‌هایی که سیستم‌های vital برای continuity کسب‌وکار را تحت تأثیر قرار می‌دهند – باید ابتدا رفع شوند؛ مثلاً سنسورهای دما که فرآیندهای تولید را کنترل می‌کنند یا کنترل‌کننده‌های smart-grid مرتبط با uptime.

گام ۴: ارزیابی اثربخشی کنترل‌های امنیتی

اکثر سازمان‌ها قبلاً اقدامات امنیتی خاص و safeguards معماری دارند. هنگام ارزیابی اثربخشی آن‌ها، دو سؤال کلیدی باید پرسیده شود:

  • اگر این ریسک محقق شود، تأثیر بر شرکت چه خواهد بود؟
  • آیا کنترل‌های امنیتی موجود برای کاهش این ریسک خاص کافی هستند؟

پاسخ به این سؤالات، همراه با نتایج ارزیابی کلی، کمک می‌کند تا تعیین شود آیا سازمان نیاز به سرمایه‌گذاری بیشتر در تقویت دفاع‌های خود در برابر تهدیدهای خاص IoT یا بردارهای حمله دارد.

گام ۵: مدیریت ریسک

تیم امنیت اطلاعات با توسعه برنامه و اجرای اقداماتی که زنجیره حمله را مختل یا جلوگیری می‌کنند، کاهش ریسک را آغاز می‌کند. تمرکز ابتدا روی ریسک‌های حیاتی‌ترین است و سپس به ریسک‌های کمتر شدید می‌رود. اقدامات خاص از شرکتی به شرکت دیگر متفاوت است، اما ممکن است شامل ایجاد برنامه مدیریت پچ ساخت‌یافته که firmware embedded و workloads containerized را پوشش دهد. از چارچوب‌هایی مانند NIST SP 800-82 و ISA/IEC 62443 استفاده کنید.

امنیت توسط طراحی: ساخت معماری IoT که در برابر باج‌افزار مقاوم است

AI اکنون تقریباً هر تصمیم معماری را شکل می‌دهد، اما ضروری است که اصول امنیت را از دست ندهیم. اقدامات امنیتی باید از مرحله طراحی زیرساخت IoT گنجانده شوند تا حملات باج‌افزار به طور قابل توجهی دشوارتر شوند.

توزیع زیرساخت در چندین سایت کمک می‌کند تا ریسک قطعی کامل سیستم کاهش یابد. ذخیره پشتیبان‌ها به طور جداگانه تضمین می‌کند که حتی اگر کنترل‌کننده‌های edge، gatewayها یا سرورهای مدیریت رمزگذاری شوند، در دسترس و functional باقی بمانند. segmentation شبکه همچنین دامنه مهاجم را محدود می‌کند و آسیب احتمالی را در segment آلوده‌شده مهار می‌کند به جای اجازه گسترش به کل سیستم.

استفاده از محیط‌های ایزوله (از طریق virtualization یا sandboxing) امکان تست امن نرم‌افزار و به‌روزرسانی‌ها را فراهم می‌کند. برای حفظ integrity، تصاویر container باید فقط از registries معتبر کشیده شوند. علاوه بر این، برای بالاترین سطح امنیت دستگاه، باید secure boot را اجباری کنید و code signing را پیاده‌سازی نمایید تا فقط firmware تأییدشده و digitally signed روی دستگاه‌ها اجرا شود.

اقدامات فنی: توصیه‌های امنیتی عملی

۱. خدمات را به طور امن با استفاده از Next-Generation Firewall (NGFW)، Intrusion Prevention System (IPS) و Web Application Firewall (WAF) منتشر کنید.

۲. دسترسی از راه دور را با VPN تجاری قوی محافظت کنید و Multi-Factor Authentication (MFA) را فعال نمایید.

۳. امنیت تصاویر container را اعتبارسنجی کنید و قبل از استقرار، آن‌ها را digitally sign کنید.

۴. کد منبع را برای آسیب‌پذیری‌ها با ابزارهای SAST، DAST و SCA اسکن کنید. این فرآیند را به firmware دستگاه و workloads ابری مرتبط گسترش دهید و آن‌ها را به طور سیستماتیک برای آسیب‌پذیری‌های شناخته‌شده اسکن کنید. امنیت تصاویر container را با اسکنرهای اختصاصی آسیب‌پذیری نظارت کنید تا از ورود اجزای آلوده به محیط تولید جلوگیری شود.

۵. پیکربندی‌ها را با CIS Benchmarks برای سیستم‌های IT harden کنید و baselineهای خاص OT/ICS را برای gatewayهای edge و سیستم‌های کنترل اعمال نمایید.

۶. امتیازهای admin را محدود کنید و Role-Based Access Control (RBAC) را برای نگهداری و مدیریت دستگاه اعمال نمایید.

۷. تصاویر container را digitally sign کنید تا integrity و authenticity تضمین شود.

۸. تله‌متری را از طریق پلتفرم‌های Security Information and Event Management (SIEM) که داده‌های IT و OT را یکپارچه می‌کنند، نظارت کنید.

اقدامات سازمانی: توصیه‌های امنیتی عملی

ممیزی‌های منظم کمک می‌کنند تا تغییرات غیرمجاز، اتصالات شبکه قدیمی، نرم‌افزار/firmware قدیمی و حساب‌های غیرضروری که به سرعت غیرفعال نشده‌اند، شناسایی شوند.

ارزیابی‌های ریسک به سازمان‌ها امکان می‌دهد تا به سرعت به تغییرات در چشم‌انداز امنیتی پاسخ دهند، رویکرد سیستماتیک به حفاظت از زیرساخت اتخاذ کنند، تهدیدهای احتمالی را رتبه‌بندی کنند و تلاش‌های کاهش را اولویت‌بندی نمایند.

به‌روزرسانی‌های سیستم و تغییرات پیکربندی باید با دقت پیاده‌سازی شوند تا آسیب‌پذیری‌های جدید معرفی نشود. همچنین ضروری است سیستم‌های end-of-life را مدیریت کنید، زیرا فروشندگان ممکن است پس از پایان پشتیبانی، به‌روزرسانی‌ها و پچ‌های امنیتی را متوقف کنند.

منبع: iotforall

اشتراک‌ها:
دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *