در دهه گذشته، ransomware (باجافزار) از یک تهدید کوچکمقیاس که کامپیوترهای شخصی را هدف قرار میداد، به یک خطر سیستمی تبدیل شده است که زیرساختهای حیاتی، کارخانههای هوشمند و دستگاههای متصل را تحت تأثیر قرار میدهد.
در سال ۲۰۱۵، FBI حدود ۲۴۰۰ شکایت مربوط به باجافزار دریافت کرد که منجر به خسارتهایی بیش از ۲۴ میلیون دلار شد. در همان سال، تخمینهای گستردهتر، خسارت باجافزار را حدود ۳۰۰ میلیون دلار برآورد کردند. تا سال ۲۰۱۷، مقیاس گسترش یافته بود و تخمین خسارتها به ۵ میلیارد دلار رسید. حالا به سال ۲۰۲۱ برسیم: خسارتهای باجافزار به سازمانها حدود ۲۰ میلیارد دلار تخمین زده شد و حملات تقریباً هر ۱۱ ثانیه رخ میداد.
امروز، پیشبینیها از افزایش شدید خبر میدهند: خسارت جهانی باجافزار ممکن است در سال ۲۰۲۶ به ۵۷ میلیارد دلار برسد و تا سال ۲۰۳۱، هزینهها سالانه بیش از ۲۷۵ میلیارد دلار شود. در عین حال، در سال ۲۰۲۵، میانگین هزینه هر حمله ۱۷ درصد افزایش یافته است.
دستگاههای متصل به ویژه آسیبپذیر هستند: بسیاری از آنها امنیت داخلی ندارند، روی firmware قدیمی کار میکنند یا بدون segmentation مستقر شدهاند. وقتی این نقاط انتهایی (endpoints) آلوده شوند، میتوانند به مهاجمان دسترسی مستقیم به شبکههای صنعتی بدهند یا به عنوان مسیر حرکت جانبی به داراییهای باارزش عمل کنند.
بیایید ببینیم چگونه تولیدکنندگان، اپراتورهای شهرهای هوشمند و ارائهدهندگان خدمات IoT میتوانند تابآوری خود را تقویت کنند تا باجافزار نتواند از ضعیفترین حلقههای آنها سوءاستفاده کند.
فهرست مطالب
- 1 درک چگونگی هدف قرار دادن باجافزار سیستمهای IoT و Edge
- 2 دفاع از باجافزار IoT: ۵ استراتژی برای تابآوری پایدار پس از ۲۰۲۶
- 3 گام ۱: تشکیل تیم و تخصیص نقشها
- 4 گام ۲: انجام ممیزیهای منظم
- 5 گام ۳: مدلسازی تهدید و ارزیابی ریسک
- 6 گام ۴: ارزیابی اثربخشی کنترلهای امنیتی
- 7 گام ۵: مدیریت ریسک
- 8 امنیت توسط طراحی: ساخت معماری IoT که در برابر باجافزار مقاوم است
- 9 اقدامات فنی: توصیههای امنیتی عملی
- 10 اقدامات سازمانی: توصیههای امنیتی عملی
درک چگونگی هدف قرار دادن باجافزار سیستمهای IoT و Edge
حملات باجافزار سنتی بر رمزگذاری سیستمهای IT تمرکز دارند. در مقابل، حملات علیه محیطهای IoT و OT اغلب هدف اختلال در عملیات را دنبال میکنند؛ مانند متوقف کردن خطوط تولید، غیرفعال کردن سنسورها یا خراب کردن دادههای تلهمتری.
یک کمپین باجافزار معمولی به این شکل پیش میرود:
۱. شناسایی (Reconnaissance): مهاجمان دستگاههای هوشمند در معرض دید، APIها یا MQTT brokers را اسکن میکنند و اغلب دستگاههای قدیمی با firmware بدون پچ را شناسایی میکنند.
۲. دسترسی اولیه (Initial Access): نفوذ از طریق اعتبارنامههای ضعیف، gatewayهای edge نادرست پیکربندیشده یا ایمیلهای phishing رخ میدهد که لپتاپهای مهندسی را آلوده میکند و بعداً به شبکههای OT متصل میشوند.
۳. حرکت جانبی (Lateral Movement): پس از ورود، مهاجمان از نقاط انتهایی IoT به سیستمهای نظارتی pivot میکنند و از معماریهای شبکه flat سوءاستفاده میکنند.
۴. افزایش امتیاز و تأثیر (Privilege Escalation and Impact): هکرها ممکن است سرورهای پیکربندی را رمزگذاری کنند، PLCها یا gatewayها را غیرفعال کنند و برای بازگرداندن کنترل، باج مطالبه کنند؛ گاهی نیز تهدید به افشای دادههای تلهمتری یا عملیاتی میکنند.
حوادث اخیر نشان میدهد که اپراتورهای باجافزار به طور فزایندهای از اتوماسیون و AI برای سرعت بخشیدن به شناسایی و استقرار payload در سیستمهای edge توزیعشده استفاده میکنند، از جمله بهرهبرداری از AI برای تولید deepfakes قانعکننده در فیشینگ.
دفاع از باجافزار IoT: ۵ استراتژی برای تابآوری پایدار پس از ۲۰۲۶
مهاجمان باجافزار زمان زیادی برای آمادهسازی دارند و از همه بردارهای حمله، از social engineering تا بهرهبرداری از آسیبپذیریهای zero-day استفاده میکنند. بنابراین، سیستم حفاظتی باید جامع و لایهلایه باشد.
گام ۱: تشکیل تیم و تخصیص نقشها
امنیت IoT نمیتواند فقط به تیمهای IT وابسته باشد. اکثر سازمانها با کمبود متخصصان امنیت سایبری ماهر، به ویژه در سطوح متوسط، مواجه هستند. مهندسان، توسعهدهندگان و متخصصان امنیت را گرد هم آورید تا موجودی دستگاهها، وابستگیهای firmware، نقاط دسترسی احتمالی و فرآیندهای remediation را نقشهبرداری کنید. آموزش امنیتی اضافی برای همه اعضای تیم ارائه دهید و نقشهای کاملاً تعریفشده تخصیص دهید. همه افراد درگیر باید بردارهای تهدید فعلی و روشهایی که مهاجمان برای نفوذ به زیرساختهای متصل استفاده میکنند را بفهمند.
گام ۲: انجام ممیزیهای منظم
در طول ممیزی امنیتی، تیمها اتصالات شبکه غیرمجاز یا قدیمی، پورتهای باز غیرضروری، خدمات منسوخ و حسابهای فعال که دیگر لازم نیستند را شناسایی میکنند.
اهداف اصلی ممیزی عبارتند از:
- نگهداری موجودی بهروز از همه داراییهای متصل، از سنسورها تا gatewayها. فهرستبرداری همه داراییهای شرکت برای ساخت و نگهداری نقشه شبکه بهروز، شامل تعاملات بین خدمات، سیستمها و کاربران.
- تعیین اینکه کدام خدمات، APIهای دستگاه و رابطهای مدیریت در معرض اینترنت قرار دارند و میتوانند اسکن، بهرهبرداری یا به عنوان نقاط ورود استفاده شوند. اعتبار firmware و بهروزرسانیهای امضاشده را تأیید کنید.
فرمت ممیزی بسته به سطح بلوغ سازمان متفاوت است. شرکتهای نوپا ممکن است با ممیزی داخلی شروع کنند، در حالی که سازمانهای بالغتر اغلب به سمت Penetration Testing یا تمرینهای کامل Red Team حرکت میکنند.
گام ۳: مدلسازی تهدید و ارزیابی ریسک
پس از جمعآوری همه اطلاعات لازم داراییها، گام بعدی شناسایی منابع تهدید احتمالی و ساخت مدل مهاجم است. ضروری است بدانید که این مدل پویاست. میتواند با عوامل ذهنی مانند رشد شرکت یا تغییرات فرآیندهای کسبوکار، و همچنین عوامل عینی مانند تحولات سیاسی یا منطقهای تکامل یابد. IoT معمولاً پیچیدگی اضافه میکند به دلیل فروشندگان مختلف، پروتکلها و cadenceهای بهروزرسانی – مسیرهای حمله را از سنسورهای متصل از طریق کنسولهای مدیریت ابری مدلسازی کنید.
شناسایی آسیبپذیری فراتر از یافتن ضعفهاست. همچنین نیاز به اولویتبندی آنها برای رفع دارد. آسیبپذیریهای حیاتیترین – آنهایی که سیستمهای vital برای continuity کسبوکار را تحت تأثیر قرار میدهند – باید ابتدا رفع شوند؛ مثلاً سنسورهای دما که فرآیندهای تولید را کنترل میکنند یا کنترلکنندههای smart-grid مرتبط با uptime.
گام ۴: ارزیابی اثربخشی کنترلهای امنیتی
اکثر سازمانها قبلاً اقدامات امنیتی خاص و safeguards معماری دارند. هنگام ارزیابی اثربخشی آنها، دو سؤال کلیدی باید پرسیده شود:
- اگر این ریسک محقق شود، تأثیر بر شرکت چه خواهد بود؟
- آیا کنترلهای امنیتی موجود برای کاهش این ریسک خاص کافی هستند؟
پاسخ به این سؤالات، همراه با نتایج ارزیابی کلی، کمک میکند تا تعیین شود آیا سازمان نیاز به سرمایهگذاری بیشتر در تقویت دفاعهای خود در برابر تهدیدهای خاص IoT یا بردارهای حمله دارد.
گام ۵: مدیریت ریسک
تیم امنیت اطلاعات با توسعه برنامه و اجرای اقداماتی که زنجیره حمله را مختل یا جلوگیری میکنند، کاهش ریسک را آغاز میکند. تمرکز ابتدا روی ریسکهای حیاتیترین است و سپس به ریسکهای کمتر شدید میرود. اقدامات خاص از شرکتی به شرکت دیگر متفاوت است، اما ممکن است شامل ایجاد برنامه مدیریت پچ ساختیافته که firmware embedded و workloads containerized را پوشش دهد. از چارچوبهایی مانند NIST SP 800-82 و ISA/IEC 62443 استفاده کنید.
امنیت توسط طراحی: ساخت معماری IoT که در برابر باجافزار مقاوم است
AI اکنون تقریباً هر تصمیم معماری را شکل میدهد، اما ضروری است که اصول امنیت را از دست ندهیم. اقدامات امنیتی باید از مرحله طراحی زیرساخت IoT گنجانده شوند تا حملات باجافزار به طور قابل توجهی دشوارتر شوند.
توزیع زیرساخت در چندین سایت کمک میکند تا ریسک قطعی کامل سیستم کاهش یابد. ذخیره پشتیبانها به طور جداگانه تضمین میکند که حتی اگر کنترلکنندههای edge، gatewayها یا سرورهای مدیریت رمزگذاری شوند، در دسترس و functional باقی بمانند. segmentation شبکه همچنین دامنه مهاجم را محدود میکند و آسیب احتمالی را در segment آلودهشده مهار میکند به جای اجازه گسترش به کل سیستم.
استفاده از محیطهای ایزوله (از طریق virtualization یا sandboxing) امکان تست امن نرمافزار و بهروزرسانیها را فراهم میکند. برای حفظ integrity، تصاویر container باید فقط از registries معتبر کشیده شوند. علاوه بر این، برای بالاترین سطح امنیت دستگاه، باید secure boot را اجباری کنید و code signing را پیادهسازی نمایید تا فقط firmware تأییدشده و digitally signed روی دستگاهها اجرا شود.
اقدامات فنی: توصیههای امنیتی عملی
۱. خدمات را به طور امن با استفاده از Next-Generation Firewall (NGFW)، Intrusion Prevention System (IPS) و Web Application Firewall (WAF) منتشر کنید.
۲. دسترسی از راه دور را با VPN تجاری قوی محافظت کنید و Multi-Factor Authentication (MFA) را فعال نمایید.
۳. امنیت تصاویر container را اعتبارسنجی کنید و قبل از استقرار، آنها را digitally sign کنید.
۴. کد منبع را برای آسیبپذیریها با ابزارهای SAST، DAST و SCA اسکن کنید. این فرآیند را به firmware دستگاه و workloads ابری مرتبط گسترش دهید و آنها را به طور سیستماتیک برای آسیبپذیریهای شناختهشده اسکن کنید. امنیت تصاویر container را با اسکنرهای اختصاصی آسیبپذیری نظارت کنید تا از ورود اجزای آلوده به محیط تولید جلوگیری شود.
۵. پیکربندیها را با CIS Benchmarks برای سیستمهای IT harden کنید و baselineهای خاص OT/ICS را برای gatewayهای edge و سیستمهای کنترل اعمال نمایید.
۶. امتیازهای admin را محدود کنید و Role-Based Access Control (RBAC) را برای نگهداری و مدیریت دستگاه اعمال نمایید.
۷. تصاویر container را digitally sign کنید تا integrity و authenticity تضمین شود.
۸. تلهمتری را از طریق پلتفرمهای Security Information and Event Management (SIEM) که دادههای IT و OT را یکپارچه میکنند، نظارت کنید.
اقدامات سازمانی: توصیههای امنیتی عملی
ممیزیهای منظم کمک میکنند تا تغییرات غیرمجاز، اتصالات شبکه قدیمی، نرمافزار/firmware قدیمی و حسابهای غیرضروری که به سرعت غیرفعال نشدهاند، شناسایی شوند.
ارزیابیهای ریسک به سازمانها امکان میدهد تا به سرعت به تغییرات در چشمانداز امنیتی پاسخ دهند، رویکرد سیستماتیک به حفاظت از زیرساخت اتخاذ کنند، تهدیدهای احتمالی را رتبهبندی کنند و تلاشهای کاهش را اولویتبندی نمایند.
بهروزرسانیهای سیستم و تغییرات پیکربندی باید با دقت پیادهسازی شوند تا آسیبپذیریهای جدید معرفی نشود. همچنین ضروری است سیستمهای end-of-life را مدیریت کنید، زیرا فروشندگان ممکن است پس از پایان پشتیبانی، بهروزرسانیها و پچهای امنیتی را متوقف کنند.
منبع: iotforall
