Kötü Amaçlı Yazılımdan Koruma Test Standartları Organizasyonu (AMTSO), IoT güvenlik çözümlerinin etkinliğini test etmek için önerilen yayın standartlarının bir listesini açıkladı.
AMTSO’nun yönergeleri kuruluşların hangi araçların en etkili ve çevrelerine en uygun olduğunu değerlendirmelerine yardımcı olmayı amaçlamaktadır. Belge altı temel alanı özetlemektedir:
Delinea’nın siber güvenlik savunucusu Tony Goulding, IoT cihazlarında çok fazla çeşitlilik olduğunu ve bu da güvenliğe tek boyutlu bir yaklaşım oluşturmayı zorlaştırdığını söylüyor. Bazı cihazlarda bilgi işlem kapasitesi yoktur ve cihazlara güvenlik aracıları veya istemcileri yerleştirememek, merkezi ve tutarlı bir güvenlik ilkeleri kümesinin uygulanmasını zorlaştırır.
“Tehdit aktörleri bunu fark ediyor ve bu cihazların kötü amaçlı yazılımlara karşı özellikle savunmasız olduğu gerçeğinden yararlanıyor” diyor. “Güvenlik topluluğu olarak, rakiplere altyapımıza yasa dışı erişim sağlayarak veri ihlaline, fidye yazılımı saldırısına veya kritik OT altyapısını çevrimdışına almasına neden olabilecek saldırı vektörlerini ortadan kaldırmak veya boğmak için çalışıyoruz.”
Goulding, PCI, HIPAA ve SOX gibi endüstri düzenlemelerinin, geleneksel BT ortamlarında hassas verilere ve sistemlere erişimi korumak için güvenlik ve gizlilik yönergelerine odaklandığını söylüyor. Kuruluşlar, ürünlerinde bu tür risklerin azaltılmasına yardımcı olmak için bu tür testlerden geçen satıcıların IoT ürünlerine öncelik vermelidir.
“Benzer şekilde, hassas ortamlarda kullanılan IoT cihazlarına erişimi korumak önemlidir” diyor. “Eşdeğer bir düzenleme seti olmadan, AMTSO yönergeleri, IoT satıcılarının ürünlerinin saldırıları tespit etme ve önleme yeteneklerini test etmelerine yardımcı olmak için doğru yönde atılmış bir adımı temsil ediyor.”
Viakoo CEO’su Bud Broomhead, birçok siber suçlunun giriş noktası olarak IoT cihazlarını hedeflediklerini çünkü bu cihazların kurumsal ağlar içinde yatay hareketi mümkün kıldığını söylüyor. Güvenlik açığı bulunan IoT cihazlarının güvenliği işletmeler için kritik öneme sahip olsa da, IoT cihazlarının güvenlik açıklarını yamalamak, ürün yazılımı ve dijital sertifikaları güncellemek veya yerleşik parolaları değiştirmek için genellikle otomatik yöntemlerden yoksun olduğu gerçeği devam etmektedir.
“İhlal edilen IoT cihazları, fidye yazılımı, veri kaybı, bir belediye su kaynağındaki kimyasal dengeyi değiştirmek, gerçek kamera görüntülerini derin sahte görüntülerle değiştirmek veya ulaşım sistemlerini bozmak gibi yıkıcı etkilere sahip” diyor.
Cihazlar çok dağıtılmış ve genellikle farklı marka ve modellere sahip olduğundan, kameralar, kiosklar, interkomlar ve diğer ekipmanlar için birden fazla konumda cihaz güvenliğini manuel olarak yönetmek, büyük ölçekte gerçekleştirmek çok zor olabilir.
Goulding, önerilen yönergelerin doğru yönde atılmış bir adım olmasına rağmen, geniş çapta uygulanan daha fazla ve daha güçlü standartların gerekli olduğunu söylüyor. Avrupa’nın ETSI EN 303 645’i ve Kaliforniya’nın “Bağlı Cihazların Güvenliği” yasasıyla bazı ilerlemeler var. ABD’deki NIST, tüketici IoT cihazlarının siber güvenlik etiketlemesi için pilot programlara sahiptir.
Goulding, “O zamana kadar satıcılar ve sanayi sektörleri farklı önceliklere sahip olacak” diyor.
siber-1