چالش های امنیتی و تهدیدات اینترنت اشیا یا IoT

0 56
۵/۵ - (۴ امتیاز)

دستگاه های اینترنت اشیا یا IoT روزبه روز در حال گسترش هستند. به گونه ای که احتمالا در آینده ی نزدیک به طور نسبتا کامل با شهر هوشمند و دولت های هوشمند مواجه خواهیم شد. اما یکی از بزرگترین نگرانی ها در این فضا، مسائل امنیتی است. در این مقاله به چالش های امنیتی و تهدیداتی که دستگاه های اینترنت اشیا با آن روبه رو هستند را بررسی خواهیم کرد.

 

فهرست

حفظ حریم خصوصی در اینترنت اشیا (IoT)

همان طور که در مقاله اینترنت اشیا (IoT) چیست؟ بیان شد، شبکه اینترنت اشیا شامل دستگاه های مختلفی است که با یکدیگر در حال تعامل هستند. این دستگاه ها برای انجام بسیاری از امور نیاز به اطلاعات کاربر داشته یا در حال نگهداری داده های بسیاری هستند که حفظ و امنیت آن ها برای مصرف کننده بسیار حائز اهمیت است. در بین تمام چالش های امنیتی که اینترنت اشیا با آن روبه رو است، حفظ حریم خصوصی جایگاه ویژه ای دارد. زیرا عدم اطمینان کاربر به چگونگی حفظ حریم خصوصی و نگرانی در رابطه با افشای اطلاعات سبب می شود تمایلی به استفاده از IoT نداشته باشد. از جمله مهم ترین نیازمندی های حفظ حریم خصوصی در اینترنت اشیا عبارتست از:

  • ایجاد پروتکل های امنیتی با قابلیت مخفی کردن اطلاعات شخصی و خصوصی
  • عدم امکان ردیابی دستگاه ها توسط دستگاه های غیرمرتبط دیگر
  • تنظیم پروتکل هایی به منظور جلوگیری از نشت اطلاعات و حفظ حریم شخصی
  • تنظیم قوانین به صورت مکتوب و واضح به منظور اطلاع رسانی کاربر در حین صدور مجوز
  • حفظ حریم خصوصی هنگام استفاده از دستگاه ها
  • حفظ حریم خصوصی با امکان استفاده از شرایط گمنامی برای دستگاه هایی که نیاز به اطلاعات هویتی ندارند
  • امکان حذف و پاک کردن کامل اطلاعات پس از استفاده کاربر به منظور جلوگیری از سواستفاده های احتمالی آینده

چالش های امنیتی اینترنت اشیا (IoT)

در اینترنت اشیا از دستگاه های مختلفی استفاده می شود که ممکن است با تکنولوژی های ارتباطی متفاوتی با یکدیگر در حال تعامل باشند. همین امر چالش های مختلفی را از نظر امنیتی به دنبال خواهد داشت. برخی از مهم ترین چالش ها عبارتند از:

  • نیاز به امن سازی دستگاه های متفاوت به دلیل استفاده از فناوری ها و دستگاه های متعدد که هر کدام آسیب پذیری های خاص خود را دارند
  • عدم امکان استفاده از مکانیزم های دفاعی متمرکز به دلیل قابلیت مقیاس پذیری و گسترده بودن دستگاه های IoT
  • متفاوت بودن نیازمندی های امنیتی دستگاه های مختلف به دلیل کاربرد متفاوت هرکدام در سطح کاربر، دولت و سازمان ها
  • افزایش میزان داده ها و اطلاعات و نیاز به مکانیزم امنیتی قوی برای جلوگیری از وقوع مشکل برای داده ها
  • نیاز به حفاظت در برابر حملاتی که سرویس دهی را دچار اختلال زمانی می کنند برای دستگاه هایی که به سرویس دهی حداقل تاخیر نیاز دارند
  • پیش بینی حملات سایبری به منظور جلوگیری از انجام یا وقوع آن ها روی دستگاه ها یا شبکه اینترنت اشیا

انواع حملات در اینترنت اشیا (IoT)

شبکه اینترنت اشیا از مولفه های مختلفی همچون دستگاه ها و انسان و پروتکل های ارتباطی تشکیل شده است. این مولفه ها باید  با کمک فرآیندهای امنیتی در مقابل حملات مختلف مقاوم باشند. به منظور آمادگی بیشتر برای مقابله و پیش بینی حملات مختلف، نیاز است با حملات مختلف در این زمینه آشنا شد. در ادامه به مهم ترین حملات ممکن در شبکه اینترنت اشیا خواهیم پرداخت.

حمله مبتنی بر میزبان یا Host Based Attack

در شبکه اینترنت اشیا، میزبان های مختلفی ممکن است وجود داشته باشند که هر کدام سطح امنیتی مخصوص به خود را دارند. وجود میزبان های مختلف که می توانند سخت افزار یا نرم افزارهای متفاوت باشند، امکان حمله مبتنی بر میزبان را افزایش می دهد. در این گونه از حملات، مهاجم آسیب پذیری های سخت افزار یا نرم افزار را شناسایی کرده و حمله خود را متناسب با آن انجام می دهد.

حمله جعل یا Spoofing Attack

همان طور که در مقاله اسپوفینگ (Spoofing) چیست؟ بیان شد، این حمله به معنای جعل کردن یک یا چند المان از یک ارتباط است به طوریکه کاملا قابل اعتماد و مشخص به نظر برسد. این حمله می تواند زمینه ساز بسیاری از حملات دیگر همچون حمله تکرار، حمله منع سرویس و … در IoT شود. در این حمله معمولا نقاط ورود اطلاعات بیشتر مورد توجه مهاجم قرار می گیرد.

حمله منع سرویس یا DoS Attack

این حمله یکی از رایج ترین حملات در اینترنت اشیا است که سبب منع دسترسی به دستگاه ها و برآورده کردن نیاز کاربران خواهدشد. در واقع کاربران با انجام این حمله به منابع و سرورها دسترسی نخواهند داشت. اگر این حمله به صورت توزیع شده انجام شود به آن منع سرویس توزیع شده یا DDoS Attack می گویند که در مقاله حمله DDoS یا دیداس چیست؟ به طور کامل به آن پرداخته شده است.

حمله Sybil

در این حمله مهاجم می تواند در یک زمان چند هویت داشته و امنیت و یکپارچگی داده ها را در شبکه اینترنت اشیا تهدید کند. در واقع مهاجم در عین داشتن هویت های متعدد سعی بر عادی نشان دادن موقعیت خود خواهدداشت. در این حمله، مهاجم سعی می کند رفتار عادی از خود نشان دهد و امنیت دستگاه ها را به خظر اندازد.

حمله مبتنی بر ویژگی دستگاه ها

در این حمله، مهاجم ویژگی های هر دستگاه در اینترنت اشیا مورد توجه قرار داده و با توجه به آن سعی می کند به گونه ای در پردازش یا توان محاسباتی و … دستگاه اختلال ایجاد کند یا با دادن اطلاعات و داده های اشتباه سبب گمراهی در کارکرد آن ها شود. ساختار این حملات بنا به خصوصیات دستگاه ها می تواند متفاوت باشد.

حمله وقفه یا Interruption Attack

در این حملات مهاجم سعی دارد دستگاه ها را از دسترس خارج کنند و شبکه IoT را دچار اختلال کنند. برای این کار مهاجم ممکن است راه های مختلفی را امتحان کند. به بیان بهتر هر روشی که سبب اختلال در کار دستگاه یا شبکه شود یا آن را از کار بیندازد، می تواند یک حمله وقفه باشد.

حمله مرد میانی یا Man-in-the-Middle Attack

در این حمله، همان طور که در مقاله حمله مرد میانی یا Man in the Middle چیست؟ بیان شد، مهاجم بین دستگاه های مختلف یا بین دستگاه و کاربر در شبکه IoT قرار گرفته و اطلاعاتی که در حال رد و بدل شدن هستند را با توجه به اهداف خود تغییر می دهند. برای این کار مهاجم باید بین دستگاه ها یا کاربر و دستگاه هایی که در حال تعامل و ارتباط هستند قرار گرفته و ارتباط را شنود می کند و به گونه ای رفتار می کند که کسی از خارج متوجه غیرقانونی بودن حضور او در این تعامل نشود.

حمله Fabrication

در این حمله مهاجم اقدام به جعل هویت شخص دیگری کرده و داده ها و اطلاعات نادرست را به عنوان آن شخص به اشتراک می گذارد. در واقع مهاجم اقدام به تولید پیام های ساختگی می کند و آن را به شخص دیگری نسبت می دهد. این کار سبب آشفتگی در شبکه IoT خواهد شد.

حمله سطح دسترسی یا Access Level Attack

هر دستگاه و هر کاربر در اینترنت اشیا سطح دسترسی مشخصی دارد. با این حمله ممکن است سطح دسترسی غیرمجاز پیدا کنند و به شیوه ای نامتعارف، اطلاعات حساس را به دست آورند. همچنین این حملات ممکن است مکانیزم های دسترسی اشتراکی به منابع را دچار اختلال کنند.

حمله به پایگاه داده IoT

حملات SQL Injection یا حملات دیگر همچون XSS به پایگاه داده اینترنت اشیا از جمله رایج ترین حملاتی هستند که توسط مهاجمان علیه دستگاه های IoT در حال انجام است. در واقع احراز هویت ضعیف یکی از عواملی است که می تواند سبب نفوذ به دستگاه ها و به خظر انداختن اطلاعات آن ها شود. در مقاله انواع آسیب پذیری های برنامه های تحت وب به طور کامل در رابطه با چگونگی این حملات توضیح دادیم.

حمله مبتنی بر پروتکل یا Protocol Based Attack

در این حمله مهاجم سعی در ایجاد اختلال در برخی از پروتکل های امنیتی به خصوص پروتکل های مربوط به حریم خصوصی در IoT دارد تا با کمک آن برخی از پروتکل های امنیتی را نقض کرده و عملیات مورد نظر خود را انجام دهد. برخی از این حملات با هدف شکستن پروتکل های رمزنگاری که برای انتقال داده ایمن بین دستگاه های اینترنت اشیا با یکدیگر یا با کاربر استفاده می شود، انجام می شوند.

دستگاه های اینترنت اشیا روز به روز در حال گسترش و متنوع شدن هستند. به همین دلیل گستردگی حملات تنها به موارد ذکرشده محدود نمی شود. این حملات برخی از مهم ترین و اصلی ترین حملاتی بودند که ممکن است اینترنت اشیا با آن مواجه شود.

راهکارهای افزایش امنیت اینترنت اشیا (IoT)

اگرچه چالش ها و تهدیدات امنیتی بسیاری برای اینترنت اشیا وجوددارد اما با ارائه و پیاده سازی راهکارهایی می توان آن ها را تا حد خوبی کاهش داد. برخی از این راهکارها عبارتند از:

  • استفاده از سیستم تجزیه و تحلیل و نظارت امنیتی به منظور نگهداری و شناسایی الگوهای استفاده شده و مقایسه آن با الگوهای جدید و تشخیص خرابکاری احتمالی و نشان دادن عکس العمل نسبت به آن
  • استفاده از سیستم احراز هویت دو طرفه به منظور اطمینان از اعتبار دستگاه هایی که به شبکه اینترنت اشیا متصل می شوند پیش از انتقال یا دریافت داده
  • استفاده از بوت امنیتی یا Secur boot که یک استاندارد امنیتی است و به منظور اطمینان از بوت شدن دستگاه با استفاده از نرم‌افزاری که مورد اعتماد سازنده تجهیزات اصلی (OEM) است، تهیه‌شده و سبب جلوگیری از حمله مرد میانی خواهدشد.

استاندارد جهانی امنیت اینترنت اشیا یا IoT

به دنبال فراگیرشدن استفاده از دستگاه های اینترنت اشیا و نگرانی از چالش های امنیتی آن ها، موسسه استاندارد ارتباطات اروپا (ETSI)، اولین نسخه از استاندارد جهانی برای امنیت سایبری در اینترنت اشیا با مشخصه TS 103645 را با هدف معرفی استانداردی پایه برای صدور گواهینامه های دستگاه های IoT، ارائه داد. این نسخه الزامات امنیتی را برای اجراکنندگان و ارائه دهندگان اینترنت اشیا ایجاد می کند. برای مثال طبق این استاندارد، در دستگاه های IoT امکان استفاده از رمزهای عبور پیش فرض که در جهان متداول است و سبب بسیاری از مسائل امنیتی خواهدشد، وجود نداشته باشد. همچنین باید ابزارهایی به منظور مدیریت گزارش های آسیب پذیری سیستم ها در نظر گرفته شود. این نسخه امنیتی همچنین ارائه دهندگان را ملزم به، به روزرسانی نرم افزارها و تضمین یکپارچگی آن ها به منظور اطمینان از حفظ اطلاعات شخصی و جلوگیری از حمله مهاجمان می کند. استاندارد معرفی شده، مقررات دیگری از جمله آسان کردن فرایند حذف اطلاعات شخصی توسط کاربران، نگهداری آسان و مناسب دستگاه ها، بررسی داده های تله متری و اعتبار دستگاه ها را نیز شامل می شود.

سخن پایانی

اینترنت اشیا اگرچه سبب تسهیل در انجام بسیاری از امور می شود اما چالش های امنیتی بسیاری به دلیل استفاده از پروتکل ها و دستگاه های مختلف می تواند به دنبال داشته باشد. به همین منظور شناسایی نقاط ضعف دستگاه ها و پروتکل ها و آشنایی با خطراتی که می تواند IoT را تهدید کند، می تواند در کاهش این چالش ها کمک کننده باشد. به همین منظور در این مقاله به چالش های امنیتی و خطراتی و حملاتی که IoT را تهدید می کند و هچنین راه های کاهش این خطرات پرداختیم.

درباره ما

آکادمی ترجنس | edu.thregence.ir
دوره‌های آکادمی ترجنس | courses.thregence.ir
اینستاگرام | instagram.com/thregence
تلگرام | t.me/thregence
یوتوب | https://bit.ly/30mGowo
آپارات | aparat.com/thregence

ارسال یک پاسخ