IoT, ‘geleceğimizi şekillendirebilecek bir şey’ olma aşamasını geçti. Günümüzü aktif olarak şekillendiriyor. IoT’nin kolaylaştırdığı gerçek zamanlı izleme, otomasyon ve iş akışlarının optimizasyonu için verilerin sorunsuz yönetimi birçok sektörde karşılık buldu. Farklı sektörlerde IoT kabulü ve uygulamaları her saniye artıyor. Günümüzde 10 milyardan fazla IoT cihazı var. Fitness, sağlık, telekomünikasyon ve perakende, IoT patlaması nedeniyle büyük dönüşüme öncülük ederek tanık olan endüstrilerden bazıları. 2020 raporuna göre , dünya çapında IoT harcamaları 2021’de %11,3’lük bir CAGR’ye sahip olacak.
IoT pazarının katlanarak büyümesiyle birlikte, güvenlik önemli bir endişe kaynağı olmaya devam ediyor. 2019 yılında IoT cihazlarının sadece %16’sı siber saldırılara maruz kalırken , 2020 yılında bu oran %33’e yükseldi . Artan saldırılar, güvenlik uyumluluğu eksikliğinin ve bilgisayar korsanlarının artan kabiliyetlerinin kanıtıdır.
Güvenlik eksikliği, gelişmiş bir veri aktarım ve yönetim sistemine sahip olmanın tüm amacını ortadan kaldırır ve operasyonel risklere ve finansal kayıplara yol açar. Bağlı IoT cihazlarından herhangi birine yapılacak bir saldırı, tüm ağın güvenliğini tehlikeye atabilir. Bu nedenle, IoT Üreticilerinin saldırıları engellemek ve tüm potansiyelini en üst düzeye çıkarmak için güvenlik odaklı bir yaklaşım benimsemesi gerekiyor.
Güvenli bir dijital ekosistemi teşvik etmeyi amaçlayan geniş çapta saygı duyulan Açık Web Uygulaması Güvenlik Projesi (OWASP), üreticilerin, işletmelerin ve tüketicilerin internet dünyasında gizlenen güvenlik tehditlerini daha iyi anlamalarına yardımcı olmak için OWASP IoT’nin Top 10 güvenlik açığını listeledi. Bu listenin ne olduğunu, IoT güvenliği için ne anlama geldiğini, daha güçlü güvenlik sağlamak için bu listeyle nasıl çalışabileceğimizi anlamamız ve bu klavuzu iyi değerlendirmemiz gereklidir.
OWASP IoT Top 10
OWASP IoT Top 10, sistemde bulunan güvenlik açıkları hakkında fikir veren çevrimiçi bir yayındır. Dünyanın dört bir yanındaki güvenlik uzmanları, mevcut durumu kapsamlı bir şekilde gözden geçirdikten sonra bu tehditleri toplu olarak belirlerler. Rapor, geliştiricileri ve işletmeleri, ürün piyasaya sürülmeden önce düzeltici ve önleyici önlemler almak ve güvenliği sıkılaştırmak için yaygın riskler ve güvenlik açıkları konusunda eğitmeyi amaçlıyor.
OWASP, siber saldırıları istismar kolaylığı, zafiyetlerin ciddiyeti, tespit edilebilirlik ve potansiyel etkilerin büyüklüğü bazında değerlendirerek Top 10 listesini hazırlıyor. İşte her üreticinin akıllı cihazlar oluşturmadan önce dikkate alması gereken güvenlik açıklarını listeleyen en son OWASP IoT Top 10’u.
1. Zayıf, tahmin edilebilir veya sabit konulmuş parolalar
Varsayılan parolaları zayıf olan IoT cihazları, siber saldırılara eğilimlidir. IoT cihaz üreticileri, cihazı başlatırken şifre ayarlarına dikkat etmelidir. Cihaz, kullanıcıların varsayılan şifreyi değiştirmesine izin vermiyor veya kullanıcılar değiştirebilseler bile değiştirmemeyi tercih ediyor. Ayrıca, bir cihaza yetkisiz erişim sağlamaya yönelik başarılı bir girişim sonrasında, IoT cihazları genellikle aynı varsayılan şifreleri paylaştığı için sistemdeki diğerlerinide savunmasız bırakacaktır.
2. Güvenli olmayan ağ hizmetleri
Cihaz içinde çalışan ağ hizmetleri, sistemin güvenliği ve bütünlüğü için bir tehdit oluşturabilir. Bunlar internete maruz kaldıklarında yetkisiz uzaktan erişime ve veri sızıntısına yol açar. Saldırganlar, ağ iletişim modelinde mevcut olan zayıflıklardan yararlanarak bir IoT uç noktasının güvenliğini başarıyla tehlikeye atabilir.
3. Güvensiz ekosistem arayüzleri
Web arayüzü, arka uç API, bulut ve cihazla sorunsuz kullanıcı etkileşimi sağlayan mobil arayüz gibi çeşitli arayüzler vardır. Ancak, uygun kimlik doğrulama eksikliği, zayıf şifreleme ve veri filtreleme, IoT cihazlarının güvenliğini olumsuz etkileyebilir.
4. Güvenli güncelleme mekanizmalarının olmaması
Cihazın güvenli bir şekilde güncelleme yapamaması, listedeki dördüncü güvenlik açığıdır. Ürün yazılımı doğrulaması olmaması, verilerin şifrelenmemiş aktarımı, geri alma önleme mekanizmalarının olmaması, güvenlik güncelleme bildirimlerinin olmaması, IoT cihazlarının güvenliğinin tehlikeye girmesinin nedenleridir.
5. Güvenli olmayan veya güncelliğini yitirmiş bileşenlerin kullanımı
Bu, kendisiyle ilişkili riskleri olan ve tüm sistemin güvenliğini tehdit eden üçüncü taraf donanım veya yazılımların kullanılması anlamına gelir. Endüstriyel nesnelerin interneti (IIoT), özellikle güncellenmesi ve bakımı zor olan sistemlerden olduğundan bu durumdan direk etkilenir. Bu tür güvenlik açıkları, bir saldırı başlatmak ve cihazın düzgün çalışmasını bozmak için kullanılabilir.
6. Yetersiz gizlilik koruması
IoT cihazlarının düzgün çalışması için kullanıcıların hassas bilgilerini saklaması ve saklaması gerekebilir. Ancak bu cihazlar, siber suçlular tarafından saldırıya uğradıklarında kritik verilerin sızmasına neden olan güvenli bir depolama sunamazlar. Cihazlara ek olarak, üreticinin veritabanları da saldırılara açıktır. Pasif gözlemcilerin de bilgi çıkarabileceği durumlar olduğu için, şifreli bir trafik hala tehditlere açık olabilir.
7. Güvensiz veri aktarımı ve depolama
İletim, işleme veya bekleme sırasında hassas verileri işlerken şifreleme eksikliği, bilgisayar korsanlarının verileri çalması ve ifşa etmesi için bir fırsattır. Veri aktarımının söz konusu olduğu her yerde şifreleme zorunludur.
8. Cihaz yönetimi eksikliği
Bu, ağdaki tüm cihazların etkin bir şekilde güvenliğinin sağlanamaması anlamına gelir. Sistemi sayısız tehdide maruz bırakır. İlgili cihazların sayısı veya boyutları ne olursa olsun, her birinin veri ihlaline karşı korunması gerekir.
9. Güvenli olmayan varsayılan ayarlar
Varsayılan ayarlardaki mevcut güvenlik açıkları, sistemi bir dizi güvenlik sorununa maruz bırakır. Sabit şifreler, güvenlik güncellemelerine ayak uyduramama ve güncel olmayan bileşenlerin varlığı olabilir.
10. Fiziksel koruma eksikliği
Fiziksel korumanın olmaması, kötü niyetli kullanıcıların sistem üzerinde uzaktan kontrol elde etmelerine kolayca yardımcı olabilir. Hata ayıklama (diag) bağlantı noktalarının çıkarılmaması veya bellek kartının çıkarılmaması, fiziksel koruma eksikliği nedeniyle sistemi fiziksel müdahale saldırılarına maruz bırakabilir.
Üreticiler IoT güvenlik açıklarıyla mücadele etmek için ne yapabilir?
OWASP IoT Top 10’u, üreticiler dikkatlice inceliyip uygularsa çoğu sorun büyük ölçüde çözülmüş olacaktır. İşte bu önlemleri anlamayla ilgili üreticiler tarafında standart ya da genel bir bakış geliştirilmelidir.
1. Zayıf, tahmin edilebilir veya sabit kodlanmış şifreler
OWASP tarafından listelenen ilk güvenlik açığıyla mücadele etmek için üreticilerin aşağıdaki adımları atması gerekir:
- Her cihazın benzersiz bir kimlik bilgileri kümesi olmalıdır
- Zayıf şifreleri devre dışı bırak
- Hata ayıklama sırasında oluşturulan arka kapıları kaldırma
2. Güvenli olmayan ağ hizmetleri
Güvenli olmayan ağ hizmetlerinden kaynaklanan tehditleri önlemek için üreticiler:
- HTTPS, sFTP ve SSH gibi güvenli protokoller kullanın
- Uzaktan erişim sağlayan gerekli olmayan bağlantı noktalarını ve hizmetleri devre dışı bırakın
- IoT cihazlarını ayrı bir ağda tutun
- Düzenli güncellemelerin yüklenmesi
3. Güvensiz ekosistem arayüzleri
Güvenli olmayan arabirimleri ele almak için aşağıdaki ipuçları yararlıdır:
- En az ayrıcalık ilkesine bağlı kalarak
- S3 paketine genel erişimi engelle
- IoT uç noktalarının güçlü kimlik doğrulaması
4. Güvenli güncelleme mekanizmalarının olmaması
IoT cihazlarına yönelik güncellemelerin güvenli bir şekilde teslimi için üreticilerin şunları yapması gerekir:
- Yalnızca dijital olarak imzalanmış güncellemeleri uygulayın
- Geri alma önleme mekanizmalarını uygulayın
- Güncellemelere erişimi güvenli hale getirin ve doğrulayın
5. Güvenli olmayan veya güncelliğini yitirmiş bileşenlerin kullanımı
IoT üreticilerine şunlar önerilir:
- Eski teknolojilerden kaçının
- Donanım ve yazılım bileşenlerinin sürekli izlenmesini sağlayın
- Eskiyen herhangi bir bileşeni hemen değiştirin
6. Yetersiz gizlilik koruması
Tüketici gizliliği, aşağıdaki önlemlerle ele alınması gereken temel endişelerden biridir:
- Kişisel verilerin cihazlarda depolanmasını sınırlayın
- Kuruluşunuz için bir veri koruma politikası çerçeveleyin
- Gelecekte herhangi bir güvenlik ihlaliyle mücadele etmek için bir olay müdahale planı hazırlayın
7. Güvenli olmayan depolama ve veri aktarımı
Verilerin maksimum düzeyde korunmasını sağlamak için IoT üreticilerinin tam güvenlik için aşağıdakileri uygulaması gerekir:
- Her düzeyde şifreleme sağlayın
- HTTPS, sFTP ve SSH gibi güvenli kanalları kesinlikle kullanın
- Cihazda depolanmayan tek kullanımlık anahtarları tercih edin
8. Cihaz yönetimi eksikliği
Aynı sistem içinde güvenlik işlevi zayıf olan birkaç cihaz varsa, saldırı riski artar. Kusursuz cihaz yönetimi için aşağıdaki adımlar uygulanmalıdır.
- Güvenli hizmetten çıkarma, uç nokta karantinası ve kara listeye alma
- Cihazları varlık yönetimi, hata izleme ve yama yönetimi sistemleriyle entegre edin
- Esnek ve diğer sistemlerle sorunsuz bir şekilde bütünleşen bir arayüz oluşturun
9. Güvenli olmayan varsayılan ayarlar
Aşağıdaki 3 ipucu, IoT üreticilerinin zayıf varsayılan ayarlarla ilişkili riskleri önlemesini sağlayabilir:
- Yalnızca güvenli varsayılan ayarları kullanın
- Kullanıcılara varsayılan şifreleri değiştirme izni verin
- Kullanıcılardan varsayılan şifrelerini zorunlu olarak değiştirmelerini isteyin
10. Fiziksel koruma eksikliği
IoT cihazlarına yönelik fiziksel tehditlere karşı koymak için üreticiler şunları yapmalıdır:
- Bir kullanıcının cihazı nasıl değiştirebileceğini ya da modifiye ederek nasıl zarar verebileceğini anlayın
- Herhangi bir kullanıcının cihaza ne gibi zararlar verebileceğini proaktif olarak tahmin edin
- Çözümler geliştirin ve olası tüm saldırılara dayanabilecek bir IoT cihazı oluşturun
IoT’nin yaygın bir şekilde popülerlik kazanmasıyla birlikte, hem üreticiler hem de kullanıcılar, yalnızca cihazlar sıkı güvenlik önlemleriyle güçlendirildiğinde maksimum fayda sağlayabilir.
Runtime application self-protection (RASP), IoT cihazlarının ve uygulamalarının güvenliğini sağlamaya nasıl yardımcı olabilir?
IoT cihazlarının güvenliğini sağlamak için sektördeki en iyi uygulamaları inceledikten sonra, proaktif yöntemleriyle uygulama güvenliğini yeniden tanımlayan en önemli güvenlik çözümlerinden birine kısaca göz atalım. RASP, güvenliği ihlal etmeye yönelik yıkıcı girişimlere karşı koruma sağlayan bir uygulama içi güvenlik çözümüdür.
RASP, uygulamayı çalışma zamanı saldırılarıyla başa çıkmak için donatır ve gelen trafiği gizli güvenlik açıklarına yönelik gelişmiş görünürlükle izler. RASP’ın faydaları aşağıdaki gibidir:
- RASP, güvenlik duvarı gibi geleneksel güvenlik çözümlerinden farklı olarak uygulama içinde çalışır.
- Uygulama performansını etkilemeden saldırıları algılar ve karşı koyar.
- RASP, yanlış pozitifleri azaltan meşru istekler ve kötü niyetli saldırılar arasında doğru bir şekilde ayrım yapabilir.
- Uygulama mantığı, yapılandırma ve veri olay akışlarına ilişkin doğru bilgilerle sıfır gün saldırılarını önleme yeteneğine sahiptir.
- Geliştiricilerin güvenlik açıklarının bulunduğu kod satırlarını tam olarak belirlemelerine yardımcı olur ve pentest işlemlerinde onlara yardımcı olur.
- RASP, sürekli değişen ortama uyum sağlayabilen, ölçeklenebilir bir güvenlik çözümüdür.
Gelen meşru olmayan istekleri izleyeceği veya engelleyeceğine bağlı olarak farklı RASP dağıtım yöntemleri vardır. Geleneksel güvenlik duvarları yalnızca bilinen tehditlerle başa çıkabilirken, RASP, geliştirme ekibinin dikkatinden kaçmış olabilecek bilinmeyen tehditleri ve güvenlik açıklarını aktif olarak tespit edebilir. Ve bu yetenek, RASP’yi IoT güvenlik tehditleriyle savaşmak için güçlü bir silah haline getirebilir.
Öneri
IoT, şüphesiz modern tüketiciler ve işletmeler için büyük bir nimettir. Bununla birlikte, zayıf güvenlik, yarardan çok zarar verir ve feci sonuçlar doğurabilir. IoT cihazları, şifrelenmemiş veri iletimi nedeniyle saldırılara karşı kolay birer avdır. Deneyimsiz üreticiler güvenlik tehlikelerinden habersizdir ve güvenlik açısından düşük düzeyde cihazlar oluşturur. Bu cihazlar, üreticilerin geleneksel yazılımlara kıyasla gelişmiş programlama bilgisine sahip olmasını gerektirir. Ne yazık ki, çoğu üretici rekabetten önce tüketicilere ulaşma yarışında olduğundan, IoT cihazları oluştururken güvenlik, en önemli öncelik değildir. Bu nedenle IoT cihazlar seçerken bu noktaların tamamını değerlendirip sonrasında karar veriniz.
Mutlu ve güvenli günler dilerim…