Analiza

Securitatea sistemelor IoT: de la evaluarea riscurilor la aplicarea standardelor internationale

by Electronica Azi

Securitatea sistemelor IoT

Internetul lucrurilor (IoT) continuă să se extindă în numeroase domenii – industrie, case inteligente, sănătate, transport, energie – aducând un nivel ridicat de automatizare și eficiență. Însă această conectivitate extinsă introduce și riscuri semnificative de securitate, care pot afecta dispozitivele, datele și chiar infrastructurile critice.

În ultimii ani, IoT a revoluționat modul în care funcționează întreprinderile, agențiile guvernamentale și alte organizații. Prin conectarea dispozitivelor și sistemelor, IoT oferă o gamă largă de beneficii, de la creșterea eficienței operaționale și îmbunătățirea experienței clienților până la colectarea de date în timp real și identificarea unor noi surse de venit.

Studiile recente estimează că întreprinderile de astăzi au, în medie, peste 3.000 de dispozitive IoT conectate, în creștere de la puțin sub 700 în 2020. Această creștere rapidă este determinată de o serie de factori, inclusiv scăderea costului senzorilor și proliferarea opțiunilor de conectivitate cu consum redus de energie, cum ar fi Bluetooth Low Energy și LoRa.

Dispozitivele IoT utilizate în diverse domenii de activitate includ:
  • Etichete RFID: Etichetele RFID sunt folosite frecvent pentru urmărirea inventarului. Acestea pot fi atașate la produse sau paleți pentru a transmite date care pot fi utilizate pentru urmărirea locației elementului etichetat.
  • Senzori IoT: Senzorii pot fi utilizați pentru monitorizarea condițiilor din fabrică, precum temperatura, umiditatea și vibrațiile mașinilor. Aceste date pot fi utilizate pentru îmbunătățirea condițiilor de operare și pentru identificarea potențialelor probleme.
  • Camere video IoT: Camerele video pot fi utilizate pentru controlul calității sau în scopuri de securitate. De exemplu, acestea pot fi folosite pentru identificarea defectelor produselor sau pentru descurajarea și detectarea furturilor.
  • Controlere IoT: Controlerele sunt utilizate pentru automatizarea proceselor din fabrică. De exemplu, acestea pot fi folosite pentru acționarea benzilor transportoare sau a brațelor robotizate. Prin utilizarea controlerelor, producătorii pot reduce erorile umane și pot îmbunătăți eficiența.
Aplicațiile IoT utilizează dispozitive conectate care aduc beneficii organizațiilor:
  • Senzorii de pe liniile de asamblare pot identifica defectele, permițând rezolvarea rapidă a acestor probleme, uneori chiar în mod automat.
  • Cutiile de gunoi inteligente pot semnala autorităților locale când sunt pline, iar automatele pentru vânzarea alimentelor pot transmite companiilor când trebuie realimentate, astfel încât lucrătorii să intervină numai atunci când este necesar.
  • Acest lucru poate elimina deplasările inutile ale echipelor de intervenție, ceea ce duce la economii de resurse umane, combustibil și costuri de întreținere a vehiculelor.
  • De asemenea, poate contribui la reducerea emisiilor de carbon și a congestionării traficului.
  • Dispozitivele IoT de toate tipurile pot colecta date pentru analiză, facilitând luarea unor decizii mai bine informate. Acest lucru poate contribui la o viață mai sigură și mai confortabilă, precum și la activități economice mai eficiente și mai profitabile.

Figura 1: Arhitectura de securitate pentru un ecosistem IoT.

Provocările de securitate generate de IoT
  • Pentru a proteja conexiunile dintre oameni, procese, date și dispozitive, mecanismele de securitate trebuie integrate la toate nivelurile. Soluțiile de securitate fizică și cibernetică trebuie să funcționeze inteligent împreună și să protejeze rețelele, dispozitivele, aplicațiile, utilizatorii și datele care alcătuiesc ecosistemul IoT.
  • Suprafață de atac foarte mare: Amenințările și riscurile asociate IoT sunt multiple și evoluează rapid. Având în vedere că IoT se bazează, în mare măsură, pe colectarea, schimbul și prelucrarea unor cantități mari de date dintr-o varietate de surse, spectrul amenințărilor este extrem de larg.
  • Resurse limitate ale dispozitivelor: Majoritatea dispozitivelor IoT au capacități limitate de procesare, memorie și putere disponibilă. Prin urmare, controalele avansate de securitate nu pot fi aplicate întotdeauna în mod eficient.
  • Ecosistem complex: IoT este un ecosistem bogat, divers și extins, care implică dispozitive, comunicații, interfețe și utilizatori.
Standarde, implementare și integrarea securității
  • Fragmentarea standardelor și reglementărilor: Adoptarea fragmentată și lentă a standardelor și reglementărilor care ar trebui să ghideze implementarea măsurilor de securitate IoT și a bunelor practici, precum și apariția continuă a noilor tehnologii, complică și mai mult asigurarea securității.
  • Implementarea pe scară largă: Pe lângă aplicațiile comerciale ale IoT, tendințele recente arată că infrastructurile critice migrează spre soluții inteligente prin utilizarea IoT.
  • Integrarea securității: Aceasta este o sarcină foarte dificilă, din cauza unor cerințe contradictorii venite din partea tuturor părților implicate. Diferite dispozitive și sisteme IoT se pot baza pe soluții diferite de autentificare, care trebuie să fie integrate și interoperabile.
  • Aspecte de siguranță: Amenințările la adresa securității pot deveni amenințări la adresa siguranței, așa cum o demonstrează recentele atacuri cibernetice asupra vehiculelor conectate.
  • Lipsa de expertiză: Există o lipsă de experți cu competențe adecvate și expertiză în securitatea cibernetică a sistemelor IoT.
  • Actualizările de securitate: Aplicarea actualizărilor de securitate în ecosistemele IoT este extrem de dificilă, deoarece particularitățile interfețelor de utilizator disponibile nu permit întotdeauna mecanisme tradiționale de actualizare. Securizarea acestor mecanisme este, în sine, o sarcină dificilă, în special având în vedere actualizările “Over-the-Air”.
Cum asigurați securitatea IoT?

Toate provocările de mai sus ar trebui luate în considerare la construirea, securizarea și susținerea implementărilor IoT.

Securizarea IoT începe în timpul procesului de selecție a echipamentelor și a software-ului. În mod clar, este important să fie selectate, atunci când este posibil, echipamente și aplicații software cu securitate încorporată.

Autentificare securizată

Soluția IoT ar trebui să utilizeze parole puternice acolo unde este necesară autentificarea, să includă controlul accesului bazat pe roluri pentru mediile cu mai mulți utilizatori, să implementeze autentificarea cu doi factori, acolo unde este posibil, să ofere mecanisme securizate de recuperare a parolelor și să includă o politică de schimbare periodică a parolei.

Soluția IoT ar trebui să impună schimbarea obligatorie a parolei implicite în etapa inițială de configurare, să ofere o opțiune pentru schimbarea numelui de utilizator al contului privilegiat și să includă un mecanism de blocare a contului pentru prevenirea atacurilor de tip “brute force”.

Securitatea aplicațiilor web care administrează soluțiile IoT

Aplicația web este considerată o suprafață majoră de atac, care necesită implementarea unor măsuri eficiente de securitate. Aplicația web trebuie verificată pentru a nu prezenta vulnerabilități comune, precum cele incluse în OWASP Top 10: cross-site scripting (XSS), SQL injection și cross-site request forgery (CSRF). Toate datele introduse în aplicația web trebuie validate înainte de procesare și ar trebui utilizată criptarea pentru protejarea informațiilor transmise.

Asigurarea securității interfeței de programare a aplicațiilor (API) presupune utilizarea proceselor și instrumentelor potrivite pentru monitorizarea și securizarea accesului la aplicații.

Alte măsuri de securitate, cum ar fi expirarea sesiunii, validarea intrărilor, criptarea și verificarea autenticității certificatului digital, sunt esențiale pentru securitatea aplicațiilor web.

Deoarece tacticile de atac web sunt în continuă schimbare, utilizarea unui firewall pentru aplicații web este o modalitate eficientă de a proteja serviciul API prin reguli actualizate, care abordează vulnerabilitățile aplicațiilor web.

Securitatea datelor în cloud

Este o practică frecventă construirea unei soluții IoT cu baze de date în cloud sau cu o platformă de stocare în cloud. Deoarece bazele de date și soluțiile de stocare în cloud sunt direct accesibile prin Internet, acestea pot prezenta un risc mai mare de încălcare a securității datelor în urma atacurilor cibernetice.

Datele trebuie criptate în repaus și în tranzit. Prin utilizarea criptării datelor în cloud, soluția adoptă managementul cheilor pe întregul ciclu de viață al operațiunilor asociate cheilor de criptare: generarea cheilor, stocarea cheilor, utilizarea cheilor, rotația cheilor, revocarea cheilor și distrugerea cheilor.

Pentru o soluție IoT care procesează date extrem de sensibile sau care necesită un nivel mai ridicat de asigurare a securității criptării datelor în cloud, se utilizează un modul hardware de securitate (Hardware Security Module – HSM), pentru a proteja toate operațiunile asociate cheilor de criptare.

Gestionarea dispozitivelor IoT

Gestionarea dispozitivelor IoT prin identificatori unici poate împiedica dispozitivele IoT nevalide sau nelegitime să afecteze securitatea soluțiilor IoT.

Figura 2: Arhitectura funcțională de nivel înalt a unui sistem IoT.

Deoarece dispozitivele IoT nu pot fi întotdeauna actualizate în timp util, iar versiunile software mai vechi pot rămâne în continuare în uz, informațiile despre activele dispozitivelor sunt esențiale pentru evaluarea impactului asupra gestionării vulnerabilităților.

Soluția IoT implică, de obicei, colectarea datelor de la dispozitivele IoT, analiza acestora și utilizarea rezultatelor în procesul de luare a deciziilor. Este esențial să se asigure integritatea dispozitivelor IoT și să se evite manipularea sursei de colectare a datelor. Atunci când se detectează o anomalie privind integritatea unui dispozitiv IoT, dispozitivul respectiv poate fi pus în carantină prin intermediul platformei de gestionare a dispozitivelor.

Securitatea rețelelor wireless

Deoarece atacatorii pot intercepta traficul de rețea wireless cu instrumente de detecție radio, adoptarea criptării în comunicațiile wireless este importantă pentru asigurarea confidențialității datelor.

Dacă puterea de calcul a dispozitivului IoT nu poate susține criptarea, ar trebui adoptate metode alternative, cum ar fi criptarea ușoară sau tokenizarea, pentru a proteja conținutul fluxului de date wireless.

Atunci când comunicațiile wireless necesită un proces inițial de autentificare, soluția ar trebui să solicite interacțiunea fizică cu dispozitivul sau introducerea manuală a cheii, respectiv a unui secret partajat aleatoriu.

De asemenea, organizațiile ar trebui să se asigure că schimbă numele de utilizator și parolele implicite ale dispozitivelor IoT. Credențialele care rămân neschimbate pot fi ușor identificate de botnet-uri care scanează după nume de utilizator și parole cunoscute. Dacă atacul reușește, dispozitivele respective pot intra sub controlul atacatorilor.

De asemenea, companiile trebuie să își actualizeze dispozitivele IoT cu cele mai recente versiuni ale sistemelor de operare și cu patch-uri de securitate. Acest lucru contribuie la menținerea dispozitivelor la zi, inclusiv în ceea ce privește cele mai recente actualizări de securitate.

Datele dispozitivului trebuie să fie întotdeauna criptate în timpul transmiterii, pentru a fi protejate împotriva atacurilor.

Securitatea rețelei

Deoarece atacatorii scanează rețeaua pentru a identifica servicii vulnerabile, reducerea suprafeței de atac și securizarea serviciilor minimizează riscul asociat atacurilor de rețea.

Soluția ar trebui să asigure dezactivarea tuturor serviciilor de rețea inutile și să impună autentificarea pentru accesarea serviciilor de rețea.

Comunicațiile trebuie să utilizeze criptare standardizată între rețele și dispozitivele mobile.

Asigurarea securității rețelei este o parte importantă a securității IoT. Conectivitatea reprezintă un element central al serviciilor IoT și este importantă protecția împotriva unor atacuri precum man-in-the-middle și deturnarea sesiunilor, care pot intercepta comunicațiile dintre dispozitiv și aplicația cloud.

În acest caz, rețeaua inițiază o comunicație criptată printr-o solicitare de mod de cifrare, iar dispozitivul utilizează chei de cifrare și algoritmi de criptare de pe cartela SIM pentru a transmite și primi date în siguranță. Deoarece cheile nu sunt niciodată expuse în afara cartelei SIM, iar identitatea reală a dispozitivului final nu este niciodată dezvăluită, această soluție este foarte sigură.

Autentificarea în rețea contribuie, de asemenea, la limitarea comunicațiilor doar la aplicațiile autorizate. Aceasta implică verificarea și autorizarea dispozitivelor atât în rețea, cât și în aplicațiile din rețea.

Protejarea împotriva clonării dispozitivelor IoT

Este necesară implementarea mai multor controale de securitate în managementul ciclului de viață al dispozitivului, în arhitectura rețelei și în procesele operaționale.

Identități unice ale dispozitivelor și autentificare sigură:

Se recomandă implementarea unei gestionări robuste a identității dispozitivelor, utilizând identificatori unici, netransferabili, integrați în elemente hardware securizate. De asemenea, se recomandă autentificarea bazată pe certificate, mai degrabă decât schemele simple de autentificare prin parole, pentru a se asigura că fiecare dispozitiv deține credențiale criptografice care nu pot fi duplicate sau extrase cu ușurință.

Integritatea firmware-ului și boot securizat:

Trebuie stabilite procese de pornire securizate, care verifică integritatea firmware-ului înainte de execuție. Semnarea codului și actualizările de firmware criptate contribuie la prevenirea modificărilor neautorizate. Auditurile periodice ale firmware-ului ajută la identificarea vulnerabilităților înainte ca acestea să poată fi exploatate prin atacuri de clonare.

Actualizări regulate și gestionarea patch-urilor:

Trebuie menținute programe complete de actualizare pentru toate dispozitivele conectate, cu aplicarea promptă a patch-urilor de securitate. Acolo unde este posibil, se recomandă stabilirea unor mecanisme automate de actualizare, păstrând însă supravegherea manuală pentru sistemele critice, pentru a preveni întreruperile.

Segmentarea și monitorizarea rețelei:

Segmentarea rețelei permite izolarea dispozitivelor IoT de sistemele critice, limitând daunele potențiale cauzate de sistemele compromise. Monitorizarea continuă permite detectarea unor modele anormale de comportament, care ar putea indica existența unor dispozitive clonate, cum ar fi identificatori duplicați ai dispozitivelor sau modele neobișnuite de comunicare.

Pentru monitorizarea periodică a securității de bază, poate fi utilizată o listă rapidă de verificare, care să includă următoarele:

  • Verificarea modificării parolelor implicite
  • Verificarea actualizării și semnării digitale a firmware-ului
  • Implementarea gestionării certificatelor dispozitivelor
  • Monitorizarea identificatorilor duplicați ai dispozitivelor
  • Stabilirea procedurilor de răspuns la incidente
Concluzii

Tehnologia IoT oferă atât oportunități, cât și riscuri de securitate, astfel încât provocările legate de protejarea dispozitivelor IoT sunt semnificative. O evaluare atentă a riscurilor de securitate trebuie să preceadă orice implementare IoT, pentru a asigura identificarea tuturor problemelor relevante care stau la baza acestora.

Fără un nivel adecvat de securitate și protecție a datelor, IoT poate genera probleme pe termen lung. Prin urmare, utilizatorii soluțiilor IoT trebuie să adopte măsuri de securitate adecvate. Este importantă utilizarea cadrului deja stabilit de organizații internaționale precum ETSI, NIST și ENISA, pentru minimizarea riscurilor de securitate în cadrul ecosistemelor IoT și pentru asigurarea confidențialității, integrității și disponibilității datelor.

Autor: Dr. Ing. Vasile Voicu, CISSP, CISA, CEH, CISM

Referințe:

CISCO Securing the Internet of Things White Paper – https://mkto.cisco.com/rs/564-WHV-323/images/Securing-IoT-Whitepaper-r3.pdf
BSI -Navigating and Informing the IoT Standards Landscape – A Guide for SMEs and Start-ups – https://www.bsigroup.com/en-GB/navigating-and-informing-the-iot-standards-landscape/
ENISA-Baseline Security Recommendations for IoT in the context of Critical Information Infrastructures – https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot
ETSI- Cyber Security for Consumer Internet of Things – https://www.etsi.org/deliver/etsi_ts/103600_103699/103645/01.01.01_60/ts_103645v010101p.pdf
NIST – Consideration for Managing IoT Cybersecurity and Privacy Risks – https://doi.org/10.6028/NIST.IR.8228

Glosar de termeni
• Tehnologii și comunicații IoT

IoT — Internetul lucrurilor: Rețea de dispozitive conectate care colectează, transmit și procesează date, fiind utilizate în domenii precum industrie, locuințe inteligente, sănătate, transport și energie.
RFID — Radio-Frequency Identification: Tehnologie de identificare prin unde radio, utilizată pentru urmărirea produselor, paleților, echipamentelor sau altor active.
Bluetooth Low Energy — BLE: Versiune Bluetooth cu consum redus de energie, utilizată frecvent în aplicații IoT, senzori, dispozitive purtabile și sisteme conectate.
LoRa: Tehnologie de comunicație wireless pe distanțe lungi și cu consum redus de energie, utilizată în aplicații IoT distribuite pe arii extinse.
API — Application Programming Interface: Interfață prin care aplicațiile software comunică între ele și schimbă date sau comenzi.

• Securitate, autentificare și acces

Suprafață de atac: Totalitatea punctelor prin care un sistem, dispozitiv sau serviciu poate fi atacat de un actor rău intenționat.
Autentificare cu doi factori — 2FA: Metodă de autentificare care combină două elemente diferite de verificare, de exemplu o parolă și un cod temporar primit pe telefon sau generat de o aplicație.
Control al accesului bazat pe roluri — RBAC: Metodă de administrare a accesului prin care utilizatorii primesc permisiuni în funcție de rolul lor în organizație.

Atac de tip brute force: Metodă de atac prin încercarea repetată a unui număr mare de combinații de parole sau chei, până la identificarea celei corecte.
Botnet: Rețea de dispozitive compromise, controlate de la distanță de un atacator și utilizate pentru atacuri cibernetice sau alte activități malițioase.
Man-in-the-middle: Atac în care un agresor interceptează comunicațiile dintre două părți, putând citi, modifica sau redirecționa datele transmise.
Deturnarea sesiunii: Preluarea neautorizată a unei sesiuni active între un utilizator/dispozitiv și o aplicație sau un serviciu.

• Protecția datelor și securitate cloud

Cross-site request forgery — CSRF: Atac prin care un utilizator autentificat este determinat să execute, fără intenție, o acțiune nedorită într-o aplicație web.
Criptare în repaus: Protejarea datelor stocate pe discuri, servere, baze de date sau platforme cloud prin mecanisme criptografice.
Criptare în transit: Protejarea datelor în timpul transmiterii între dispozitive, rețele, aplicații sau platforme cloud.
HSM — Hardware Security Module: Dispozitiv hardware specializat pentru protejarea cheilor criptografice și pentru efectuarea operațiunilor criptografice în condiții de securitate ridicată.
Tokenizare: Metodă prin care datele sensibile sunt înlocuite cu valori substitutive, numite token-uri, reducând riscul expunerii directe a informațiilor originale.
Web Application Firewall — WAF: Soluție de securitate care protejează aplicațiile web prin filtrarea și monitorizarea traficului HTTP/HTTPS.

• Firmware, dispozitive și standarde

OWASP Top 10: Listă de referință care include cele mai importante riscuri de securitate pentru aplicațiile web, utilizată pe scară largă în evaluarea și protejarea acestora.
Cross-site scripting — XSS: Tip de atac asupra aplicațiilor web prin care cod malițios este introdus într-o pagină accesată de utilizatori.
SQL injection: Atac prin care un agresor introduce comenzi SQL malițioase într-o aplicație, cu scopul de a accesa, modifica sau compromite o bază de date.
Boot securizat: Proces de pornire care verifică integritatea firmware-ului sau a software-ului înainte de execuție, pentru a preveni rularea codului neautorizat.

Firmware: Software integrat într-un dispozitiv hardware, responsabil pentru controlul funcțiilor de bază ale acestuia.
Patch de securitate: Actualizare software destinată corectării unor vulnerabilități sau probleme de securitate.
Clonarea dispozitivelor IoT: Copierea neautorizată a identității sau configurației unui dispozitiv IoT, pentru ca un dispozitiv fals să fie recunoscut ca legitim în rețea.
ETSI, NIST, ENISA: Organizații internaționale sau instituții de referință care publică standarde, ghiduri și recomandări privind securitatea cibernetică, inclusiv pentru ecosistemele IoT.

S-ar putea să vă placă și

Noua generație de dispozitive PHY Ethernet pe o...

XENSIV™ – tehnologii de detecție pentru sisteme inteligente

Mouser comercializează noul kit de dezvoltare IoT Arduino...

GigaDevice lansează microcontrolerele GD32F5HC pentru soluții HMI și...

Monitorizarea stării de sănătate prin dispozitive purtabile folosind...

Democratizarea AI ridică noi provocări pentru proiectanții de...

Accelerați implementarea soluțiilor IoT de ultimă generație cu...

Mouser comercializează noile module companion CC330xMOD SimpleLink de...

Motoare de predistorsiune digitală (DPD) mai inteligente: o...

Tehnologii digitale

Adaugă un comentariu

Advertisement Advertisement
Close