אבטחת מערכות Internet of things (IoT) מהווה אתגר מרכזי בארגונים רבים. זה נובע מהעובדה כי השימוש בו נמצא בעליה אקספוננציאלית והוא טומן בחובו מורכבויות רבות. כיום כבר אי אפשר להתעלם מהשילוב של IoT בבתים חכמים, ערים חכמות, מערכות בריאות וכמובן תעשייה 4.0 שבה זה מכונה Industrial Internet Of Things (IIoT). למה צריך בדיקות חדירות למערכות האלה? נפרט לכם כאן במאמר.
מה זה IoT (Internet Of Things)?
אז מה זה בעצם IoT? זה ראשי תיבות של “Internet of Things”, שבתרגום חופשי לעברית משמעו “אינטרנט של הדברים”.
מדובר במונח שמתאר את המגמה שבה מכשירים שונים ומגוונים מתחברים לאינטרנט ומתקשרים אחד עם השני, ללא התערבות של בני אדם. המכשירים הללו יכולים להיות הכל: מסמארטפונים ומחשבים, דרך מכשירי חשמל ביתיים, רכבים, שעונים חכמים, מכונות בתעשייה, מצלמות אבטחה, מערכות חכמות לניהול בניינים ועד לציוד רפואי, אגרונומי ועוד.
בפני רעיון המרכזי של IoT עומד הרצון להפוך את הכל יותר אוטומטי, חכם, יעיל ומחובר. בעזרת זיהוי נתונים, איסוף מידע, שיתוף מידע ואנליזה שלו, ניתן למנוע בעיות טכניות, לשפר את התהליכים ולמקסם את היעילות. בנוסף, IoT מאפשר לבני אדם לשלוט ולנהל מכשירים שונים באמצעות פלטפורמות דיגיטליות מרוחקות.
אף על פי זאת, IoT מביא גם את האתגרים שלו, בעיקר בנושאים של פרטיות ואבטחת מידע. בזמן שמכשירים מחוברים לאינטרנט מזרימים ומחליפים מידע, ישנה חשיפה מוגברת לפרצות אבטחה והפרת פרטיות. לכן, אחת מהתחומים המרכזיים בהמשך הפיתוח של IoT הוא אבטחת המידע.
מה המורכבויות שבבדיקת חדירות למערכות (IoT/IIoT/IoMT)?
אחת המורכבויות שכרוכה בבדיקת חדירות IoT היא שמדובר במערכת שלמה של בדיקות, לדוגמה: ניסיונות התחברות למעגל החשמלי במטרה להגיע למערכת ההפעלה והתוכנה, ניסיונות האזנה למידע המועבר בדרכים שונות, גישה לשרתים ויישומים ניידים, וכמובן בחינת החוסן של ממשקי API וממשקי אינטרנט.
לפיכך, הבדיקות אמורות להקיף מגוון טכנולוגיות ולהתייחס למספר ווקטורי תקיפה אפשריים.
בכדי לקבוע קווים מנחים לבדיקות חדירות למערכות אלו, החלו גופים בינלאומיים למסד את הנושא באמצעות סטנדרטים כגון NIST 1800-32 שעוסק במתודולוגיה בתחום, MITRE מבחינת תרחישי תקיפה וכמובן OWASP שהינו גוף מוביל במתודולוגיה של מבדקי חדירות. כך נקבעה רשימת ה- Top 10 נושאים לבדיקה למערכות IoT והיא:
- זיהוי סיסמאות חלשות, או מקודדות בחומרה
- איתור שירותי רשת לא מוקשחים
- יכולת שימוש לרעה בממשקים לא מוקשחים
- בדיקת מנגנון עדכוני אבטחה
- האם ישנו שימוש בקוד פתוח לא מאובטח ועד כמה הוא פגיע
- בדיקת אופן שמירת המידע האישי של המשתמש, המאוחסן במכשיר או במערכת בכללותה
- בחינת רמת ההקשחה של מעבר הנתונים ברשת
- בדיקת יכולת הניהול של המכשירים, כולל עדכונים וניטור
- זיהוי של שימוש בהגדרות ברירת מחדל
- בחינת רמת ההקשחה הפיסית של ההתקן
שלבי הבדיקה:
שלב ראשון
הגדרת היקף הבדיקה, כלומר יעדי הלקוח וסביבת הבדיקה.
שלב שני
ביצוע בדיקות חדירות לחומרה:
- התחברות למעגלים במגוון שיטות, דוגמת UART
- בדיקות לקושחה (Firmware)
- פיצוח סיסמאות
- ניסיונות לביצוע Reverse engineering
- בחינת היכולת לבצע שינויים בקושחה
- איתור Backdoor
שלב שלישי
מגוון בדיקות על גבי סוגי תקשורות, לדוגמה: RFID, NFC, ZigBee, Bluetooth, Wi-Fi ו-LoRa
- ביצוע sniffing לתעבורת גלי רדיו
- ניתוח קריפטוגרפי
- ניסיונות ביצוע Man in the Middle
- בחינת עמידות המערכת מול Denials of service
שלב רביעי
חלק גדול מהחברות מבצעות את מבדקי החדירות כחלק מהרצון שלהם להיכנס לשוק הרפואי האמריקאי. בהקשר זה המערכות קרויות IoMT – Internet of Medical Things, ולשם כך הן נדרשות לעמוד בדרישות של HIPAA וכן FDA. במקרה זה על הדו”ח לכלול אלמנטים נוספים, כגון:
Security Risk Management
- Threat Modelling
- Third-Party Software Components
- Security Assessment of Unresolved Anomalies
- Security Risk Management Documentation
- TPLC – Total Product Life Cycle
Security Architecture
- Implementation of Security Controls
- Security Architecture Views
מעוניינים? ל-Madsec יש מעבדה ייעודית למערכות IoT/IIoT/IoMT, רשימת ממליצים ארוכה וניסיון רב בתחום.