New-Tech Magazine | Feb 2021

IoT מידול איומים: הערכותסיכוניםעבור הצלחת בטווחהארוך

Mouser Electronics מאת סטיבן אוונצ'וק עבור

בניצול מוצלח של אותה פגיעות עובר את סף הקבילות, ודורש בסופו של דבר פעולה לצמצומו. היכולת להגיע לדרגת נראות כזאת של אופי הסיכון, מספקת ערך אסטרטגי שלא ניתן להפריז בו. בו בזמן, על ידי ביצוע חתך של פגיעויות אבטחה עם הערכות סיכונים, צוות פיתוח יכול לתכנן מפת דרכים טקטית לפיתוח מענה מעשי לזרם האינסופי כמעט של איומים על כל מערכת מקושרת. ללא רמה גבוהה יותר של הבנה, שהושגה באמצעות הערכות איומים וסיכונים, אפילו צוות הפיתוח המנוסה ביותר מהמר על האבטחה של המערכות והאפליקציות שלו. ואולם, השגת הידע הזה מתחיל בהבנה ברורה של האיומים הפוטנציאליים נגד המערכת, וניתנת להשגה דרך מודל איומים מתועד היטב. מודלים של איומים תופסים את פגיעויות האבטחה הספציפיות הקשורות לתכנון של המערכת. יצירת מודל איומים נראה פשוט מבחינה תפיסתית. לדוגמה, המפתחים בוחנים את התכנונים שלהם כדי לזהות פגיעויות אבטחה המתייחסות

למרות האופי הסנסציוני של האירועים האלה, אחד הלקחים החשובים ביותר הנלמדים מההתקפות האלה היא שהשימוש במנגנוני אבטחה ויצירת מערכת אבטחה אינם אותו הדבר. האקרים חודרים בהצלחה למערכות הבנויות עם כל סוגי מנגנוני האבטחה. גם צוותי פיתוח בעלי מודעות גבוהה ביותר לאבטחה עלולים מבלי דעת להשאיר משטחי תקיפה פתוחים בתכנונים שלהם. המורכבות הגדולה של התכנונים היום מגבירה את הסיכויים להשארת משטחי תקיפה פתוחים, במיוחד במערכות רב- . IoT שכבתיות מקושרות כגון אפליקציות כשמספר רב של מכשירים מתוכנתים מסוגים שונים מחוברים לענן, אבטחה מקצה לקצה הופכת יותר להסתברות סטטיסטית מאשר ודאות מוחלטת. כל רכיב במערכת מקושרת כזאת של מערכות, תורמת את הפונקציונליות הספציפית ואת מערכת המשתנים שלה למשוואת האבטחה. עם הבנה מלאה כיצד כל פגיעות יכולה להפוך לאיום על כלל האפליקציה, ארגון יכול להחליט אם הסיכון הכרוך

שילוב של חיישנים פריפריאליים, שערים ומשאבי ענן, אפליקציות ) הופכות IoT של האינטרנט של הדברים ( למטרות חסרות תקדים בשל מספר משטחי התקיפה האפשריים ופגיעויות האבטחה שהן מכילות. הבנה ברורה של איומים כאלה, סבירותם, והשפעותיהם נעשית דחופה יותר ככל שחברות משלבות את האפליקציות האלה באופן הדוק יותר בתשתיות הארגוניות. על ידי שימוש בגישות מתודולוגיות להערכות איומים וסיכונים, צוותי פיתוח יכולים להקשיח את האבטחה היכן שנדרש, או לקבל החלטות מושכלות לגבי סיכונים קבילים. המנעד הרחב של פגיעויות אבטחה במערכות מקושרות מוצא ביטוי לעתים קרובות, ולמרבה הצער, במהדורות החדשות. אפילו סקירה מהירה של הכותרות מציגה היקף מבהיל של התקפות סייבר – החל מהתקפות מניעת שירות ) DDoS גלויות, מסיביות ומבוזרות ( עד התקפות זדוניות מתוחכמותסמויות ) השואבות בשקט APTs ומתמשכות ( נתונים רבי ערך, או מתכוננות להתקפות קיצוניות יותר. ב

New-Tech Magazine l 32