New-Tech Magazine | Feb 2021

האלה עשויות להיות בעלי ערך רב בטיפול בהיבטים לא פחות קריטיים של . מערכות המשמשות בלולאות IoT תכנון בקרת מכונות מתמודדות על פי רוב עם דרישות קריטיות למשימה בהיבט של בטיחות פונקציונלית. במערכות האלה, אבטחה ובטיחות פונקציונלית משולבות זו בזו, עד כדי כך שמודלים של איומים מתאימים עבור המערכות האלה עשויים לכלול תרחישים שבהם נקודות תורפה אבטחתיות ובטיחותיות עלולות באותה המידה להוביל לסיכונים פיזיים. באופן דומה, בטיחות ופרטיות חופפות בהיבטים רבים, אך חולשות בכל תחום עלולות להוביל לתוצאה דומה – חשיפת מידע אישי רגיש. מסקנות יישום אפקטיבי של מידול איומים והערכות סיכונים במערכות מורכבות הוא הרבה מעבר לרשימה פשוטה כלשהי של חלופות וטכניקות זמינות. כמו כל מערכת ספציפית, כל חברה לפיתוח מתמודדת עם האילוצים והיכולות הייחודיים שלה. הדרישות עבור מערכת אחת או ארגון אחד עשויות להיות לא רלוונטיות עבור האחר. מה שעשויה להיות הדרישה המשותפת היחידה, היא הצורך לבצע מלכתחילה הערכות איומים וסיכונים. אפילו כך, האם על חברה לנסות ליצור מודל איומים והערכת סיכונים "שלם"? התשובה הקצרה היא לא. ניסיון לעשות זאת יחטיא למטרה המושלמת הזאת. חיזוי מושלם של תוצאות הוא בלתי אפשרי. באופן טבעי, התהליכים הכאוטיים של העולם, מחזור הגאות והשפל של הגנות מערכת מול התקפות האקרים מסכל בסופו של דבר כל ניסיון להגיע לשלמות. בו בזמן, בלי לבנות מפת דרכים אבטחתית, כפי שמודל איומים והערכת סיכונים מספקים, בלתי אפשרי באותה המידה להימנע לפחות מכמה מהמכשולים והמעקפים המובילים להפרות אבטחה בלתי נמנעות.

לאיום מסוים או סוג של איומים. עבור מד מוצא CVSS , מחשבון ה- Arm המים של שצירוף הגורמים המעורבים בהתקפת .9.0 קושחה מייצגת ציון סיכון קריטי של בשל המנעד הרחב של דרישות וטכניקות, כלים אוטומטיים כגון 'פרויקט דרקון (הפרויקט OWASP האיומים' של לאפליקציות פתוחות לאבטחה ברשת), , וכלי מידול Mozilla של SeaSponge נוצרו כדי לסייע Microsoft האיומים של למפתחים בתהליך המידול. כל כלי משתמש במתודולוגיית מידול איומים אחרת, החל מיצירת דיאגרמת מערכת SeaSponge ב'פרויקט דרקון האיומים' ו- . אף Microsoft של STRIDE ועד לגישת שהכלים האלה כבר בני כמה שנים, ובנויים עבור מערכות תוכנה ארגוניות, מידול איומים הוא תהליך ישים ורענן תמיד המסתמך יותר על רשימות מעודכנות של וקטורי תקיפה, חולשות, ופגיעויות מאשר מתודולוגיות ספציפיות. עם זאת, כלים חדשים כבר החלו להופיע, המבטיחים קשר הדוק יותר בין תיאור המערכת לזיהוי האיומים. למרות העלייה המהירה של טכנולוגיות למידה עמוקה בתחומים אחרים, אתגרים משמעותיים נותרו עוד ביישום הטכנולוגיות האלה בהערכות איומים וסיכונים אוטומטיות. גם כך, הזמינות של כלים למידול חכם והערכת סיכונים עשויה להגיע בקרוב. בינתיים, מפתחים יכולים למצוא אוספים שונים של חולשות אבטחה, פגיעויות, ודפוסי התקפה, ברמת פירוט מהממת, במיוחד עבור מי שעושה את צעדיו הראשונים בתחום מידול איומים. אחד התירוצים המקובלים להימנעות ממידול איומים הוא שזה פשוט מסובך מדי. אלא שבמקום לצלול ישר לתוך ים הפרטים, מהנדסים יכולים להתחיל בגישה צנועה יותר המתמקדת רק באיומים הנפוצים בעיות 10 של OWASP ביותר. רשימת המובילות מספקת נקודת IoT אבטחת התחלה טובה. מפתחים אינם צריכים ללכת מעבר לאתרי החדשות המועדפים שלהם, כדי למצוא קטלוג מוכן של פגיעויות והתקפות מובילות. עבור ארגונים המסוגלים להתקדם במהירות מעבר ליסודות, המודלים

High power AND reliability? You wanted more current per contact from our high-rel connectors. You wanted Harwin’s high quality standard.

We listened. n 60A per contact n Shock to 100G n Stainless steel

mate-before-lock fixings n Operating temperature up to 150°C

harwin.com/kona

Connect with confidence

Harwin KONA New Tech Israel Feb 21.indd 1 35 l New-Tech Magazine

18/12/2020 11:35