IOT Planınızda ya Hesaplanmış Güvenlik ya da Saldırı Riski
Nesnelerin İnterneti (IoT) çok büyük bir potansiyele sahip, ancak güvenlik bir şirketin IOT planına baştan dahil edilmeli ve işin sonuna bırakılmamalıdır.
Nesnelerin İnterneti (IoT) artık BT liderlerinin ilgilenmesi gereken bir şey olmaktan yıllarca süren fütüristik bir şey değil. IoT dönemi geldi. Aslında Gartner, 2020 yılına kadar küresel olarak 20,4 milyar bağlı cihaz olacağını tahmin ediyor.
Alternatif bir kanıt, insanlarla şirketlerinin IoT planları hakkında konuştuğumda, bana birkaç yıl önce yaptıkları gibi farlardaki bir geyik gibi bakmadıkları gerçeğidir. Aslında, çoğu zaman “IoT” terimi bile ortaya çıkmaz. İşletmeler, yeni süreçler oluşturmak, verimliliği artırmak veya müşteri hizmetlerini geliştirmek için daha fazla “şeyi” birbirine bağlamaktadır.
Ancak yaptıkları gibi, yeni güvenlik sorunları ortaya çıkıyor. Bunlardan biri “kolay düğme” yok. BT uzmanları sadece bir tür kara kutu kullanamazlar ve her şeyin korunmasını sağlayamazlar. IoT’nin güvenliğini sağlamak, dikkate alınması gereken birçok faktör içeren çok yönlü bir sorundur ve herhangi bir IoT planına dahil edilmelidir.
Uç noktalarının güvenliğini sağlama ile ilgili en büyük zorluklar
Fiziksel güvenlik göz ardı edilir. İşletmeler siber güvenliğe önemli miktarda zaman ve enerji ayırmaktadır. Bununla birlikte, fiziksel güvenlik genellikle sonradan düşünülen veya gözden kaçan bir durumdur. Cihazların hırsızlığa veya hırsızlığa karşı korunmaları gerekir. IoT genellikle BT üyesi olmayan kişiler tarafından konuşlandırıldığından, BT departmanlarının bilmediği birçok cihaz olabilir. Bu bilinmeyen cihazlar bir konsoldan veya USB bağlantı noktasından ihlal edilebilir ve diğer ağlarda arka kapılar yaratabilir. BT ve siber güvenlik ekipleri, IoT uç noktalarının keşfini otomatikleştirmenin daha iyi bir yoluna ihtiyaç duyuyor.
Geleneksel güvenlik IoT ile çalışmaz. Bugünün siber güvenliği öncelikle büyük, pahalı bir güvenlik duvarına sahip bir ağın çevresini korumaya odaklanmıştır, ancak ZK Research, ihlallerin sadece yüzde 27’sinin orada olduğunu tespit etti. (Not: ZK Research çalışanıyım.) Ağı korumak için güvenlik duvarları hala gerekli olsa da, IoT cihazları ağ içinde ihlallerin gerçekleşmesini sağlıyor. IoT, kuruluşların güvenlik stratejilerini yeniden düşünmelerini ve iç ağa odaklanmalarını gerektirir. IoT cihazlarıyla ilgili bir başka faktör de, durum güncellemeleri sağlamak veya diğer bilgileri sağlamak için birçoğunun bir bulut hizmetine geri bağlanmasıdır. Bu, güvenlik duvarından içeriden meşru ancak hacklenebilir bir delik açar.
Birçok IoT cihazı doğal olarak güvensizdir. PC’ler ve mobil cihazlar gibi çoğu BT uç noktalarında bazı yerleşik güvenlik yetenekleri bulunur veya üzerlerine bir aracı yerleştirilebilir. Birçok IoT cihazında eski işletim sistemleri, gömülü şifreler ve yerleşik bir ajan tarafından güvence altına alma yeteneği yoktur. Bu, her şeyin bağlı olduğu bir dünyada güvenliği yeniden düşünmenin önemini vurgular. Uç nokta güvenli değilse, korumanın ağa taşınması gerekir. Siber güvenlik karmaşıklığı artmaktadır. Eskiden basit bir işlem olan dış tehditlere karşı koruma: En son teknolojiye sahip bir güvenlik duvarını çevreye yerleştirin ve ağın içindeki her şeye güvenin. Tüm uygulamalar ve uç noktalar BT departmanının kontrolü altındayken bu mantıklıydı. Ancak günümüzde işçiler kendi cihazlarını getirmekte ve bulut hizmetlerinin kullanımı yaygındır ve yeni giriş noktaları oluşturmaktadır.
Bununla mücadele etmek için, güvenlik ekipleri daha fazla niş noktası ürünü kullanıyorlar, bu da genellikle karmaşıklık seviyesini arttırıyor. Araştırmam, kuruluşların ortalama 32 güvenlik sağlayıcısı kullandığını ve bu sayının arttığını ve giderek karmaşıklaşan ve daha az güvenli hale gelen bir ortama yol açtığını buldu. Ayrıca, BT departmanları günümüzde mevcut bağlı cihaz setini yönetmek için mücadele etmektedir.
Üç ila beş kat daha fazla uç nokta eklemek, birçok güvenlik ekibini bunaltır. Kör noktaların sayısı patladı. Her cihaz belirli bir sorunu çözmek için tasarlandığından, farklı satıcıların güvenlik araçlarından oluşan bir patchwork ile birlikte çalışmak sağlam bir strateji gibi görünebilir. Bununla birlikte, bu yaklaşım büyük kör noktalar bırakır, çünkü cihazların aralarında çok az veya hiç iletişim yoktur. Ayrıca, bu mimari otomasyondan yoksundur, bu nedenle bu cihazların yapılandırması birer birer yapılmalıdır, yani değişikliklerin uygulanması aylarca sürebilir. Bu gecikme, organizasyonları ciddi risk altına sokar.
Kapsamlı bir IoT stratejisine sahip olmama, işletmeleri risk altına sokar
Kapsamlı bir IoT güvenlik stratejisine sahip olmama riskinin ne kadar büyük olduğunu anlamak önemlidir. IoT ile başarı, bir dizi sürecin birlikte çalışmasını gerektirir. Herhangi bir noktada bir ihlal, bir kesinti ve olası hassas verilerin kaybına neden olabilir. Sağlık, eyalet ve yerel yönetim, üretim ve bankacılık gibi birçok sektörde IoT hizmetleri kritik öneme sahiptir, bu nedenle her türlü kesinti şirketlere milyonlara mal olabilir. Nitekim, Mayıs 2016’da Ponemon Enstitüsü, veri ihlalinin ortalama maliyetini, 2015’teki 3.5 milyon $ ‘dan 3.62 milyon $ olarak buldu.
IoT’de muazzam bir iş değeri var ve işletmelerin dağıtımlara karşı agresif olmalarını şiddetle tavsiye ediyorum. Ancak, dağıtımdan sonra uygulamayı uygulamaya çalışmak yerine, planın içine güvenlik oluşturmasını da öneririm.
Yazar : Zeus Karravala
Çeviren : Murat Kaya
İlk Yayın Tarihi : 28 Ocak 2019
Kaynak : www.networkworld.com