etrafımız çevrili milyarlarca bağlı cihaz ulaşımdan eğlenceye, sağlık ve esenliğe kadar hayatımızın neredeyse her yönüne 24 saat katkıda bulunan ürünler. Bağlı cihazlar, birçok yetenek ve özelliği için yazılıma giderek daha fazla güvendiğinden, siber tehditlere maruz kalmaları katlanarak artıyor.
Eski yazılım, 7 gün 24 saat çalışma ve bilgiye erişim kombinasyonu, bağlı cihazları bilgisayar korsanları için değerli hedefler haline getirir. Gömülü, tescilli ve açık kaynaklı cihaz yazılımı, özellikle çekici bir saldırı yüzeyi sunar.
Siber tehdit ortamı gelişmeye devam ederken, müşterilerinin ve kullanıcılarının bağlı cihazlarını güvenli ve güvenli bir şekilde kullanmasını sağlamakla görevli geliştiriciler ve güvenlik ekipleri, işlerini onlar için durduruyor. Tasarımdan üretim sonrasına kadar tüm ürün yaşam döngüsü boyunca kusurları bulmak ve düzeltmek yeterince büyük bir zorluk değilse, bunu giderek daha agresif üretim zaman çizelgelerini sürdürürken yapmak zor bir iş haline geldi.
İşte bağlı cihaz siber güvenliğinin her zamankinden daha kırılgan olmasının en önemli üç nedeni.
1. Bağlı Cihazlar, Hacker’ın Tercih Edilen Uç Noktası Oluyor
Bilgisayar korsanları, bağlı cihazların kolayca tehlikeye atılan bir uç nokta olabileceğini çabucak fark ediyor. Genellikle daha büyük bir sistemin parçası oldukları için – otomotiv, tıp, endüstriyel veya diğer – cihazlar farkında olmadan ağ geçitleri olarak hareket edebilir. Bu nedenle, büyük ağlar boyunca izinsiz girişler ve yanal hareketler, şirket verilerinin sızması veya diğer kötü niyetli faaliyetler için istismar edilen bilgisayar korsanlarının dikkatini giderek daha fazla çekiyorlar.
Bağlı tıbbi cihazlar (son) noktada bir vakadır. Örneğin, bir bilgisayar korsanının çalışan bir MRI makinesinin kontrolünü ele geçirmesine izin veren bir siber saldırı, hastaları kişisel riske atabilir. Tehdit daha da ileri gidiyor. Bir MRI tipik olarak teknisyenlerin görüntülerle çalışmasına olanak tanıyan iş istasyonlarına bağlanır. MRI’ın kendisiyle birlikte, bağlı iş istasyonlarından herhangi biri – ve hatta diğer entegre sistemler, örneğin Resim Arşivleme ve İletişim Sistemleri (PACS) – saldırı için bir sonraki sırada olabilir. Kişisel Sağlık Bilgileri ve daha fazlası kolay bir hedef olabilir.
Tipik onkoloji ve farmakoloji departmanlarında ve hastane laboratuvarlarında kullanılan bağlı cihazların %50’sinden fazlasının kullanıldığını düşündüğünüzde eski tıbbi cihazlarda çalıştırın, bağlı tıbbi cihazların bilgisayar korsanları için ne kadar fırsatlarla dolu olduğunu anlamak kolaydır. Önde gelen bazı siber güvenlik uzmanları, silahlı bağlantılı cihazların gerçek bir tehdit olduğunu ve yanlış ellerde toplu zayiat olaylarına yol açabileceğini söyleyecek kadar ileri gidiyor.
Tıbbi cihaz endüstrisindeki ihlallerle ilgili daha fazla manşet görürken, muhtemelen okumadığımız başkaları da olmuştur. Pek çok tıbbi cihaz ve sağlık hizmeti saldırısı kapalı kapılar ardında kalıyor ve saldırıların gerçek sayısı, medya raporlarından aldığımızdan çok daha fazla olabilir.
Cihazlarını güvenli, emniyetli ve çalışır durumda tutmak için ürün güvenlik ekiplerinin, tasarım ve geliştirmenin ilk aşamalarından operasyonel kullanıma ve kullanım ömrünün sonuna kadar tüm portföyleri genelinde siber risk ve uyumluluğu proaktif bir şekilde yönetmesi gerekir. .
2. Zinciri Kırın
Tedarik zinciri, tedarikçiler, hükümetler ve bilgisayar korsanları tarafından çok fazla ilgi görüyor – bunun iyi bir nedeni var.
Günümüzün araçları gibi karmaşık bağlantılı cihazlar için – tekerlekler üzerinde gerçek bilgisayar ağları – dış tedarikçilerin katmanları, güvenlik, aktarma organları, bilgi-eğlence ve diğer sistemlere gömülü donanım yazılımı ve yazılımın çoğunu sağlar. Bileşenleri bitmiş bir ürüne birleştiren OEM, çok sayıda üçüncü taraf bileşeninde ne olduğuna güvenir, ancak sınırlı kontrol ve görünürlüğe sahiptir ve nihai ürün, üreticisi ve birçok tüketicisi için yeni bir risk düzeyi oluşturur. .
bu Güneş Rüzgarları Hack, üçüncü taraf Orion yazılımları aracılığıyla kötü amaçlı güncellemeler (Sunburst olarak bilinir) yükleyen 18.000’den fazla SolarWinds müşterisini etkiledi. İç Güvenlik, Eyalet, Ticaret ve hatta Hazine(!) gibi normalde çok incelenen ve korunan ABD hükümet daireleri bile etkilendi.
Bu kötü şöhretli saldırı bir yıldan uzun bir süre önce gerçekleşmiş olsa da, o zamandan beri birçok tedarik zinciri saldırısına ilişkin raporlar SolarWinds’in tekil bir olay olmadığını kanıtlıyor. Yazılım, cihaz ve ürün üreticisinin tedarik zincirinde giderek daha büyük bir yer kapladığından, bu tür saldırıların daha da yaygınlaşması bekleniyor.
Üçüncü taraf ürün yazılımı ve yazılımı kullanan üreticilerin artık SolarWinds tipi saldırılardan kaçınmak için tedarikçilerini dikkatle incelemeleri gerekiyor. Ancak güvenilir bir tedarikçi ile rahat olmak yeterli değildir. Tedarikçiler, bir ürünün ömrü boyunca gelir ve gider – özellikle de birçok tedarik zinciri eksiklikleri Üreticiler son zamanlarda karşı karşıya. Belki de yeni bir oyuncu daha iyi bir ürün yazılımı çözümü bulmuştur ya da güvenilir bir tedarikçi gerekli yazılım bileşenlerini zamanında sağlayamıyor ve değiştirilmeleri gerekiyor.
Her bir tedarikçiyi işe almak sıkıcı ve zorlu bir süreçtir. Yeni bir tedarikçi tarafından yapılan bir hata – binlerce versiyon sahaya çıkana kadar kodda fark edilmeyen bir hata – küresel bir devin markasını mahvedebilir. Bir otomobilin direksiyonunu veya hayat kurtaran bir tıbbi makinenin işleyişini, ağır mali hasara ve hatta insan kayıplarına neden olan siber saldırılara maruz bırakabilir.
Üçüncü taraf satıcıların kendi ürünlerinde başka üçüncü taraf yazılımları kullanabileceğini unutmayın. Aslında, paketi almadan önce diğer üçüncü tarafları kullanan çok uzun bir üçüncü taraf tedarik zinciri olabilir – bunların tümü kullanılmadan önce ciddi bir inceleme gerektirir.
3. Açık Kaynak Bileşenleri Yeni Bir Risk Grubuyla Gelir
Açık kaynak kütüphaneleri hemen hemen her yerde kullanılmaktadır. Bir web sayfasını her görüntülediğinizde, e-postayı kontrol ettiğinizde, sohbet ettiğinizde, müzik akışı yaptığınızda veya video oyunları oynadığınızda, dizüstü bilgisayarınız, cep telefonunuz veya oyun konsolunuz açık kaynaklı yazılım kullanır.
Cihaz üreticileri farklı değil. Açık kaynak bileşenleri, açık kaynak topluluğu tarafından hazır olarak hazırlanmış güvenilir araçları kullanarak cihaz ve ürün geliştiricilerinin yenilikçi yazılımları daha hızlı oluşturmasına yardımcı olur. Bununla birlikte, açık kaynak kullanımı, cihaz üreticilerinin sıkı geliştirme zaman çizelgelerine ayak uydurmasına yardımcı olurken, bir yakalama var.
Açık kaynağın sahibi kim? Kimse. Ayrıca onu kullanan herkes.
Kodda bir güvenlik açığı varsa, bu kimin sorunu? Senin!
Popüler açık kaynak kitaplıklarının en büyük avantajlarından biri, sağlam ve sürekli bakımlı olduklarına güvenmenizi sağlayan devasa bir kullanıcı topluluğuna sahip olmalarıdır. Ancak, sürüm oluşturma ve güvenlik güncellemelerini izlemek kullanıcılara kalmıştır. Güvenliğinden ve güvenliğinden emin olmak için, ürününüze açık kaynak bileşenleri ekledikten sonra güvenlik güncellemelerini izlemeli ve hızlı bir şekilde yanıt vermelisiniz.
Yoksa ne olabilir?
Son derece popüler açık kaynak kitaplığı log4jüretilenden daha fazla 1.8 milyon saldırı halka açıldıktan sonraki ilk birkaç gün içinde. Bilgisayar korsanları için neden bu kadar çekici? Çünkü pek çok Java uygulaması log4j’yi doğrudan veya dolaylı olarak kullanır ve milyonlarca saldırı vektörü sağlar.
Cihaz geliştiricileri, her zamankinden daha fazla zorlukla karşı karşıya. Tehdit ortamı hızla genişleyip evrimleştiğinden, ürün geliştirme ekosistemleri daha katmanlı ve karmaşık hale geliyor. Elle üstlenemeyecek kadar karmaşık, imkansız bir görev gibi görünüyor. Ama çok faydalı bir çözüm var.
Bağlı cihaz siber güvenlik tehditlerinin bir adım önünde olmanın tek yolu otomatikleştirmektir – yazılım malzeme listesi (SBOM) Tüm envanterini gerçek zamanlı olarak takip etmek için her cihazın. Otomasyon ayrıca ürün güvenlik ekiplerinin güvenlik açıklarını geliştirmenin ilk aşamalarından üretim sonrası aşamalara kadar yönetmesini sağlayabilir. Geliştirme sürecine entegre edildiğinde, gelişmiş bir ürün güvenliği platformu, ekiplerin güvenlik açıklarını tespit etmelerine, bunları bağlam içinde görmelerine yardımcı olabilir, böylece yanlış pozitifleri kolayca ortadan kaldırabilir ve gerçekten önemli olan sorunları öncelik sırasına koyabilir ve piyasaya sürme süresini geciktirmeden bunları azaltabilir.
Nasıl öğrenilir Cybellum cihaz üreticilerinin ürettikleri ürünleri tasarımdan üretim sonrası ve ötesine kadar ömür boyu güvenli ve uyumlu tutmalarını sağlar.
Sponsorluğunda Cybellum