इंटरनेट ऑफ थिंग्स एक विशाल हमले की सतह है जो हर दिन बड़ा होता जा रहा है। ये उपकरण अक्सर बुनियादी सुरक्षा मुद्दों और उच्च जोखिम वाली कमजोरियों से भरे होते हैं, और साइबर अपराधियों और राष्ट्र-राज्यों सहित परिष्कृत हैकरों के अधिक लगातार लक्ष्य बन रहे हैं।
बहुत से लोग IoT हमलों को सेवाओं और क्रिप्टो-माइनिंग बॉटनेट जैसे निम्न-स्तरीय खतरों से जोड़ते हैं। लेकिन वास्तव में, रैंसमवेयर, जासूसी और डेटा चोरी के हमलों की संख्या बढ़ रही है जो क्लाउड सहित बड़े आईटी नेटवर्क में प्रारंभिक प्रवेश बिंदु के रूप में IoT का उपयोग करते हैं। उन्नत खतरे वाले अभिनेता भी इन नेटवर्क में जीवित रहने के लिए IoT उपकरणों का उपयोग कर रहे हैं, जबकि पता लगाने से बचते हैं, जैसा कि हाल ही में QuietExit पिछले दरवाजे के साथ देखा गया है।
कॉर्पोरेट वातावरण में तैनात लाखों IoT उपकरणों के हमारे अपने विश्लेषण में, हमने पाया कि उच्च जोखिम और महत्वपूर्ण कमजोरियां (सामान्य भेद्यता स्कोरिंग सिस्टम, या CVSS पर आधारित) दोनों व्यापक हैं। सभी IoT उपकरणों में से आधे में कम से कम 8 के CVSS स्कोर के साथ कमजोरियां हैं, और 20% में 9-10 के CVSS स्कोर के साथ महत्वपूर्ण कमजोरियां हैं। साथ ही, ये डिवाइस पासवर्ड सुरक्षा और फर्मवेयर प्रबंधन के मामले में कई मूलभूत सुरक्षा विफलताओं से ग्रस्त हैं।
जबकि IoT जोखिमों को पूरी तरह से समाप्त नहीं किया जा सकता है, उन्हें कम किया जा सकता है। यहां कई कदम कंपनियों को उठाने चाहिए।
एक व्यापक और अप-टू-डेट संपत्ति सूची बनाएं
हमारे शोध में, हमने पाया कि 80% कॉर्पोरेट सुरक्षा दल अपने नेटवर्क पर अधिकांश IoT उपकरणों की पहचान भी नहीं कर सकते हैं। यह एक चौंका देने वाला आंकड़ा है और दिखाता है कि समस्या कितनी गंभीर है। यदि कोई कंपनी यह भी नहीं जानती है कि उसके नेटवर्क पर कौन से उपकरण हैं, तो वह एक सफल IoT उल्लंघन के बाद उसे हमले से कैसे बचा सकता है या आईटी नेटवर्क को पार्श्व गति से कैसे बचा सकता है?
हालाँकि, IoT इन्वेंट्री लेना आसान नहीं है। पारंपरिक आईटी खोज उपकरण IoT के लिए कभी भी डिज़ाइन नहीं किए गए थे। नेटवर्क व्यवहार विसंगति का पता लगाने वाली प्रणालियाँ स्पैन पोर्ट पर ट्रैफ़िक को सुनती हैं, लेकिन अधिकांश IoT ट्रैफ़िक एन्क्रिप्ट किया गया है, और यदि ऐसा नहीं भी है, तो प्रेषित जानकारी में पर्याप्त पहचान विवरण नहीं होता है।
यह जानना कि बिना किसी विशिष्टता के एचपी प्रिंटर है, पर्याप्त नहीं है, खासकर अगर इसमें कमजोरियां हैं जिन्हें संबोधित करने की आवश्यकता है। लीगेसी भेद्यता स्कैनर मदद कर सकते हैं, लेकिन वे विकृत पैकेट भेजकर काम करते हैं, जो IoT का पता लगाने के लिए बहुत अच्छे नहीं हैं और IoT उपकरणों को ऑफ़लाइन भी दस्तक दे सकते हैं।
IoT उपकरणों को उनकी मूल भाषा में क्वेरी करके खोजना एक बेहतर तरीका है। यह एक संगठन को IoT उपकरणों के बारे में संपूर्ण विवरण के साथ एक सूची बनाने की अनुमति देगा, जैसे कि डिवाइस संस्करण, मॉडल नंबर, फर्मवेयर संस्करण, सीरियल नंबर, चल रही सेवा, प्रमाणन और क्रेडेंशियल। यह संगठन को इन जोखिमों को संबोधित करने और न केवल उनका पता लगाने की अनुमति देता है। यह उन्हें अमेरिकी सरकार द्वारा उच्च जोखिम वाले किसी भी उपकरण को हटाने में सक्षम बनाता है, जैसे कि Huawei, ZTE, Hikvision, Dahua और Hytera।
पासवर्ड सुरक्षा की आवश्यकता है
IoT उपकरणों पर हमले आसान होते हैं क्योंकि इनमें से कई उपकरणों में अभी भी डिफ़ॉल्ट पासवर्ड होते हैं। हमने पाया कि कुल मिलाकर लगभग 50% IoT उपकरणों में यह मामला है, और कुछ श्रेणियों के उपकरणों में इससे भी अधिक है।
उदाहरण के लिए, IoT उपकरणों में 95% ऑडियो और वीडियो उपकरणों में डिफ़ॉल्ट पासवर्ड होते हैं। यहां तक कि जब डिवाइस डिफ़ॉल्ट पासवर्ड का उपयोग नहीं करते हैं, तब भी हमने पाया है कि उनमें से अधिकांश ने 10 वर्षों में केवल एक पासवर्ड बदला है।
देखें: पासवर्ड का उल्लंघन: पॉप संस्कृति और पासवर्ड क्यों नहीं मिलते (मुफ्त पीडीएफ) (TechRepublic)
आदर्श रूप से, IoT उपकरणों में अद्वितीय, जटिल पासवर्ड होने चाहिए जो हर 30, 60 या 90 दिनों में घुमाए जाते हैं। हालांकि, सभी डिवाइस जटिल पासवर्ड का समर्थन नहीं करते हैं। कुछ पुराने IoT डिवाइस केवल चार अंकों के पिन को संभाल सकते हैं, जबकि अन्य केवल 10 वर्णों की अनुमति देते हैं और कुछ विशेष वर्णों को स्वीकार नहीं करते हैं।
IoT डिवाइस के सभी विवरणों और क्षमताओं को जानना महत्वपूर्ण है, इसलिए प्रभावी पासवर्ड का उपयोग किया जा सकता है और सुरक्षित रूप से परिवर्तन किए जा सकते हैं। कमजोर पासवर्ड पैरामीटर वाले पुराने उपकरणों या प्रमाणीकरण का कोई स्तर प्रदान करने की क्षमता के लिए, उन उपकरणों को अधिक आधुनिक उत्पादों के साथ बदलने पर विचार करें जो बेहतर सुरक्षा प्रथाओं की अनुमति देंगे।
डिवाइस फर्मवेयर प्रबंधित करें
कई IoT डिवाइस पुराने फर्मवेयर पर चलते हैं, जिससे महत्वपूर्ण सुरक्षा जोखिम पैदा होते हैं क्योंकि कमजोरियां व्यापक हैं। फ़र्मवेयर भेद्यता उपकरणों को कमोडिटी मैलवेयर, परिष्कृत प्रत्यारोपण और पिछले दरवाजे, रिमोट एक्सेस हमलों, डेटा चोरी, रैंसमवेयर, जासूसी और यहां तक कि भौतिक तोड़फोड़ सहित हमलों के लिए असुरक्षित छोड़ देती है। हमारे शोध ने निर्धारित किया कि औसत डिवाइस फर्मवेयर छह साल पुराना है और लगभग एक-चौथाई डिवाइस (25-30%) जीवन के अंत में हैं और अब विक्रेता द्वारा समर्थित नहीं हैं।
IoT उपकरणों को नवीनतम फर्मवेयर संस्करण और विक्रेताओं द्वारा प्रदान किए गए सुरक्षा पैच के साथ अद्यतन किया जाना चाहिए। बेशक, यह एक चुनौती हो सकती है, खासकर बड़े संगठनों में जिनके पास सचमुच सैकड़ों से लाखों डिवाइस हैं। लेकिन नेटवर्क को सुरक्षित रखने के लिए यह किसी न किसी तरह से किया जाना चाहिए। एंटरप्राइज़ IoT सुरक्षा प्लेटफ़ॉर्म उपलब्ध हैं जो बड़े पैमाने पर इन और अन्य सुरक्षा प्रक्रियाओं को स्वचालित कर सकते हैं।
हालांकि, कभी-कभी डिवाइस फर्मवेयर को अपडेट करने के बजाय डाउनग्रेड किया जाना चाहिए। जब एक भेद्यता का व्यापक रूप से शोषण किया जाता है और एक पैच उपलब्ध नहीं होता है – क्योंकि IoT विक्रेताओं को पारंपरिक आईटी डिवाइस निर्माताओं की तुलना में पैच जारी करने में अधिक समय लगता है – यह सलाह दी जा सकती है कि डिवाइस को पहले वाले फर्मवेयर संस्करण में अस्थायी रूप से डाउनग्रेड करें जिसमें यह शामिल नहीं है। भेद्यता
बाहरी कनेक्शन बंद करें और नेटवर्क एक्सेस सीमित करें
IoT उपकरणों को खोजना अक्सर आसान होता है और इनमें कई कनेक्टिविटी सुविधाएँ डिफ़ॉल्ट रूप से सक्षम होती हैं, जैसे वायर्ड और वायरलेस कनेक्शन, ब्लूटूथ, अन्य प्रोटोकॉल, सिक्योर शेल और टेलनेट। यह विनीत पहुंच उन्हें बाहरी हमलावर के लिए एक आसान लक्ष्य बनाती है।
IoT के लिए हार्डनिंग सिस्टम कंपनियों के लिए उतना ही महत्वपूर्ण है जितना कि उनके IT नेटवर्क। IoT डिवाइस हार्डनिंग में इन बाहरी पोर्ट और अनावश्यक क्षमताओं को बंद करना शामिल है। कुछ उदाहरण एसएसएच चला रहे हैं लेकिन टेलनेट नहीं, वायर्ड ईथरनेट चला रहे हैं लेकिन वाई-फाई नहीं चल रहे हैं और ब्लूटूथ बंद कर रहे हैं।
कंपनियों को नेटवर्क के बाहर संचार करने की अपनी क्षमता को भी सीमित करना चाहिए। यह नेटवर्क फायरवॉल, यूनिडायरेक्शनल डायोड, एक्सेस कंट्रोल लिस्ट और वर्चुअल लोकल एरिया नेटवर्क के माध्यम से लेयर 2 और लेयर 3 पर किया जा सकता है। IoT उपकरणों के लिए इंटरनेट एक्सेस सीमित करने से ऐसे हमले कम होंगे जो कमांड-एंड-कंट्रोल मैलवेयर की स्थापना पर निर्भर करते हैं, जैसे रैंसमवेयर और डेटा चोरी।
सुनिश्चित करें कि प्रमाणपत्र मान्य हैं
हमारे शोध में, हमने पाया कि IoT डिजिटल प्रमाणपत्र, जो सुरक्षित प्राधिकरण, एन्क्रिप्शन और डेटा अखंडता सुनिश्चित करते हैं, अक्सर पुराने हो जाते हैं और खराब तरीके से प्रबंधित होते हैं। यह समस्या महत्वपूर्ण नेटवर्क डिवाइस जैसे वायरलेस एक्सेस पॉइंट में भी होती है, जिसका अर्थ है कि नेटवर्क का प्रारंभिक एक्सेस पॉइंट भी ठीक से सुरक्षित नहीं है।
इन प्रमाणपत्रों की स्थिति को सत्यापित करना और टीएलएस संस्करणों, समाप्ति तिथियों और स्व-हस्ताक्षर जैसे किसी भी जोखिम को दूर करने के लिए उन्हें प्रमाणपत्र प्रबंधन समाधान के साथ एकीकृत करना बहुत महत्वपूर्ण है।
पर्यावरण प्रवाह पर ध्यान दें
एक बार IoT डिवाइस सुरक्षित और सख्त हो जाने के बाद, यह सुनिश्चित करना महत्वपूर्ण है कि वे उसी तरह बने रहें। पर्यावरणीय बहाव एक सामान्य घटना है क्योंकि फर्मवेयर अपडेट, त्रुटियों और मानवीय हस्तक्षेप के कारण समय के साथ डिवाइस सेटिंग्स और कॉन्फ़िगरेशन बदल सकते हैं।
पासवर्ड या अन्य क्रेडेंशियल परिवर्तनों की निगरानी के लिए महत्वपूर्ण डिवाइस परिवर्तनों में पासवर्ड को डिफ़ॉल्ट या PAM पर रीसेट करना, फर्मवेयर डाउनग्रेड, और असुरक्षित सेवाएं शामिल हैं जो अचानक वापस चालू नहीं होती हैं।
फॉस्फोरस के मुख्य सुरक्षा अधिकारी ब्रायन कोंटोस सूचना सुरक्षा उद्योग के 25 वर्षीय अनुभवी हैं। वेरोडिन के अधिग्रहण के बाद, उन्होंने हाल ही में मैंडिएंट में सुरक्षा रणनीति के उपाध्यक्ष के रूप में कार्य किया, जहां वे सीआईएसओ थे। ब्रायन ने अन्य सुरक्षा कंपनियों में वरिष्ठ नेतृत्व की भूमिकाएँ निभाई हैं, जिनमें इंपर्वा में मुख्य सुरक्षा रणनीतिकार और आर्कसाइट में सीआईएसओ शामिल हैं। उन्होंने अपने इन्फोसेक करियर की शुरुआत रक्षा सूचना प्रणाली एजेंसी (डीआईएसए) और फिर बेल लैब्स से की।
