כיצד לאבטח את מכשירי הקצה ב-IoT (האינטרנט של הדברים)?

דף הבית >> סקירות טכנולוגיות >> כיצד לאבטח את מכשירי הקצה ב-IoT (האינטרנט של הדברים)?
כיצד לאבטח את מכשירי הקצה ב-IoT (האינטרנט של הדברים)?
 מאת: דיניאר דאסטור, 12.6.16, 18:00דיניאר דאסטור
 
איך יכולים מפתחים לדעת כמה אבטחה "מספיקה" כדי להגן על מכשיר מבלי לפגוע בביצועיו? המאמר סוקר קריטריונים לקביעת דרישות אבטחה של מכשירי קצה המקושרים לתשתיות IoT.
 
פרצות אבטחה במערכת ההפעלה, שמהווה חלק ממערכות האינטרנט של הדברים - IoT, דוגמת חיישנים ובקרים הנשלטים ע"י מחשב, עלולות להביא לתוצאות חמורות הכוללות אובדן הכנסות משמעותי, פגיעה באמינות ובמוניטין, ואף סיכון חיי אדם.
 
מחקירת מקרים רבים של פריצה לנתונים בהיקף גדול עולה, שהפריצות לרוב אינן נובעות מפרצה אחת ויחידה, אלא ממספר נקודות כשל. סגירת כל אחת מן הפרצות מסייעת למנוע חדירה או לפחות למזער את הנזק הנגרם.
 
תכנון אבטחת מערכות ההפעלה בעולם ה-IoT מציב אתגרים שונים מאלה המוכרים מאבטחת תוכנה ארגונית או רשתות תקשורת. כיצד יכולים מפתחים לדעת כמה אבטחה "מספיקה" כדי להגן על מכשיר מבלי לפגוע בביצועיו?
 
מאמר זה סוקר את הקריטריונים לקביעת דרישות אבטחה של מכשירי קצה המקושרים לתשתיות IoT. הוא גם מציג גישה גמישה וסקלאבילית להטמעת אמצעי אבטחה יעילים וחסכוניים.
 
אבטחת נקודת האינטראקציה
לאבטחת מכשירים ב-IoT יש חשיבות עליונה. אחרי הכל, מכשירים הם ה"דברים - Things" ב-IoT, שלמעשה מבצעים את פונקציות המערכת ומייצגים את הנתונים, שהמערכת בכללותה מסתמכת עליהם. לעיתים קרובות המכשירים מהווים נקודות ממשק בהן אנשים נמצאים באינטראקציה עם המערכת. אבטחת מכשירים היא בעייתית במיוחד, מכיוון שאלה פגיעים גם בהיבט הפיזי וגם חשופים לאיומים המגיעים מהרשת.
 
התוצאות של פריצה עלולות להיות חמורות. גניבת זהויות צרכנים בהיקף גדול, עלולה להרוס את המוניטין והאמינות של חברה. פריצה לבקר תהליכים ברצפת ייצור תעשייתית, עלולה לגרום להשבתה יקרה ולסיכוני בטיחות, ובמקרה של  מכשור רפואי ברשת, פריצה עלולה אף לסכן חיים.
 
חשוב להבין, שכאשר מתרחשת פריצה בהיקף נרחב למכשירים, היא אינה נגרמת כתוצאה מנקודת כשל יחידה אלא כסדרה של כשלים במספר נקודות תורפה. סגירת הפער בכל אחת מנקודות אלו עשויה להיות צעד גדול בדרך למניעת פריצה, או לפחות לזיהוי תקיפה בתהליך והגבלת הנזק.
 
מפתחים צריכים לטפל במרכיבי האבטחה בזמן תכנון המכשיר, מה שדורש זיהוי נקודות תורפה פוטנציאליות על בסיס האופן והמיקום בהם ישתמשו במכשיר. יש מספר אמצעי אבטחה בהם יכולים לנקוט יצרני מכשירים. האתגר הוא לקבוע מהי רמת האבטחה הנדרשת ואילו אמצעים יהיו היעילים ביותר.
 
תכנון של אבטחה "בדיוק במידה מספקת"
כאמור, תכנון אבטחת מכשירים עבור יישומי IoT, מציב אתגרים שונים מאלה של אבטחת תוכנה ארגונית או רשתות תקשורת. מכשירים משובצי-מחשב הם בד"כ קטנים יותר ובעלי משאבי מחשוב מוגבלים. פונקציות אבטחה רבות מדי עלולות לפגוע בביצועי המכשיר או המערכת בכללותה ולהגדיל את עלות הפיתוח הכוללת. עם זאת, מעט מדי אבטחה עלולה להשאיר נקודות חיוניות חשופות. החוכמה היא לבנות אבטחה "בדיוק במידה מספקת" כדי למזער את נקודת התורפה והאתגר עבור מפתחים הוא להבין כמה זה "בדיוק במידה מספקת" (ראו איור 1).
איור 1
איור 1. שלושה קריטריונים עבור תכנון אבטחה "בדיוק ברמה המספקת".
 
התשובה מהי רמת אבטחה מספקת, תלויה ב-3 קריטריונים מרכזיים:
  1. הסביבה בה המכשיר יופעל: האם המכשיר נמצא במרכז קניות, חשוף לאלפי אנשים ובסיכון להתערבות חיצונית? או שהוא נמצא מאחורי דלת סגורה במתקן מאובטח? תרחישים מנוגדים אלה יוצרים סוגים שונים של  שיקולי אבטחה.
  2. כיצד המכשיר יתחבר ויתקשר: כיצד המכשיר מחובר לרשת? האם הוא מתקשר בצורה אלחוטית עם פרוטוקולים כגון ZigBee או WiFi, שעשויים לדרוש סוג מסוים של הצפנה? האם הוא מאחורי פיירוול? האם הוא מחובר לאינטרנט הציבורי או לרשת אינטרה-נט, שם יש פחות חשיפה להתערבות חיצונית?
  3. סוג הנתונים, שהמכשיר מאחסן: האם המכשיר אוסף נתונים רגישים, כגון מידע פיננסי או רפואי? או האם הוא לוכד מידע רגיש פחות, כגון נתוני מזג אוויר? במקרה כזה תידרש ככל הנראה רמה נמוכה יותר של אבטחה מאשר בקודם לו.
התשובות לשאלות אלו תסייענה לקבוע את מאפייני האבטחה הנדרשים לשילוב במערכת ההפעלה של המכשיר, כדי להבטיח את רמת האבטחה המתאימה. כדי להעניק גמישות מרבית, כדאי להשתמש במערכת הפעלה זמן אמת, שאינה נועלת למערך קבוע מראש של פונקציות אבטחה, אלא מספקת תפריט של תפקודיות אבטחה, מתוכו ניתן לבחור את התכונות הדרושות.
 
4 היסודות לאבטחה של מכשירים:
בנוסף לטיפול ב-3 קריטריונים מרכזיים אלה לקביעת רמת האבטחה המתאימה, מפתחים צריכים לקחת בחשבון אבטחה בכל שלב של מחזור חיי המכשיר (ראו איור 2):
איור 2
איור 2. ארבעת היסודות של אבטחת מכשירים.
 
תכנון: חשוב למנוע כבר מההתחלה החדרה של קוד זדוני במהלך תהליך הפיתוח. אמצעי מנע יכולים לכלול אספקת קוד בינארי חתום, הבטחת האותנטיות ומניעת שינוי בקוד ופיתוח על פלטפורמת תוכנה, שקיבלה הסמכה של תקני אבטחה של התעשייה, כגון IEC 62443 ו-IEC 27034.
ביצוע: בשלב הביצוע, היעד הוא לייצר "בסיס של אמון", כדי למנוע מקוד בינארי, שאינו אמין, לרוץ על המערכת. בכך מבטיחים, שרק התוכנה הנכונה נמצאת על החומרה המתאימה ויש אמון בין השתיים. יצירת בסיס אמון עשויה להביא לשימוש בטכנולוגיית אתחול מאובטח וחתימות מפתח הצפנה כדי למנוע מקוד בלתי חתום מלרוץ. 
תפעול: יש מגוון אמצעים בהם ניתן לנקוט כדי למנוע תקיפות זדוניות במצב תפעול, כולל בקרות למניעת גישה בלתי מורשית ואבטחה של רשתות באמצעות הצפנה.
כיבוי: כאשר מכשיר נמצא בשלב כיבוי, אמצעים כגון אחסון מוצפן וקונטיינרים מאובטחים של נתונים, צריכים להיות נוכחים כדי למנוע גישה לנתונים על הלוח.
 
גישה סקלאבילית לאבטחה של מכשירים
לא תמיד אבטחה יעילה דורשת הצבה של אמצעי מנע בכל נקודת תורפה. לעתים, הגיוני להתחיל עם מספר אמצעים לאבטחת המכשיר בעת התקנתו ואז להוסיף פונקציות אבטחה נוספות ככל שמתקדמים לאורך מחזור חיי המכשיר. ניתן להשיג זאת באמצעות מערכת הפעלה מודולרית, שמאפשרת הרחבה והוספת יכולות לאורך זמן עם הופעתם של איומים חדשים.
 
Security Profile for VxWorks מהווה את אחת הדוגמאות לטכנולוגיה המאפשרת סוג זה של גישה סקלאבילית, שמספקת מערך של יכולות אבטחה, שתוכננו לאינטגרציה קלה לליבת מערכת הפעלה זמן אמת.

איור 3
איור 3. Security Profile for VxWorks מטפל ב-4 היסודות של אבטחת מכשירים.
 
כפי שמוצג באיור 3, יש שיפור עם יכולות העונות לכל אחד מ-4 יסודות האבטחה לאורך מחזור חיי המכשיר הטיפוסי עבור כל סוג של מכשיר מרושת. מפתחים יכולים לבחור את תכונות האבטחה, שהם זקוקים להן, על בסיס קריטריוני התכנון שלהם: סביבת פריסה, תקשורת וקישוריות ורגישות של הנתונים המאוחסנים. זה מאפשר להם להטמיע תכונות חסימה ברמות שונות כדי להקשות על פריצה דרך האבטחה ותקיפת המכשיר ולספק את הגמישות להוסיף תפקודיות אבטחה במשך הזמן.
 
סיכום
אבטחת מכשירים בסביבת IoT חייבת להוות דאגה מרכזית של מפתחי מכשירים ויצרנים ודורשת התייחסות וטיפול כבר בשלב התכנון. בניית אבטחה בתוך מכשירים מציבה אתגרים ייחודיים. מכשירים דורשים אבטחה "בדיוק במידה מספקת", כדי למנוע חדירות מבלי להתפשר על ביצועי המכשיר.
 
למרבה המזל, יש טכנולוגיות המאפשרות למפתחים לנקוט בגישה סקלאבילית לאבטחה עם הוספת רמת האבטחה, שהמכשיר זקוק לה עבור הייעוד שלו, ומאפשרות לשלוט על עלויות ולספק מכשירים עפ"י לוח הזמנים תוך הפחתת הסיכון של הפרות אבטחה.
 
מאת: דיניאר דאסטור, יוני 2016.
סגן נשיא ומנכ"ל מערכות הפעלה, Wind River.

למידע נוסף נא לפנות אל חברת ScaleIL ב- info@scaleil.com


 
אבטחת IOT
 
 



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

2/11/17 - 28/10/17 - German Tel Aviv Week 2017

31/10/17 -  TLV Generator: 30 days Prototype program  

12-19/11/17 - שבוע היזמות העולמי 2017     

14/11/17 - Red Hat Forum Israel 2017  

29-30/11/17 - Microsoft Tech Summit Tel Aviv 

12/12/17 - Video Trends For 2018 Conference   

29-31/1/18 - CybertechTLV 2018  

5/3/18 - GoforIsrael Investment Conference

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לספטמבר 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

קריאה לפיטורים של מנכ"ל משרד התקשורת שלמה פילבר - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים למיבור - כאן

 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
מידע
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Ruckus
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים