עדיין מזניחים התקני IoT? אלה שתי נקודות החולשה העיקריות שחושפות אתכם לתקיפה

תמיד ידענו שיש סיכון במכשירים מחוברים, אבל אף פעם לא היה מאוד דחוף לעשות משהו בנוגע לזה. בשנים האחרונות, עם שילוב הענן, כבר לא מדובר בשואב אבק ביתי שנפרץ, אלא בפוטנציאל למתקפות מורכבות

כתבת אורחת
7.1.25

תמונה: Pixabay

מאת: מירי אופיר

התקני IoT תמיד נחשבו לחוליה החלשה בכל הקשור להגנת סייבר בארגונים, אך משום שרמת הסיכון שלהם נחשבת לנמוכה הם לרוב מוזנחים. כלומר גם אם ידענו שזה חשוב, זה אף פעם לא היה מאוד דחוף לעשות משהו בנוגע לזה, כי עד כמה מסוכן יכול להיות שואב אבק ביתי שנפרץ והדליף כמה תמונות מביכות?

אך בשנים האחרונות התרחשו שינויים משמעותיים בתחום. קטגוריית המכשירים המחוברים ל-IoT התרחבה באופן דרמטי והם משמשים במגוון תעשיות – מניהול ערים חכמות ועד בקרת תשתיות קריטיות. על אף יכולות Edge computing מרשימות, מכשירים אלה כבר לא עומדים בפני עצמם אלא מתחברים לרשתות ענק, מסונכרנים ביניהם למיטוב ביצועים, משתפים מידע ומנוהלים דרך הענן. הרחבת היכולות הובילה להגדלת משטחי התקיפה הפוטנציאליים, והאקרים מנצלים זאת כדי לעלות מדרגה. התוצאה היא שאנחנו רואים מתקפות מורכבות הכוללות מבצעי ריגול, שיבוש והרס דרך מכשירי IoT, המבוצעות גם על ידי קבוצות תקיפה מדינתיות.


כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime


את השינוי גם אפשר לראות אצל ספקיות הענן המובילות, שמציעות פלטפורמות לניהול מכשירי IoT, הכוללות יכולות כמו ניהול מרכזי, קישוריות מאובטחת, בקרת גישה, ניטור ועוד. גם ניתן לשלב את ניהול המכשירים האלו בתוך שירותי הענן הארגוניים ולהשתמש ב-API כדי לצרוך מידע חיוני לצרכים מגוונים, כגון אנליטיקות ענן, שירותי AI, הרחבת יכולות מוצר או אינטגרציה עם מערכות ושירותים נוספים. מרבית היצרנים מציעים אפליקציות מובייל לניהול התקנים ביתיים, לצד אפליקציות ווב מותאמות ליישומים ארגוניים ותעשייתיים, ומערכות אלו נפרסות לרוב בעננים ציבוריים או פרטיים, בהתאם לצרכים של הלקוחות.

שילוב IoT וענן יכול להיות קוקטייל מסוכן, כשקונפיגורציות שגויות מאפשרות גישה עם הרשאות יתר וארכיטקטורה לא מאובטחת. דמיינו מכונה וירטואלית בענן עם חולשות שניתן לנצל, חשיפה לאינטרנט וגישה להרשאות יתר לתוך חשבון הענן או הרשתות המקומיות. תוקף שיצליח להיכנס למכונה, יוכל לגשת משם אל הענן או לרשת שלכם. כעת אותה מכונה היא למעשה מכונה פיזית שיושבת בבית או במשרד, ולא וירטואלית; מערכות הניטור הענניות לא מכירות אותה, וגם לא יודעות להתריע על בעיות קונפיגורציה הקיימות בה. מכונה זו עלולה להיות גשר הכניסה לתוך הענן שלכם, ויש שתי נקודות חולשה עיקריות שמאפשרות את זה.

1. חיינו הקשים עם הסיסמאות

פריצה למכשירי IoT היא קלה יחסית, בעיקר בשל בעיית הסיסמאות הנפוצה. בעוד שבמוצרי IT כבר הוטמעו ברוב המוחלט פתרונות כמו MFA ו-OPT, עולם ה-IoT נשאר מאחור. מכשירים רבים עדיין מגיעים עם סיסמאות ברירת מחדל או ללא סיסמה כלל. כמו כן, ההתקנה נעשית על ידי גישה אלחוטית מקרוב וחיבור המכשיר לרשת לשליטה מרחוק, כי נרצה לנהל את המכשיר מהטלפון או מהקלאוד כמובן. ומרגע זה, המכשיר מחובר לרשת – אבל את הסיסמה, לא בטוח שזכרנו להחליף. כך נוצר מצב שבו מכשירים חשופים ונגישים. כדי לצמצם את משטח התקיפה הפוטנציאלי, חשוב לא רק להשתמש בסיסמאות מורכבות, אלא גם לוודא שמוגדרת פוליסה שלא מאפשרת גישה מבחוץ – אלא רק יציאה החוצה.

תרשים: צ'ק פוינט

כשלי קונפיגורציה נוספים יכולים להיות פורטים פתוחים, תקשורת שאינה מאובטחת, סרטיפיקטים פגי תוקף ועוד. לגבי תקשורות, נשאף שמכשיר IoT יתקשר עם מערכת הניהול שלו באמצעות Polling ומשיכת הגדרות ולא נאפשר תקשורת Inbound לתוך המכשיר, אלא מכתובות ייעודיות במידת הצורך בלבד.

אתגר נוסף הוא שמירת מפתחות הגישה לשירותי הענן, API Keys ו-Tokens שנשמרים במכשיר בצורה גלויה. דליפה של מפתחות אלו עלולה לא רק לאפשר גישה למכשיר אחד, אלא לצי מכשירים שלם המנוהל בענן. משם נפתחת הדרך להשתלטות עוינת משינויים בהגדרות מכשירים ועד להעברת נתוני טלמטריה רגישים. תוקפים יכולים להשתמש במכשירים כנקודות כניסה לתנועה רוחבית במערכות ענן היברידיות.

מתקפות רבות התחילו כך, בניצול חולשה בודדת, והתרחבו לתנועה רוחבית בתוך הרשת או הענן. בארצות הברית בקיץ האחרון, ספק אינטרנט נאלץ לבצע ריקול והחלפה של יותר ממחצית הנתבים הביתיים המנוהלים על ידו, בעקבות מתקפת סייבר שניצלה חולשות במכשיר, וגרמה להשבתת המכשיר אצל המנויים.

2. בעיית עדכוני התוכנה

הכשל השני המשמעותי הוא בעיית עדכוני התוכנה. יצרנים לא מטפלים בעדכוני אבטחה במהירות, אם בכלל, והמשתמשים לא מודעים לכך שהתגלתה במכשיר חולשה חדשה שמחייבת מענה מהיר. עם זאת, ניהול ענני יכול לפתור את הבעיה באמצעות הפצת עדכונים אוטומטיים. למרות היתרון, משתמשים נוטים להתנגד למנגנון כזה, בעיקר מחשש להשבתות וריסטארט בדיוק בזמן קריטי, מה שמוביל לעיתים לכיבוי הפונקציה – ולסיכון מתמשך.

ג'נרוט: צ'קפוינט

לאחר פתרון בעיית זמינות העדכונים, נוצרה בעיה חדשה של אימות, ומבחינת סקיוריטי יש כאן עקב אכילס רגיש מאוד. בעדכוני אבטחה, במיוחד במערכות Embedded, המכשירים מקבלים קובצי הרצה או אפילו מחליפים את מערכת ההפעלה כולה. תוקפים עשויים לנצל חולשות אלו כדי לדחוף תוכנות המכילות פיסות קוד זדוניות, בוטים וחבריהם. דוגמה לכך היא מתקפת סולר ווינדס המפורסמת.

פתרונות מתקדמים מיושמים היום על ידי רכיבי חומרה מסוג TPM כמו ARM Trustzone. יישום פתרונות אלו בשילוב עם עדכוני ענן דורש ניהול חתימות ומפתחות קריפטוגרפיים, ושמירת מפתח פרטי ייחודי עבור כל מכשיר ברכיב ה- TPM. זה מוסיף מורכבות הכרחית כדי להבטיח שהמכשיר יקבל רק עדכוני אבטחה מאומתים מהיצרן.

מאחורי המילים הטרנדיות

קונפיגורציות שגויות ב-IoT ובענן גורמות לשרשרת אתגרים שיכולה להוביל לנזקים פיזיים כמו כשלי ציוד, סיכוני בטיחות והפרעות בתפעול. תוצאות אלו כוללות קנסות רגולטוריים, תביעות לקוחות ונזק למוניטין. לנוכח הגידול במתקפות, כולל מתקפות מדינתיות, מדינות כמו האיחוד האירופי מחמירות את דרישות הרגולציה ליצרנים. ה-GDPR הורחב גם למכשירי IoT באמצעות Data Act, ובאוקטובר האחרון אושרה הצעת חוק Cyber Resilience Act הידועה בשם CRA. הרגולטורים האירופיים מטילים סנקציות כבדות על הפרות.

מה אפשר לעשות?

לחנך משתמשים וארגונים: רבות מהפגיעויות ב-IoT ניתנות למניעה עם מודעות בסיסית והדרכה נכונה.

לאמץ ניהול קפדני של המכשירים: ארגונים חייבים לשמור על ניטור קפדני של כל מכשירי ה-IoT המחוברים, לבצע אודיטים שוטפים של קונפיגורציות ומבדקי חדירות הכוללים בדיקת מכשירים כמו מדפסות, מצלמות, טלוויזיות חכמות, ראוטרים ומגדילי טווח.

להקפיד על ברירות מחדל של קונפיגורציות מאובטחות: זה כולל גם בחירה מוקפדת של ספקי שרשרת האספקה שלכם, כך שספקים יידעו שזה חשוב למשתמשים שלהם.

רגולציה ותקינה: האיחוד האירופי הציג את ה-Cyber Resilience Act, זה בוודאי ישנה את השוק לטובה, באופן דומה להשפעת ה- GDPR.

הכותבת היא דירקטורית מחקר ופיתוח בצ׳ק פוינט

משרות פתוחות

אולי פיספסת

קטגוריות

זה המקום להכיר את החברות, המשרדים וכל מי שעושה את ההייטק בישראל (ויש גם מלא משרות פתוחות!) #תוכן מקודם