एक लचीला IoT फ्रेमवर्क बनाने के तरीके

अपने सभी लाभों के बावजूद, IoT उपकरणों को सुरक्षा को ध्यान में रखकर नहीं बनाया गया था। इससे बड़ी समस्याएं हो सकती हैं।

इंटरनेट ऑफ थिंग्स (IoT) ने कई फायदे लाए हैं। इसने व्यवसायों और आईटी जोखिम को प्रबंधित करने के तरीके को भी बदल दिया है। पिछले कुछ वर्षों में, अपहृत कैमरों, हैक किए गए चिकित्सा उपकरणों और समझौता किए गए औद्योगिक नियंत्रण प्रणालियों के बारे में रिपोर्टें सामने आई हैं। समस्या और भी बदतर हो जाएगी क्योंकि 5G मुख्यधारा बन जाता है और एम्बेडेड IoT डिवाइस अधिक सामान्य हो जाते हैं।

IoT मौजूदा सुरक्षा में सुरक्षा की एक और परत जोड़ता है। यही इसे इतना कठिन बनाता है। क्योंकि IoT संभावित रूप से एक उद्यम के भीतर - और भागीदारों और आपूर्ति श्रृंखलाओं के लिए सब कुछ छूता है - इसमें फर्मवेयर, ऑपरेटिंग सिस्टम, टीसीपी / आईपी स्टैक, नेटवर्क डिज़ाइन, डेटा सुरक्षा उपकरण और बहुत कुछ शामिल है।

मेरिट मैक्सिम फॉरेस्टर में उपाध्यक्ष और अनुसंधान निदेशक हैं। "इस व्यापक पारिस्थितिकी तंत्र में कमजोरियों को नजरअंदाज करना आसान है," वे कहते हैं।

यह एक गंभीर समस्या है। एक नेटवर्क में सभी IoT उपकरणों की पहचान करना बेहद मुश्किल हो सकता है। यह अंत नहीं है।

कई IoT डिवाइस सुरक्षा को ध्यान में रखते हुए डिज़ाइन नहीं किए गए थे। PwC में साइबर एंड प्राइवेसी इनोवेशन इंस्टीट्यूट के नेता जो नोकेरा ने कहा, "जो लोग IoT सिस्टम को तैनात और स्थापित करते हैं, उनके पास हमेशा सुरक्षा की उत्कृष्ट समझ नहीं होती है। विभिन्न निर्माताओं के कई उपकरणों को जोड़ने से जटिलता बढ़ जाती है।"

नियंत्रण से बाहर

IoT सुरक्षा पर हर चर्चा एक साधारण तथ्य से शुरू होती है: इंटरनेट ऑफ थिंग्स सुरक्षा के मामले में पारंपरिक आईटी से मौलिक रूप से अलग है। कई IoT उपकरणों में एक उपयोगकर्ता इंटरफ़ेस नहीं होता है, इसलिए एंटरप्राइज़ नेटवर्क तक पहुंच प्राप्त करने के लिए अक्सर सीधे डिवाइस पर या डिवाइस के माध्यम से हमले किए जाते हैं। मैक्सिम यह भी बताता है कि हमले रैंसमवेयर या अन्य हमलों से अलग गतिशील हो सकते हैं।

वे कहते हैं, "प्रेरणा अक्सर बड़े पैमाने पर व्यवधान के लिए होती है।"

वास्तव में, किसी हमले के कारण ऐसे उपकरण हो सकते हैं जिनकी मरम्मत नहीं की जा सकती या वे व्यावसायिक व्यवधान उत्पन्न कर सकते हैं जो आर्थिक या राजनीतिक रूप से प्रेरित हो सकते हैं। उदाहरण के लिए, फरवरी में, एक हैकर ने एक औद्योगिक नियंत्रण प्रणाली के माध्यम से फ्लोरिडा में एक जल उपचार संयंत्र का उल्लंघन किया और पानी की गुणवत्ता के साथ छेड़छाड़ करने का प्रयास किया। 2018 में वापस, साइबर चोरों ने लॉबी में स्थित एक एक्वेरियम में इंटरनेट से जुड़े थर्मामीटर के माध्यम से यूके में एक जुआ कैसीनो को हैक कर लिया। कैसीनो के ग्राहक डेटा को चोरों ने चुरा लिया था।

निर्माता अक्सर अपने स्वयं के फर्मवेयर, प्रोटोकॉल और डिज़ाइन मानक बनाते हैं। वे हमेशा सिस्टम को बनाए रखने और पैच करने का अच्छा काम नहीं करते हैं। कई IoT डिवाइस विंडोज और लिनक्स के पुराने संस्करणों पर निर्भर हैं। IoT तालिका में और अधिक सिरदर्द ला रहा है: औद्योगिक नियंत्रण प्रणाली और मशीनरी जिनका उद्देश्य दुनिया से जुड़ने का इरादा नहीं था, अब हिस्सा हैं।

आप अपने आपको सुरक्षित करें

उल्लेखनीय रूप से, पिछले जून में पोनमोन इंस्टीट्यूट द्वारा सर्वेक्षण में शामिल 74% फर्मों ने कहा कि उनके IoT जोखिम प्रबंधन कार्यक्रम IoT उपकरणों के सर्वव्यापी उपयोग से उत्पन्न जोखिमों के साथ तालमेल रखने में विफल रहे हैं।

PwC के Nocera का कहना है कि नेटवर्क पर चल रहे IoT उपकरणों को जानना, और उनके पास कौन सा डेटा है, मजबूत सुरक्षा के निर्माण में पहला कदम है।

वे कहते हैं, ''कई कंपनियां नहीं जानतीं.''

यह इस तथ्य से और अधिक कठिन बना दिया गया है कि कुछ निर्माता अस्पष्ट नामों या कोड का उपयोग करते हैं जो स्पष्ट रूप से उनके उपकरणों की पहचान नहीं करते हैं। नोकेरा का सुझाव है कि आप एक समूह को जिम्मेदारी सौंपते हैं और संभावित विफलता बिंदुओं और जोखिमों की पहचान करने के लिए एक सूची का संचालन करते हैं। कभी-कभी, किसी संगठन को विशेष परिसंपत्ति प्रबंधन या खोज समाधान की आवश्यकता हो सकती है।

संपूर्ण IoT परिदृश्य पर दृश्यता और नियंत्रण स्थापित करना महत्वपूर्ण है।

नोकेरा कहते हैं, "एक संगठन को विभिन्न उपकरणों को चालू और बंद करने और तदनुसार उन्हें कॉन्फ़िगर करने में सक्षम होना चाहिए।"

यह सुनिश्चित करने के लिए सही टूल के साथ संभव है कि डिवाइस पर केवल आवश्यक सेवाएं चल रही हैं और अन्य सभी डिवाइस बंद हैं। एक और समस्या यह है कि कॉन्फ़िगरेशन प्रबंधन पते यह सुनिश्चित कर रहे हैं कि डिवाइस डिफ़ॉल्ट पासवर्ड या फ़ैक्टरी सेटिंग्स का उपयोग नहीं करते हैं।

Ulf Mattsson (Protegrity के मुख्य सुरक्षा रणनीतिकार) का कहना है कि पासवर्ड को नियमित रूप से बदलते रहना चाहिए. वह टोकन, डेटा गुमनामी, और बहुकारक प्रमाणीकरण (एमएफए) के साथ-साथ बायोमेट्रिक प्रमाणीकरण का उपयोग करने की सलाह देते हैं। डेटा एन्क्रिप्शन गति में और आराम से, अगली पीढ़ी के फ़ायरवॉल, और घुसपैठ की रोकथाम प्रणाली (IPS) सभी आवश्यक हैं। उनका कहना है कि इन प्रणालियों को अद्यतित और पैच करना महत्वपूर्ण है।

नोकेरा यह भी नोट करता है कि नेटवर्क विभाजन एक अन्य उपयोगी उपकरण है। औद्योगिक नियंत्रण, उद्यम अनुप्रयोगों और अन्य महत्वपूर्ण सूचनाओं जैसे प्रमुख प्रणालियों को अलग करना महत्वपूर्ण है ताकि हैकर्स IoT उपकरणों के माध्यम से नेटवर्क में हैक न कर सकें।

वह कहते हैं, उदाहरण के लिए, "यदि आप एक शिपिंग कंपनी और रसद कंपनी हैं, तो शायद आपके बेड़े को प्रबंधित करने के लिए उपयोग किए जाने वाले IoT उपकरणों को IoT डिवाइस और गोदाम में उपयोग किए जाने वाले अन्य सिस्टम से बात करने की आवश्यकता नहीं है," इस तरह, यदि कोई हो उपकरणों से छेड़छाड़ की जाती है, तो आप केवल एक वेयरहाउस खो देते हैं और आपके सभी वेयरहाउस नहीं।

IT खेलना सुरक्षित है

कई अन्य रणनीतियाँ हैं जिनका उपयोग अधिक लचीला IoT अवसंरचना के निर्माण के लिए किया जा सकता है। इन रणनीतियों में क्लाउड क्रेडेंशियल्स को लॉक करना शामिल है जिनका उपयोग उपकरणों को पुन: कॉन्फ़िगर करने के लिए किया जा सकता है। उन सुविधाओं को अक्षम करना जिनका उपयोग नहीं किया जाता है। IoT अवसंरचना का नियमित रूप से ऑडिट करना और अनावश्यक उपकरणों को सेवानिवृत्त करना। मैलवेयर सुरक्षा को अप-टू-डेट रखना और कम सुरक्षित उपकरणों को बदलना। आपको यह भी पता होना चाहिए कि 5G एक IoT ढांचे को कैसे प्रभावित करता है।

मैक्सिम का कहना है कि नए IoT उपकरणों की तलाश करना भी बुद्धिमानी है जो सुरक्षित सिलिकॉन और रूट ऑफ ट्रस्ट (RoT) तकनीकों का उपयोग करते हैं। यह इस संभावना को कम करता है कि BIOS या ऑपरेटिंग-सिस्टम-स्तर को बदला जा सकता है। ध्यान देने योग्य एक अन्य क्षेत्र कनेक्टर्स, एप्लिकेशन प्रोग्रामिंग इंटरफेस (एपीआई) का बढ़ता उपयोग है, जो डेटा स्रोतों और उपकरणों का विस्तार और कभी-कभी मुखौटा करते हैं।

हमारे समर्पित डेवलपर्स को काम पर रखना चाहते हैं? एक मुफ्त अनुमान प्राप्त करें

एक समग्र दृष्टिकोण जो उपकरणों और डेटा को सुरक्षित करने के लिए कई प्रकार के उपकरणों और रणनीतियों का उपयोग करता है, सबसे अच्छा बचाव है। मैक्सिम का कहना है कि किसी भी IoT डिवाइस या सिस्टम को एंटरप्राइज़ एप्लिकेशन के समान कठोर समीक्षा से गुजरना चाहिए और इसे तैनात करने के बाद सख्त सुरक्षा मानकों के अधीन होना चाहिए।

वह कहते हैं कि IoT नए और कभी-कभी अधिक गंभीर जोखिम पैदा करता है, जो व्यवसायों को बाधित कर सकता है या मृत्यु का कारण बन सकता है।