اولین ممنوعیت بریتانیا در جهان برای رمزهای عبور پیش فرض و قابل حدس زدن برای دستگاه های متصل، یک قدم خوشایند است – اما اولین قدم در جهت ایمن سازی چشم انداز به سرعت در حال گسترش اینترنت اشیا (IoT) است.

در حالی که غیرقانونی کردن گذرواژه‌هایی مانند «admin» و «12345» سطح امنیت را افزایش می‌دهد، این قانون در الزام به‌روزرسانی‌های سفت‌افزار و قابلیت‌های امنیتی داخلی به اندازه کافی پیش نمی‌رود. پس ، مدیران سازمانی باید در برابر دیگر حفره‌های آشکار دستگاه در دفتر هوشمند هوشیار باشند.

با چهار برابر شدن حملات اینترنت اشیاء طی پنج سال گذشته و افزایش تهدید بات‌نت‌های اینترنت اشیا، مدیران نمی‌توانند منتظر تنظیم‌کننده‌ها باشند. در اینجا آمده است که چگونه آنها می توانند امنیت سایبری را تشدید کنند و کنترل اکوسیستم دستگاه شرکت خود را دوباره به دست آورند.

جنگ با رمزهای عبور ضعیف

این نوع حکم برای رمزهای عبور پیش‌فرض مدت‌هاست که صادر شده است - و دلیل آن این است که آنها بسیار خطرناک هستند. ترکیب های ساده کاربر-گذرواژه به راحتی قابل حدس زدن یا شکستن هستند و دستگاه ها را به نقاط ورودی بالقوه یا دارایی های آنلاین در معرض خطر تبدیل می کنند.

تحقیقات اخیر نگران کننده است: مهاجمان فقط به پنج مجموعه رمز عبور مشترک نیاز دارند تا به حدود 10٪ از تمام دستگاه های متصل به اینترنت دسترسی داشته باشند. بدافزار Mirai که بیش از 100000 روتر خانگی را برای حملات گسترده انکار سرویس (DDoS) ربوده بود، تنها از 62 ترکیب نام کاربری و رمز عبور استفاده کرد.

این یک موضوع در حال تشدید است. بات‌نت‌های اینترنت اشیا به‌عنوان یک تولیدکننده ترافیک DDoS با دستگاه‌های آسیب‌دیده که بدافزارها را منتشر می‌کنند، داده‌ها را سرقت می‌کنند و سایر حملات سایبری را فعال می‌کنند، ظهور کرده‌اند. تعداد دستگاه‌های DDoS مبتنی بر بات‌نت از حدود 200000 دستگاه در سال گذشته به تقریباً 1 میلیون امروز افزایش یافت که بیش از 40 درصد از کل این ترافیک را تشکیل می‌دهد.

قانون امنیت محصول و زیرساخت‌های مخابراتی بریتانیا 2022 (PSTI) که در آوریل اجرا شد، با الزام دستگاه‌ها یا داشتن یک رمز عبور تصادفی یا ایجاد یک رمز عبور منحصر به فرد در هنگام اولیه‌سازی، به این موضوع رسیدگی می‌کند. عدم رعایت یک جرم کیفری با مجازات تا 10 میلیون پوند یا 4 درصد از درآمد جهانی است، هر کدام که بیشتر باشد.

برای سال‌ها، کارشناسان انتظار داشتند که نیروهای بازار، سازندگان دستگاه‌ها را مجبور به بهبود شیوه‌های رمز عبور کنند. اما، بدون این که آنها گام بردارند، دولت وارد عمل شده و همچنین به تولیدکنندگان دستور می دهد تا ابزاری برای گزارش مسائل امنیتی و جزئیات جدول زمانی به روز رسانی های امنیتی برای محصولات متصل خود ایجاد کنند.

شرکت ها، منتظر رگولاتورها نباشید

این به این معنی نیست که عمل کامل است. برای مثال، هیچ قانون خاصی وجود ندارد که حداقل جدول زمانی را برای گزارش به‌روزرسانی‌های امنیتی بالا تعیین کند. بدتر از آن، استانداردها از مناطق و مقررات قابل مقایسه عقب هستند. PSTI تنها 3 مورد از 13 دستورالعمل امنیت اینترنت اشیاء مؤسسه استانداردهای مخابرات اروپا را برآورده می کند. علاوه بر این، این مقررات با قانون سختگیرانه تر مقاومت سایبری در اروپا فاصله دارد. این مجموعه از قوانین دستگاه متصل - که برای سال 2027 برنامه ریزی شده است - با اجباری کردن پشتیبانی سخت افزاری و نرم افزاری در کل چرخه عمر محصول و همچنین به روز رسانی خودکار، چند قدم جلوتر می رود.

اشتباه نکنید، PSTI یک گام مثبت است و مقابله با رمزهای عبور عمومی بسیار مهم است. همچنین سر و شانه بالاتر از راه حل اختیاری علامت چک مصرف کننده ارائه شده در ایالات متحده است. اما برای شرکت‌هایی که امروزه فعالیت می‌کنند، مقررات فقط می‌توانند محافظت بسیار زیادی را فراهم کنند، و اینکه از چه چیزی محافظت می‌کنند و تا چه حد پیش می‌روند به جایی که شما هستید بستگی دارد. مسئولیت دستیابی به حفاظت جامع در نهایت بر عهده متخصصان فناوری اطلاعات است تا اکوسیستم دستگاه متصل خود را ایمن کنند.

این به معنای اتخاذ ابزارهای پیشرفته و بهترین شیوه ها در حال حاضر است. هیچ بهانه ای وجود ندارد - اعتبار منحصر به فرد و احراز هویت چند عاملی حداقل هستند. یا اینکه به طور کلی رمزهای عبور را حذف کنید و زیرساخت کلید عمومی (PKI) را انتخاب کنید. این روش از رمزنگاری نامتقارن برای ایجاد یک تنظیم اعتماد اولیه بین مشتری و دستگاه مورد نظر استفاده می‌کند، جایی که یک کلید تولید شده جایگزین رمز عبور می‌شود و احراز هویت می‌دهد. این نه تنها شکل بسیار امن‌تری از احراز هویت تک عاملی است، بلکه حملات brute-force را غیرممکن می‌کند.

اما این تازه شروع است. کشف دارایی های دقیق، تقسیم بندی شبکه و نظارت مستمر بسیار مهم هستند. به همین ترتیب، با رمزگذاری تمام داده‌های در حال انتقال و اطمینان از ارتباط مستقیم همتا به همتا، تلاش‌ها برای قفل کردن اتصالات را مضاعف کنید. در نهایت، فرض نکنید و همیشه با پیروی از اصول اعتماد صفر تأیید کنید.

آینده دستگاه های ایمن در اختیار مدیران است

الزامات امنیتی برای ادمین ها فوری است. منتظر چرخش تدریجی چرخ دنده های سیاست نباشید – آینده زیرساخت های متصل شما به اقدام قاطع امروز بستگی دارد.

این با اصول اولیه مانند کنترل های امنیتی بالا شروع می شود. همچنین نیاز به تفکر انتقادی در مورد منشاء دستگاه دارد. یک دستگاه معین از کجا می آید؟ سازنده کیست و اولویت های امنیتی و سوابق آنها چیست؟ این ملاحظات را نمی توان در چشم انداز ریسک های زنجیره تامین فراگیر نادیده گرفت.

علاوه بر این، سیستم عامل و عملکرد داخلی را تحلیل کنید. آیا این یک توزیع لینوکس تمام عیار و پیشرفته با سطح حمله پیچیده و درهای پشتی احتمالی است؟ یا یک سیستم عامل بلادرنگ (RTOS) که عمداً برای کار اختصاصی ساده شده است؟ مدیران باید تحلیل کنند که آیا مزایای قابلیت های پیشرفته افزایش ردپای خطر را توجیه می کند یا خیر. سادگی و محدودیت امنیتی ممکن است مسیر عاقلانه تری برای بسیاری از موارد استفاده از اینترنت اشیا باشد.

دیدن اینکه قانون‌گذاران با واقعیت‌های شدید امنیت سایبری دستگاه‌های مدرن برخورد می‌کنند، دلگرم‌کننده است. با این وجود، دستورات از بالا به پایین تنها می توانند تا آنجا پیش بروند که از شما و کسب و کارتان محافظت کنند. در نهایت، ایمن سازی آینده متصل شما نیازمند انتخاب های عاقلانه دستگاه است - تحلیل دقیق منشاء دستگاه، ترجیح دادن معماری های ایمن بر اساس طراحی، و سفارشی سازی پیش فرض ها. تا زمانی که استانداردها به طور کامل به بلوغ نرسند، شما آخرین خط دفاع هستید.

ما بهترین مدیر رمز عبور تجاری را فهرست کرده ایم .

این مقاله به عنوان بخشی از کانال Expert Insights TechRadarPro تهیه شده است که در آن بهترین و باهوش ترین ذهن ها در صنعت فناوری امروز را معرفی می کنیم. نظرات بیان شده در اینجا نظرات نویسنده است و لزوماً نظرات TechRadarPro یا Future plc نیست. اگر علاقه مند به مشارکت هستید، اطلاعات بیشتری را در اینجا بیابید: https://www.techradar.com/news/submit-your-story-to-techradar-pro