عنوان مقاله:
امنیت و ناامنی اینترنت اشیاء مصرفی، تجاری و صنعتی: طبقه بندی حمله و مطالعات موردی
Consumer, Commercial, and Industrial IoT (In)Security: Attack Taxonomy and Case Studies
سال انتشار: 2022
رشته: مهندسی فناوری اطلاعات - مهندسی کامپیوتر
گرایش: اینترنت و شبکه های گسترده - شبکه های کامپیوتری - امنیت اطلاعات
دانلود رایگان این مقاله:
دانلود مقاله امنیت و ناامنی اینترنت اشیاء
مشاهده سایر مقالات جدید:
مقالات ISI مهندسی فناوری اطلاعات
IV. OPEN CHALLENGES
The rapid penetration of IoT devices along with the diversity, heterogeneity, and the multitude of applications that IoT components span, distinguish them from traditional connected devices and networks. As a result, the security issues encountered in IoT interconnected networks, edge devices and lowcost IoT nodes diverge significantly from the ones in the IT security field. To to deal with existing IoT security challenges requires coordinated efforts from manufactures, governments, policy-enforcing agencies, and end-users. In this section, we delineate the security challenges with particular emphasis on the case studies discussed in Section III and the corresponding vulnerabilities exploited in such scenarios.
• Security challenges in IoT ecosystems can be in part contributed to the plethora of vendors developing devices not considering potential vulnerabilities and their corresponding consequences if maliciously exploited. Additionally, negligent end-users who overlook security practises (e.g., do not patch their devices, use default credentials, etc.) undermine the security of IoT devices. For instance, in 2020, multiple vulnerabilities have been identified in 7 different TCP/IP opensource stacks (5 of which exist for almost 20 years now) [108]. The presented case studies III-A2, III-A3, and III-B3 clearly indicate that default credentials is a major factor jeopardizing the secure operation of IoT systems. To address this issue, government agencies have formed relevant policies, and IoT manufacturers have started deploying devices with randomized credentials. For example, the United Kingdom (UK) Minister of Digital announced recently that all pre-programmed passwords of IoT devices need be unique and should not return to their initial state of credentials with a factory reset, banning default passwords in IoT devices [109]. Although such policies can help improve the security of newly manufactured IoT devices, already deployed systems could still be vulnerable to attacks initiated from default credentials. Therefore, security awareness of end-users is crucial for compliance to such nondefault factory password policies.
• The low cost of many IoT devices is a double-edged sword. On one hand, it drives their rapid penetration, but on the other hand, it should not be prioritized above the devices’ security. As presented in case study III-A3, thousands of devices from all IoT pillars – with the majority of them belonging to the consumer IoT domain – were compromised. Most of those IoT devices are inexpensive products which we use on a daily basis, such as printers, routers, IP cameras, etc., that lack fundamental security protections. Thus, IoT manufacturers should balance security performance and low cost and strive to produce secure devices before deploying them to the market. Future-proofing IoT devices by providing software updates to overcome the discovered vulnerabilities also proves challenging, since it introduces significant costs for IoT suppliers. For instance, many mobile phone suppliers discontinue issuing software support updates to their devices after 3-5 years. Evidently, issuing updates to low-cost IoT devices can become cost-prohibitive. In addition, depending on the application field of IoT platforms updating them can also be impractical since it might require specialized personnel with on-site or physical access.
(دقت کنید که این بخش از متن، با استفاده از گوگل ترنسلیت ترجمه شده و توسط مترجمین سایت ای ترجمه، ترجمه نشده است و صرفا جهت آشنایی شما با متن میباشد.)
IV. چالش های باز
نفوذ سریع دستگاههای اینترنت اشیا همراه با تنوع، ناهمگونی و کاربردهای فراوانی که اجزای اینترنت اشیا در بر میگیرند، آنها را از دستگاهها و شبکههای متصل سنتی متمایز میکند. در نتیجه، مسائل امنیتی که در شبکههای متصل به اینترنت اشیا، دستگاههای لبهای و گرههای ارزانقیمت اینترنت اشیا با آنهایی که در حوزه امنیت فناوری اطلاعات وجود دارند، بهطور چشمگیری متفاوت است. مقابله با چالشهای امنیتی اینترنت اشیاء موجود نیازمند تلاشهای هماهنگ از سوی تولیدکنندگان، دولتها، آژانسهای اجرای سیاستها و کاربران نهایی است. در این بخش، چالشهای امنیتی را با تأکید ویژه بر مطالعات موردی مورد بحث در بخش III و آسیبپذیریهای مربوطه که در چنین سناریوهایی مورد سوء استفاده قرار میگیرند، تشریح میکنیم.
• چالشهای امنیتی در اکوسیستمهای IoT میتواند تا حدی به انبوهی از فروشندگان کمک کند که دستگاههایی را توسعه میدهند که آسیبپذیریهای بالقوه و پیامدهای مربوط به آنها را در صورت سوءاستفادههای مخرب در نظر نمیگیرند. علاوه بر این، کاربران نهایی سهل انگاری که اقدامات امنیتی را نادیده می گیرند (به عنوان مثال، دستگاه های خود را اصلاح نمی کنند، از اعتبارنامه های پیش فرض استفاده می کنند، و غیره) امنیت دستگاه های IoT را تضعیف می کنند. به عنوان مثال، در سال 2020، آسیبپذیریهای متعددی در 7 پشته منبع باز TCP/IP مختلف شناسایی شدهاند (5 مورد از آنها تقریباً 20 سال است که وجود دارند) [108]. مطالعات موردی ارائه شده III-A2، III-A3، و III-B3 به وضوح نشان می دهد که اعتبارنامه های پیش فرض عامل اصلی به خطر انداختن عملکرد ایمن سیستم های اینترنت اشیا است. برای رسیدگی به این موضوع، سازمانهای دولتی سیاستهای مربوطه را شکل دادهاند و تولیدکنندگان اینترنت اشیا شروع به استقرار دستگاههایی با اعتبار تصادفی کردهاند. به عنوان مثال، وزیر دیجیتال بریتانیا (بریتانیا) اخیراً اعلام کرد که همه رمزهای عبور از پیش برنامه ریزی شده دستگاه های اینترنت اشیا باید منحصر به فرد باشند و نباید با بازنشانی کارخانه ای به وضعیت اولیه اعتبار خود بازگردند و رمزهای عبور پیش فرض را در دستگاه های اینترنت اشیا ممنوع می کنند [109] . اگرچه چنین سیاستهایی میتوانند به بهبود امنیت دستگاههای اینترنت اشیا جدید کمک کنند، سیستمهای مستقر شده از قبل میتوانند همچنان در برابر حملاتی که از اعتبارنامههای پیشفرض آغاز میشوند آسیبپذیر باشند. بنابراین، آگاهی از امنیت کاربران نهایی برای انطباق با چنین سیاست های رمز عبور کارخانه غیر پیش فرض بسیار مهم است.
