ההכרח של 'Secure-by-Design' בעולם המשתנה במהירות של היום
עולם 'האינטרנט של הדברים' החדש מאופיין במיליונים על מיליונים של מכשירים מחוברים. עם מכשירים לא מאובטחים ונקודות גישה לרשת יותר מאי פעם, עקרונות 'אבטחה לפי תכנון' חיוניים להגנה מפני איומי אבטחת סייבר הולכים וגדלים.
במהלך השנים האחרונות, הטכנולוגיות הדיגיטליות שינו את העולם, והשפיעו על כל מגזרי הפעילות העסקית וחיי היומיום. התוצאה היא עולם האינטרנט של הדברים (IoT), שבו הכל מכשיר ומקושר.
עד סוף 2018, היו בשימוש כ-22 מיליארד מכשירים המחוברים ל-IoT ברחבי העולם. התחזיות מצביעות על כך שהנתון הזה יגדל ל-50 מיליארד עד 2030 - יצירת רשת ענקית של מכשירים מחוברים. [1]
כדי לתמוך בעתיד המחובר מאוד הזה, אלפי מכשירי אינטרנט של הדברים (IoT) מחוברים לרשתות מדי יום. בנוסף, התיאבון לתכונות ופונקציונליות חדשות יצר "צורך במהירות" במונחים של פיתוח ופריסה של סוגים חדשים של מכשירים.c
הצמיחה המהירה של מכשירים מורכבים ומחוברים
מכשירי IoT רבים המחוברים כיום מורכבים ביותר, ומשלבים אלגוריתמים מתקדמים של AI ותכונות אחרות מהדור הבא.
מצלמות אבטחת וידאו מבוססות IP הן דוגמה טובה לכך. במהלך 15 השנים האחרונות, הם התפתחו ממצלמות וידאו אנלוגיות פשוטות, למכשירי IoT מורכבים ודיגיטליים לחלוטין המונעים על ידי למידת מכונה (ML) ובינה מלאכותית.
כמו סוגים אחרים של מכשירים, האבולוציה מונעת על ידי דרישות הלקוחות לשיפור הפונקציונליות והקישוריות. דרישה זו יצרה גם דחיפות בתהליך הפיתוח, כאשר ספקים מתחרים על מנת להציע את התכונות המתקדמות ביותר במהירות האפשרית כדי לזכות בלקוחות ובנתח שוק.
איזון בין מהירות הפיתוח לשיקולי אבטחה
המירוץ לפיתוח מכשירי IoT עשירים יותר ומחוברים יותר מילא את הצרכים התפעוליים של הלקוחות, אך לעתים קרובות היו פשרות במונחים של אבטחה.
אחרי הכל, בניית אבטחה בכל ההיבטים של תהליך הייצור לוקחת זמן - משאב יקר שלא תמיד זמין. בגלל לחצי זמן, כמה יצרני מכשירים בחרו במהירות פיתוח וייצור על פני אבטחה.
ההשלכות: זינוק עולמי באירועי אבטחת סייבר
ההשלכות של מהירות על אבטחה היו עלייה עצומה באירועי אבטחת סייבר IoT חמורים. פושעי סייבר הצליחו לגשת למיליוני מכשירי IoT בקלות יחסית, פשוט בגלל שהמכשירים הללו לא פותחו ויוצרו מתוך מחשבה על אבטחה.
עד סוף 2016, למשל, Mirai Botnet הפך לחדשות עולמיות ואבטחת IoT התחילה לקבל תשומת לב רצינית. זוהי דוגמה ברורה למה שיכול להשתבש כאשר מכשירי IoT לא מאובטחים כמו צגי תינוקות, נתבי רשת, מכשירים חקלאיים, מכשירים רפואיים, מכשירי חשמל ביתיים, מכשירי DVR, מצלמות או גלאי עשן מחוברים לאינטרנט ללא אבטחה מתאימה.
במקרה של מיראי, התוקפים הצליחו לפרוץ למיליוני מכשירי IoT לא מאובטחים - במקרה הזה, מצלמות. לאחר מכן הם השתמשו בכוח המחשב המשולב של המכשירים כדי להשיק התקפות אינטרנט ממוקדות DDoS (Distributed Denial of Service).
והלקח עדיין לא נלמד
לרוע המזל, תקריות סייבר רבות נוספות עם מכשירי IoT קרו מאז 2016 - וממשיכות לקרות מדי יום. חוקרי אבטחה מ-F-Secure פרסמו אזהרה ב-2019, כי התקפות סייבר על מכשירי IoT צומחות בקצב חסר תקדים. הם מדדו "עלייה של פי שלושה בתעבורת ההתקפה ליותר מ-2.9 מיליארד אירועים".
במחקר, האיום הגובר הזה יוחס, בין השאר, ל"חוסר בסיסי של הגנות בהתיישנות הקושחה או הארכיטקטורות, וחלקו בגלל היעדר ניהול אבטחת מידע. לעתים קרובות מחלקות IT אפילו לא מודעות לכל המכשירים האלה ברשתות שלהם." [2]
החשיבות הקריטית של ייצור 'אבטחה לפי תכנון'
אחת הדרכים העיקריות למנוע התקפות מזיקות על מכשירי IoT היא לשפר את ההגנה של מכשירים אלו. לרוע המזל, קשה מאוד להוסיף אבטחה יעילה לאחר ייצור ו/או התקנת מכשיר ה-IoT. במקום זאת, הדרך היעילה ביותר למנוע הפרות היא ליישם אבטחה במהלך ייצור המכשיר - המכונה לעתים קרובות ייצור 'אבטחה לפי תכנון'.
Secure-by-Design עוסק בבניית אבטחה בכל שלב בתהליך הייצור, מהשלב הרעיוני ועד לשלב האספקה הסופי - כפי שמוצג בגרפיקה למטה:
בשלב הרעיוני מוגדרות דרישות אבטחה; בשלב התכנון, מפתחת ארכיטקטורת אבטחה לתכנון המוצר; בשלב הפיתוח תתבצע סקירת קוד תוכנה וסריקת קוד; בשלב האימות מבוצעות בדיקות עט ובשלב האספקה ניתנות הדרכות אבטחה ותמיכה טכנית. כל אמצעי האבטחה הללו בתהליך הייצור משפרים את עמידות הסייבר של מצלמת אבטחת וידאו ומייתרים לאחר מכן שיפורי אבטחת סייבר יקרים.
כיצד להפוך את Secure-by-Design לעדיפות ארגונית
ישנם מספר תנאים מוקדמים ליצרנים שרוצים לשלב עקרונות Secure-by-Design בכל ההיבטים של תהליך הייצור שלהם. ראשית, צריכה להיות מחויבות ברמה הארגונית להשקיע באבטחה של כל מוצר. זה עשוי להשפיע על עלויות הייצור, אבל זה גם ישפר באופן דרמטי את האבטחה והאמינות - ולפיכך את הערך - של מוצרים על ידי מתן הבטחות אבטחה מסוימות ללקוחות.
כדרישה נוספת, Secure-by-Design דורש מיצרנים להיות פתוחים לבדיקות חדירה (בדיקת עט) על ידי צדדים שלישיים ברגע שהמכשירים מתוכננים, מיוצרים ופועלים. זה מבטיח שהמוצרים מסוגלים לעמוד בפני איומי אבטחת סייבר חדשים ומתפתחים - כמו גם קיימים.
בסופו של דבר, עקרונות Secure-by-Design דורשים מהיצרנים להיות רציניים באמת בחיזוק אבטחת הסייבר שלהם והגנה על לקוחותיהם מפני פרצות אבטחה. זה המקרה ב-Hikvision, שם אנו משתמשים בעקרונות 'אבטחה לפי תכנון' כדי למזער את הסיכון לפגיעה במתקפות אבטחת סייבר בכל מגוון המוצרים שלנו. לפרטים נוספים על האופן שבו אנו עושים זאת, אנא קראו את דף האבטחה שלנו.
תוכלו גם לגלות עוד על אסטרטגיית ויכולות אבטחת הסייבר שלנו, וכיצד אנו מבטיחים שהמצלמות המחוברות שלנו ומוצרים אחרים עמידים בפני התקפות, כאן.
[1]Source: http://statista.com – H.Tankovska, 26 Oct 2020
[2]Source: Forbes.com – September 14, 2019
Subscribe to newsletter
Subscribe to our email newsletter to get the latest, trending content from Hikvision
אתר זה משתמש ב-Cookies לאחסון מידע בהתקן שלך. Cookies עוזר לעבודתו התקינה של האתר שלנו, ומלמד אותנו כיצד ניתן לשפר את חווית המשתמש שלך.
המשך הגלישה באתר מהווה את הסכמתך למדיניות ה-Cookiesומדיניות הפרטיות שלנו.
You are using a web browser we don’t support. Please try one of the following options to have a better experience of our web content.