Simple Ways to Improve IoT Security Full Details
IoT सुरक्षा में सुधार के सरल तरीके
इंटरनेट ऑफ थिंग्स (IoT) सर्वव्यापी है, यह अविश्वसनीय है, यह सुविधाजनक है। लेकिन इस तकनीक के प्रसार के साथ जोखिम जोखिम की मात्रा बढ़ती जा रही है। आज, कई अटैक वैक्टर के साथ, साइबर अपराधियों के पास सरल रणनीति और तरीकों के साथ-साथ अवसरों की प्रचुरता है। इसलिए, यह कोई आश्चर्य की बात नहीं है कि असुरक्षित IoT डिवाइस हैकिंग के लिए अतिसंवेदनशील क्यों हैं।
एफ-सिक्योर द्वारा संकलित एक रिपोर्ट के अनुसार, अकेले 2019 में IoT उपकरणों के माध्यम से हमलों में 300% की वृद्धि हुई थी।
IoT की दुनिया तेजी से बढ़ी है, और गार्टनर के अनुसार, 2021 तक इंटरनेट से जुड़े 25 बिलियन डिवाइस होने जा रहे हैं - यह IoT हमले की सतह में भारी वृद्धि है।
सुरक्षा उत्पाद विकास से शुरू होती है
IoT उपकरणों के आसपास इतने सारे सुरक्षा मुद्दे क्यों हैं और इन उपकरणों की सुरक्षा को बेहतर बनाने के लिए हम कौन से सरल कदम उठा सकते हैं? मेरा मानना है कि इन सवालों का जवाब उत्पाद विकास के विभिन्न चरणों में है।
एक परियोजना के कई चरण होते हैं और इसके आधार पर किस पद्धति का पालन किया जाता है, (उदाहरण के लिए, झरना, सर्पिल या फुर्तीली) चरणों में विभिन्न प्रकार की आवश्यकताएं, विश्लेषण, डिजाइन, कोडिंग, कार्यान्वयन, परीक्षण, परिनियोजन और रखरखाव शामिल हो सकते हैं। विकास के प्रत्येक चरण में सुरक्षा बढ़ाने के अवसर हैं।
तो, असुरक्षित IoT उपकरणों से संभावित खतरे के खिलाफ बड़े पैमाने पर कैफे, हवाई अड्डों और समाज में हमारे घरेलू नेटवर्क और व्यापक नेटवर्क की रक्षा करने में एक परियोजना कैसे योगदान करती है?
Networkworld.com के अनुसार, IoT सुरक्षा को बढ़ाने के लिए आवश्यक कुछ कदम यह सुनिश्चित करने के लिए हैं कि स्रोत कोड का पर्याप्त सुरक्षा परीक्षण हो गया है, सुरक्षित अभिगम नियंत्रण लागू किया गया है और सुरक्षा मानक के सही स्तर का पालन किया गया है। सरल लेकिन अक्सर भूल जाने वाली तकनीकें, जैसे कि नेटवर्क का पृथक्करण, जोखिम को सीमित करने के लिए एक लंबा रास्ता तय करते हैं।
निर्माता:- IoT उपकरणों के निर्माताओं को परियोजना के केंद्र में अंतर्निहित सुरक्षा के साथ सुविधा प्रदान करने और 'सिक्योर बाय डिज़ाइन' पद्धति का पालन करने की आवश्यकता है। वे यह सुनिश्चित कर रहे हैं कि बाजार में आने से पहले, एप्लिकेशन/फर्मवेयर कोड के खिलाफ निम्नलिखित सुरक्षा परीक्षण किए गए हैं।
अंतिम उपयोगकर्ता :- चाहे उपभोक्ता व्यवसाय हो या घरेलू, घरेलू उपयोगकर्ता, सुरक्षा सावधानियां निर्माता के साथ समाप्त नहीं हो सकती हैं। (यह भी पढ़ें: सीधे विशेषज्ञों से: कार्यस्थल IoT के साथ जोखिम को कैसे सीमित करें।)
कोड का सुरक्षा परीक्षण
जैसा कि आप कल्पना कर सकते हैं, किसी एप्लिकेशन या फ़र्मवेयर के भीतर कोड की मात्रा केवल कुछ पंक्तियों से लेकर कोड की कई हज़ार पंक्तियों तक भिन्न हो सकती है। इस प्रकार, इस स्तर पर मैन्युअल कोड की समीक्षा करने के लिए कर्मचारियों के संसाधनों पर यह गैर-आर्थिक और काफी नाली है।
मैनुअल परीक्षण
मैनुअल परीक्षण में कोड समीक्षा, सहकर्मी कोड समीक्षा, या पास पास करना शामिल है। ये तकनीकें गलती के लिए एक दूसरे के कोड की जांच करने के लिए अपने साथी प्रोग्रामर के साथ जानबूझकर और व्यवस्थित रूप से बुलाने का कार्य हैं, और सॉफ्टवेयर विकास की प्रक्रिया को तेज और सुव्यवस्थित करने के लिए बार-बार दिखाया गया है।
आंखों की दूसरी जोड़ी दो व्यक्तियों के लिए किसी चीज को क्रियान्वित करने से पहले उसे मंजूरी देने की आवश्यकता होती है। चार-आंखों के सिद्धांत को कभी-कभी दो-व्यक्ति नियम या दो-व्यक्ति नियम कहा जाता है और दोहरे नियंत्रण के सुरक्षा अभ्यास के साथ फिट बैठता है।
स्वचालित परीक्षण
स्वचालित परीक्षण सुरक्षा परीक्षण की पूरी प्रक्रिया को सक्रिय रूप से गति देता है और एक स्थिर (सफेद बॉक्स) अनुप्रयोग या एक गतिशील (ब्लैक बॉक्स) विधि के माध्यम से किया जाता है।
स्टेटिक एप्लिकेशन सिक्योरिटी टेस्टिंग (एसएएसटी), जिसे "व्हाइट-बॉक्स टेस्टिंग" के रूप में भी जाना जाता है, लगभग एक दशक से अधिक समय से है। यह डेवलपर्स को सॉफ़्टवेयर विकास जीवन चक्र में पहले एप्लिकेशन स्रोत कोड में सुरक्षा कमजोरियों को खोजने की अनुमति देता है।
डायनेमिक एप्लिकेशन सिक्योरिटी टेस्टिंग (डीएएसटी) एक ब्लैक-बॉक्स परीक्षण विधि है जो किसी एप्लिकेशन की जांच करती है क्योंकि यह कमजोरियों को खोजने के लिए चल रहा है जिसका एक हमलावर शोषण कर सकता है।
स्वचालित परीक्षण सुनिश्चित करता है कि परीक्षण अनुपालन आवश्यकताओं के अनुसार किया जाता है जैसे कि राष्ट्रीय मानक प्रौद्योगिकी संस्थान (एनआईएसटी), स्वास्थ्य बीमा पोर्टेबिलिटी और जवाबदेही अधिनियम (एचआईपीपीए), और भुगतान कार्ड उद्योग डेटा सुरक्षा मानक (पीसीआई- द्वारा निर्धारित) डीएसएस)।
सुरक्षा स्कैनिंग ओडब्ल्यूएएसपी आईओटी टॉप 10 में सूचीबद्ध कमजोरियों की खोज करती है, जिनमें निम्न शामिल हैं:
कमजोर, अनुमान लगाने में आसान या हार्डकोडेड पासवर्ड।
- सुरक्षित अद्यतन तंत्र का अभाव।
- विरासत घटकों का उपयोग।
- अपर्याप्त गोपनीयता सुरक्षा।
यह ध्यान देने योग्य है कि ऐतिहासिक रूप से, स्वचालित कोड समीक्षाओं को लागतों के कारण किसी प्रोजेक्ट से छोड़ दिया गया है, या बस एक आवश्यकता के रूप में नहीं माना गया है।
सुरक्षित पहुंच नियंत्रण का कार्यान्वयन
IoT में डिवाइस ऑथेंटिकेशन और एक्सेस कंट्रोल मैकेनिज्म भी एक प्रमुख सुरक्षा समस्या है। IoT में प्रमाणीकरण और अभिगम नियंत्रण समस्याएँ IoT की बड़ी संख्या में उपकरणों और मशीन से मशीन (M2M) संचार प्रकृति के कारण हैं।
परंपरागत रूप से, IoT उपकरणों के निर्माताओं ने किसी विशेष उपकरण के उपयोग के प्रकार के अनुरूप मालिकाना प्रोटोकॉल लागू किया है। इस वजह से, आज उपयोग में आने वाले डिवाइस प्रकारों और कई अलग-अलग प्रकार के कनेक्शन गेटवे के बीच इंटरऑपरेबिलिटी की कमी है।
अलग-अलग नेटवर्क यह सुनिश्चित करते हैं कि एक डिवाइस या उपकरणों का सेट अन्य गैर-संबंधित नेटवर्क से अलग-थलग रहे। वर्चुअल लोकल एरिया नेटवर्क (वीएलएएन) के उपयोग से व्यावसायिक वातावरण में अलगाव को पूरा किया जाता है। इसे लागू किया जा सकता है, उदाहरण के लिए, एंटरप्राइज़ नेटवर्क स्विच पर और फ़ायरवॉल नियमों के एक सेट द्वारा सहायता और मजबूत किया जाता है, यह सुनिश्चित करता है कि डिवाइस अभी भी अपने इच्छित उद्देश्य के लिए उपयोग किया जा सकता है, लेकिन एक सुरक्षित तरीके से।
घर पर, आप अभी भी घरेलू वीएलएएन सक्षम राउटर के माध्यम से पृथक नेटवर्क का उपयोग कर सकते हैं। आप नेटवर्क केबल या वाई-फाई के माध्यम से अपने डिवाइस को राउटर से सामान्य तरीके से कनेक्ट कर सकते हैं।
आपको अपने होम नेटवर्क को अलग-अलग नेटवर्क सेगमेंट में विभाजित करने के लिए भी कदम उठाने चाहिए। पीसी मैगज़ीन ने नेटवर्क सेगमेंटेशन के लिए 5 बुनियादी चरणों में प्रक्रिया को तोड़ दिया है।
फ़ायरवॉल नियमों का एक सेट बनाएं जो होम नेटवर्क के भीतर वैकल्पिक वीएलएएन कनेक्शन की सुविधा प्रदान करे। बुनियादी स्तर पर, आपके पास दो या तीन अलग-अलग वर्चुअल नेटवर्क या वीएलएएन हो सकते हैं।
एक अतिथि नेटवर्क
एक निजी नेटवर्क
एक IoT नेटवर्क
विभाजन का उद्देश्य एक वीएलएएन पर उपकरणों को दूसरे वीएलएएन पर उपकरणों के साथ संचार करने से रोकना है, जबकि अभी भी इंटरनेट तक सीमित पहुंच की अनुमति है।
एन्क्रिप्टेड प्रोटोकॉल का प्रयोग करें
IoT उपकरणों पर एन्क्रिप्शन का कार्यान्वयन अक्सर कंप्यूटर की तुलना में कम और कम सुरक्षित होता है। कुछ डिवाइस अपने प्रारंभिक कॉन्फ़िगरेशन में एन्क्रिप्टेड संचार का उपयोग करते हैं, लेकिन उनमें से अधिकांश सामान्य वेब प्रोटोकॉल का उपयोग करते हैं जो सादे पाठ में इंटरनेट पर संचार करते हैं, जो कमजोरियों की पहचान करने के लिए नेटवर्क ट्रैफ़िक को देखने वाले हैकर्स के लिए उन्हें असुरक्षित बनाता है।
कम से कम, सभी वेब ट्रैफ़िक को प्रबंधन स्टेशनों और इंटरनेट पर संचार के लिए HTTPS, ट्रांसपोर्ट लेयर सिक्योरिटी (TLS), सिक्योर फाइल ट्रांसफर प्रोटोकॉल (SFTP), DNS सुरक्षा एक्सटेंशन और अन्य सुरक्षा प्रोटोकॉल का उपयोग करना चाहिए। इसके अलावा, मोबाइल ऐप या अन्य रिमोट गेटवे से कनेक्ट होने वाले उपकरणों को एन्क्रिप्टेड प्रोटोकॉल के साथ-साथ फ्लैश ड्राइव पर संग्रहीत डेटा एन्क्रिप्ट करना चाहिए।
अंतिम उपयोगकर्ता जागरूकता
IoT के उपयोगकर्ताओं के रूप में, हम सभी की जिम्मेदारी है कि हम मैनुअल को पढ़ें, डिफ़ॉल्ट पासवर्ड को बदलें, और उस कार्यक्षमता को बंद करें जिसका उपयोग करने का हमारा कोई इरादा नहीं है। उन चीजों को करने से वेब-कनेक्टेड डिवाइसों द्वारा संभव किए गए गोपनीयता के उल्लंघन या आक्रमण को रोकने में मदद मिलेगी, उदा। एक अज्ञात कॉल करने वाले के लिए हमारे घरों के भीतर बातचीत को छोड़ने और सुनने की क्षमता।
घरेलू IoT को उपयोगकर्ता के अनुकूल, स्थापित करने में आसान और साथ ही, सभी दुर्भावनापूर्ण इनबाउंड ट्रैफ़िक से सुरक्षा प्रदान करनी होगी। हम प्लग एंड प्ले करना चाहते हैं, हां, लेकिन सुरक्षा का एक अच्छा मानक प्रदान करने में भी सक्षम हैं - इंटरनेट पर मौजूद किसी भी बुराई से सुरक्षित।
इससे पहले कि मैं अपना अगला IoT डिवाइस या समाधान खरीदूं, मैं यह सुनिश्चित करना चाहता हूं कि यह डिज़ाइन द्वारा सुरक्षित है। कुछ मामलों में यह हमेशा संभव नहीं होता है, खासकर यदि उत्पाद विरासत प्रकार का है, साथ ही कीमत आमतौर पर मेरे लिए एक ड्राइविंग कारक है।
हालाँकि, यह केवल लागत नहीं है; यह है कि डिवाइस में मानक के रूप में पर्याप्त सुरक्षा सुविधाएं हैं या नहीं। यदि यह मूल रूप से सुरक्षित है, तो यह मेरे होम नेटवर्क को अलग करने की आवश्यकता को संभावित रूप से नकार देगा - यदि निश्चित रूप से स्तरित सुरक्षा दृष्टिकोण की अनदेखी की जाती है।
उपभोक्ता के नजरिए से आपको जिन बातों पर विचार करना चाहिए उनमें से कुछ: क्या आप एक प्रसिद्ध, विश्वसनीय उत्पाद खरीद रहे हैं, क्या इसके बेहतर संस्करण उपलब्ध हैं, सुरक्षा के कौन से मानक अंतर्निहित हैं। इन बिंदुओं पर विचार करने के लिए जानकारी का एक अच्छा स्रोत ट्रेंड माइक्रो है - स्मार्ट डिवाइस खरीदते समय क्या विचार करें।
सुरक्षा मानक
IoT सुरक्षा के उद्देश्य से राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (NIST) के एक नए विनियमन के रूप में क्षितिज पर आशा की एक किरण है। जनवरी 2020 में, NIST ने अपनी दूसरी ड्राफ्ट रिपोर्ट "IoT डिवाइस मैन्युफैक्चरर्स के लिए सिफारिशें: फाउंडेशनल एक्टिविटीज और कोर डिवाइस साइबर सिक्योरिटी कैपेबिलिटी बेसलाइन" प्रकाशित की, जिसने प्रारंभिक ड्राफ्ट "सिक्योरेबल IoT डिवाइसेस के लिए कोर साइबर सिक्योरिटी फीचर बेसलाइन" को बदल दिया। दोनों प्रकाशन जून 2019 में प्रकाशित NIST के "इंटरनेट ऑफ थिंग्स (IoT) साइबर सुरक्षा और गोपनीयता जोखिमों के प्रबंधन के लिए विचार" पर आधारित हैं।
पालन करने के लिए नियमों के एक सेट के बजाय, यह IoT सुरक्षा जोखिमों को कम करने के लिए सर्वोत्तम प्रथाओं को बढ़ावा देने के लिए मूल्यवान मार्गदर्शन प्रदान करने वाली आधार रेखा प्रस्तुत करता है। (यह भी पढ़ें: IoT को हैक करना: भेद्यताएं और रोकथाम के तरीके।)
निष्कर्ष
IoT उत्पादों की दुनिया व्यापक है और कभी-कभी भारी लग सकती है, खासकर जब आप समझदारी से खरीदारी करने की कोशिश कर रहे हों। हालाँकि, आप अपने आप से ये बातें पूछकर और अपनी खोज के लिए निम्नलिखित मानदंड लागू करके दायरे को सीमित कर सकते हैं:
- आप डिवाइस का उपयोग कहां करने जा रहे हैं?
- आप किन विशेषताओं की तलाश में हैं?
- आपका बजट क्या है?
- क्या यह एक प्रसिद्ध और विश्वसनीय उत्पाद या उत्पाद है, क्या मित्र और परिवार इसकी अनुशंसा करते हैं?
- अंत में, सुनिश्चित करें कि यह डिज़ाइन द्वारा सुरक्षित है और साइबर हमलों के लिए खुले किसी भी दरवाजे को बंद कर दें।
