17.01.2024

IoT Güvenliği ve OWASP IoT Top 10
İnternet of Things (IoT) teknolojileri, 2014 yılından bu yana milyarlarca dolarlık bir pazar oluşturarak hızla gelişiyor. Görsel 1'e göre, 2014'ten 2023'e kadar olan süreçte bireysel kullanıcı pazarı 83 milyar dolardan 157 milyar dolara, endüstriyel pazar ise 67 milyar dolardan 95,6 milyar dolara yükselecek. Aynı zamanda, Gartner'a göre, IoT cihazlarının 2020'deki dağılımı ve 2023 tahminleri görsel 2'de görülmektedir.

2020 - 2023 IoT Cihazlarının Sektörlere Göre Dağılımı

5G ve IoT Büyümesi
5G'nin yaygınlaşması, IoT pazarının daha da büyümesini ve kullanımının artmasını sağlayacak. Hücresel veri kullanan IoT cihazlarının mobil şebeke teknolojilerine göre dağılımını görebiliriz.

IoT teknolojisinin yaygınlaşması, iş süreçlerini kolaylaştırmanın yanı sıra siber güvenlik risklerini de beraberinde getiriyor. Bu nedenle, Open Web Application Security Project (OWASP) tarafından geliştirilen OWASP IoT Top 10 projesi, IoT teknolojilerinde en sık karşılaşılan güvenlik risklerini belirlemeyi amaçlamaktadır.
 

OWASP IoT Top 10 Güvenlik Riskleri

OWASP IoT Top 10 2018'e göre, IoT teknolojilerinde en sık karşılaşılan 10 güvenlik riski şunlardır:

Zayıf, Tahmin Edilebilir veya Gömülü Parola Kullanımı
Parola koruması, sistemin en temel güvenlik önlemlerinden biridir. Ancak IoT ürünleri genellikle kolay kurulum için basit parolalar kullanır. Saldırganlar, bu zayıf parolaları kaba kuvvet veya sözlük saldırılarıyla ele geçirebilirler.

Güvensiz Ağ Servisleri
IoT ürünlerinin kullanılan güvensiz veya gereksiz ağ servisleri, cihazların güvenliğini tehdit edebilir. Örneğin, gereksiz açık servis portları veya internet üzerinden erişilebilir yönetim servisleri.

Güvensiz Ekosistem Ara Yüzleri
IoT ekosisteminde kullanılan web veya mobil uygulama ara yüzleri, güvenlik açıklarına neden olabilir. Yetersiz kimlik doğrulama, şifreleme eksiklikleri ve hatalı konfigürasyonlar bu riskleri artırabilir.

Güvensiz Güncelleme Mekanizmaları
Güvenli olmayan güncelleme mekanizmaları, IoT cihazlarını hedef alan saldırıları kolaylaştırabilir. Güvensiz güncelleme süreçleri, saldırganlara cihazları manipüle etme veya güvensiz yazılım yüklemelerine olanak tanır.

Güvensiz veya Güncel Olmayan Bileşenler
IoT cihazlarında kullanılan yazılımların, kütüphanelerin veya sürücülerin güncel olmaması, ciddi güvenlik açıklarına yol açabilir. Özellikle IIoT ürünlerinde bu durum, servis sürekliliğini riske atabilir.

Yetersiz Gizlilik Koruması
IoT cihazları, kişisel verileri topladığından gizlilik büyük bir öneme sahiptir. Güvensiz depolama, kullanıcı yetkilerinin kötü yönetimi ve izinsiz veri toplama, gizlilik risklerini artırabilir.

Güvensiz Veri Transferi ve Depolama

IoT ekosisteminde verinin güvenliği, depolama, transfer ve kullanım aşamalarında sağlanmalıdır. Şifreleme eksiklikleri, zayıf kimlik doğrulama ve yetersiz erişim kontrolleri bu aşamalarda güvenlik açıkları yaratabilir.

Cihaz Yönetimindeki Eksiklikler
IoT cihazlarının etkili bir şekilde yönetilmesi zordur. Varlık envanterinin düzenli tutulmaması, güncelleme yönetiminin yetersiz olması ve güvenliği tehdit eden cihazların belirlenememesi gibi eksiklikler, sistemi savunmasız kılabilir.

Güvensiz Standart Ayarlar
IoT cihazlarının standart ayarları genellikle güvensizdir. Varsayılan kullanıcı adı ve parolalar, cihazların ilk kurulumunda sıklıkla kullanıldığı için saldırganlar için kolay hedefler olabilir.

Zayıf Güvenlik İzleme ve Günlükleme
IoT cihazlarından gelen verilerin izlenmesi ve günlüklenmesi, güvenlik tehditlerini belirlemede önemlidir. Yetersiz izleme ve günlükleme, saldırıları tespit etmeyi ve buna karşı harekete geçmeyi zorlaştırabilir.

 

Kullandığı Hücresel Veri Teknolojisine Göre Dağılımı

 

Çözüm Önerileri

Zayıf, Tahmin Edilebilir veya Gömülü Parola
Güçlü ve benzersiz parolalar kullanın.
Çift faktörlü kimlik doğrulama uygulayın.

Güvensiz Ağ Servisleri
Gereksiz portları kapatın.
Ağ servislerini güncel tutun.

Güvensiz Ekosistem Ara Yüzleri
Güçlü kimlik doğrulama kullanın.
Ara yüzleri düzenli olarak güncelleyin.

Güvensiz Güncelleme Mekanizmaları
Güvenli, şifreli güncelleme protokolleri kullanın.
Güncelleme süreçlerini kontrol edin.

Cihaz Yönetimindeki Eksiklikler
Düzenli varlık envanteri oluşturun.
Güncelleme ve bakım süreçlerini planlayın

Güvensiz Standart Ayarlar
Standart ayarları özelleştirin.
Varsayılan kullanıcı adı ve parolaları değiştirin.

Güvensiz Veri Transferi ve Depolama
Veriyi şifreleyin, iletişimi güvence altına alın.
Erişim kontrollerini sıkılaştırın.

Güvensiz veya Güncel Olmayan Bileşenler
Güvenlik güncellemelerini düzenli olarak yapın.
Üçüncü taraf bileşenleri güvenilir kaynaklardan alın.

Zayıf Güvenlik İzleme ve Günlükleme
Güvenlik olaylarını sürekli izleyin.
Etkili günlükleme politikaları oluşturun ve uygulayın.

Yetersiz Gizlilik Koruması
Kullanıcı izinlerini sıkı bir şekilde yönetin.
Kişisel verileri şifreleyin ve güvenli bir şekilde depolayın.

IoT güvenliği, her geçen gün daha fazla önem kazanıyor. OWASP IoT Top 10, bu alandaki en yaygın güvenlik risklerini belirlemekte ve çözüm önerileri sunmaktadır. Bu listedeki güvenlik risklerini anlamak ve önlemek, hem bireysel kullanıcıları hem de endüstriyel IoT kullanıcılarını siber tehditlere karşı korumak için kritik öneme sahiptir.