تهدد شهادات الجذر المنتهية صلاحية إنترنت الأشياء في Enterprise PlatoBlockchain Data Intelligence. البحث العمودي. عاي.

تهدد شهادات الجذر المنتهية الصلاحية إنترنت الأشياء في المؤسسة

الطابع الزمني: 22 آب (أغسطس) 2022 ، الساعة 8:00 صباحًا

أصبحت العديد من العناصر اليومية في العالم المتقدم متصلة الآن بالإنترنت، وغالبًا ما يكون ذلك لسبب غير مفهوم. إنها تضيف طبقة أخرى من الفشل التكنولوجي المحتمل الذي يمكن أن يكون مزعجًا للأجهزة الشخصية: فهو يحجب ذلك لن تفتح، أفران الميكروويف ذلك لا تتكيف مع تغيرات الوقتوالثلاجات ذلك بحاجة إلى تحديثات البرامج الثابتة.

ولكن في المؤسسة، عندما تتعطل أجهزة إنترنت الأشياء، فهذا ليس مزحة على تويتر. توقفت خطوط التجميع في المصنع. أجهزة مراقبة معدل ضربات القلب في المستشفيات تتحول إلى وضع عدم الاتصال. تصبح اللوحات الذكية في المدارس الابتدائية مظلمة.

يمثل فشل الأجهزة الذكية خطرًا متزايدًا في عالم المؤسسات، وليس فقط بسبب المخاوف الأمنية التي تمت مناقشتها كثيرًا. يرجع السبب في ذلك إلى انتهاء صلاحية بعض الشهادات الجذرية لهذه الأجهزة — الضرورية للاتصال بالإنترنت بشكل آمن.

"تحتاج الأجهزة إلى معرفة ما تثق به، لذلك يتم دمج شهادة الجذر في الجهاز كأداة مصادقة،" يوضح سكوت هيلم، الباحث الأمني ​​الذي قام تمت كتابته على نطاق واسع حول مشكلة انتهاء صلاحية شهادة الجذر. "بمجرد أن يكون الجهاز في وضع التشغيل، يحاول الاتصال بـ "المنزل" - واجهة برمجة التطبيقات (API) أو خادم الشركة المصنعة - ويتحقق من شهادة الجذر هذه ليقول: "نعم، أنا متصل بهذا الشيء الآمن الصحيح." في الأساس [شهادة الجذر هي] مرساة ثقة، وإطار مرجعي للجهاز لمعرفة ما يتحدث إليه."

من الناحية العملية، تشبه هذه المصادقة شبكة ويب أو سلسلة. تصدر سلطات التصديق (CAs) جميع أنواع الشهادات الرقمية، و"تتحدث" الكيانات مع بعضها البعض، وأحيانًا بمستويات متعددة. لكن الرابط الأول والأكثر أهمية في هذه السلسلة هو دائمًا الشهادة الجذرية. بدونها، لا يمكن لأي من المستويات المذكورة أعلاه أن يجعل الاتصالات ممكنة. لذا، إذا توقفت شهادة الجذر عن العمل، فلن يتمكن الجهاز من مصادقة الاتصال ولن يتصل بالإنترنت.

وهنا تكمن المشكلة: لقد تم تطوير مفهوم الويب المشفر في عام 2000 تقريبًا، وتظل الشهادات الجذرية صالحة لمدة تتراوح بين 20 إلى 25 عامًا تقريبًا. في عام 2022، إذن، نحن في منتصف فترة انتهاء الصلاحية تلك.

أصدرت المراجع المصدقة الكثير من الشهادات الجذرية الجديدة في العقدين الماضيين، بالطبع، قبل انتهاء صلاحيتها بوقت طويل. يعمل هذا بشكل جيد في عالم الأجهزة الشخصية، حيث يقوم معظم الأشخاص في كثير من الأحيان بالترقية إلى هواتف جديدة والنقر لتحديث أجهزة الكمبيوتر المحمولة الخاصة بهم، حتى يحصلوا على هذه الشهادات الأحدث. ولكن في المؤسسات، قد يكون تحديث الجهاز أكثر صعوبة أو حتى مستحيلًا - وفي قطاعات مثل التصنيع، قد تظل الآلات بالفعل في المصنع بعد مرور 20 إلى 25 عامًا.

وبدون الاتصال بالإنترنت، "لا تساوي هذه الأجهزة شيئًا"، كما يقول كيفن بوتشيك، نائب رئيس استراتيجية الأمان واستخبارات التهديدات في شركة Venafi، المزودة لخدمات إدارة هوية الآلة. "إنهم يتحولون أساسًا إلى قوالب [عندما تنتهي صلاحية شهادات الجذر الخاصة بهم]: لم يعد بإمكانهم الوثوق في السحابة بعد الآن، ولا يمكنهم تلقي الأوامر، ولا يمكنهم إرسال البيانات، ولا يمكنهم تلقي تحديثات البرامج. هذه مخاطرة حقيقية، خاصة إذا كنت مصنعًا أو مشغلًا من نوع ما.

طلقة تحذيرية

الخطر ليس نظريا. في 30 سبتمبر، تم إصدار شهادة الجذر من قبل المرجع المصدق (CA) الضخم دعونا تشفير انتهت صلاحيتها - و تعطلت العديد من الخدمات عبر الإنترنت. لم يكن انتهاء الصلاحية مفاجئًا، حيث كانت Let's Encrypt تحذر عملائها منذ فترة طويلة بضرورة التحديث إلى شهادة جديدة.

ومع ذلك، كتب هيلمي في أ بلوق وظيفة قبل 10 أيام من انتهاء الصلاحية، "أراهن أن بعض الأشياء من المحتمل أن تنكسر في ذلك اليوم." لقد كان محقا. فشلت بعض الخدمات من Cisco وGoogle وPalo Alto وQuickBooks وFortinet وAuth0 والعديد من الشركات الأخرى.

يقول هيلمي لـ Dark Reading: "والشيء الغريب في ذلك هو أن الأماكن التي تستخدم Let's Encrypt هي بحكم تعريفها حديثة جدًا - لا يمكنك فقط الانتقال إلى موقع الويب الخاص بهم ودفع 10 دولارات وتنزيل شهادتك يدويًا. يجب أن يتم ذلك بواسطة جهاز أو عبر واجهة برمجة التطبيقات الخاصة بهم. كان هؤلاء المستخدمون متقدمين، وكانت لا تزال مشكلة كبيرة حقًا. فماذا يحدث عندما نرى [انتهاء الصلاحية] من المراجع المصدقة القديمة التي لديها هؤلاء العملاء من المؤسسات الكبيرة؟ من المؤكد أن تأثير الضربة القاضية سيكون أكبر”.

الطريق إلى الأمام

ولكن مع بعض التغييرات، لا ينبغي أن يحدث هذا التأثير الضار، كما يقول بوكيك من شركة فينافي، الذي يرى أن التحدي يتمثل في المعرفة وتسلسل القيادة - لذلك يرى الحلول في كل من الوعي والتعاون المبكر.

يقول بوتشيك: "أشعر بسعادة غامرة عندما أرى كبار ضباط الأمن وفرقهم يشاركون على مستوى الشركة المصنعة والمطور". "السؤال ليس فقط: "هل يمكننا تطوير شيء آمن؟" ولكن هل يمكننا الاستمرار في تشغيله؟ غالبًا ما تكون هناك مسؤولية مشتركة للتشغيل على هذه الأجهزة المتصلة عالية القيمة، لذلك نحتاج إلى أن نكون واضحين بشأن كيفية تعاملنا مع ذلك كشركة."

ويقول مارتي إدواردز، نائب المدير التنفيذي للتكنولوجيا التشغيلية وإنترنت الأشياء في شركة Tenable، إن هناك محادثات مماثلة تجري في قطاع البنية التحتية. وهو مهندس صناعي عمل مع شركات المرافق ووزارة الأمن الداخلي الأمريكية.

يقول إدواردز: "بصراحة تامة، في المجال الصناعي الذي يضم المرافق والمصانع، فإن أي حدث يؤدي إلى انقطاع الإنتاج أو الخسارة هو أمر مثير للقلق". "لذلك، في هذه الدوائر المتخصصة، يبحث المهندسون والمطورون بالتأكيد في تأثيرات [انتهاء صلاحية شهادات الجذر] وكيف يمكننا إصلاحها."

على الرغم من تأكيد إدواردز على أنه "متفائل" بشأن تلك المحادثات والدفع باتجاه اعتبارات الأمن السيبراني أثناء عملية الشراء، إلا أنه يعتقد أن هناك حاجة أيضًا إلى مزيد من الرقابة التنظيمية.

يقول إدواردز: "شيء يشبه معيار الرعاية الأساسي الذي ربما يتضمن لغة حول كيفية الحفاظ على سلامة نظام الشهادات". "كانت هناك مناقشات بين مجموعات المعايير المختلفة والحكومات حول إمكانية تتبع الأجهزة ذات المهام الحرجة، على سبيل المثال."

أما بالنسبة إلى Helme، فهو يرغب في رؤية أجهزة المؤسسة جاهزة للتحديثات بطريقة واقعية وغير شاقة بالنسبة للمستخدم أو الشركة المصنعة - ربما يتم إصدار شهادة جديدة وتنزيل التحديث كل خمس سنوات. لكنه يشير إلى أنه لن يتم تحفيز الشركات المصنعة للقيام بذلك ما لم يضغط عملاء المؤسسات من أجل ذلك.

يوافق إدواردز على ذلك قائلاً: "بشكل عام، أعتقد أن هذا أمر تحتاج الصناعة إلى إصلاحه". "الخبر السار هو أن معظم هذه التحديات ليست تكنولوجية بالضرورة. يتعلق الأمر أكثر بمعرفة كيفية عمل كل شيء، واختيار الأشخاص المناسبين والإجراءات المناسبة."

الطابع الزمني:

اكثر من قراءة مظلمة