في الساعة 3:00 صباحًا، اهتز الهاتف المحمول فجأة بعنف، وأظهر الإنذار أن 2000 محطة مياه ذكية في إحدى المقاطعات قد انقطع الاتصال بشكل غير طبيعي في نفس الوقت. التحقيق الطارئ لفريق التشغيل والصيانة في حالات الطوارئ، وجد أن هذا ليس عطلًا في المعدات - ولكن متخفيًا في شكل هجوم CC عادي اخترق هجوم CC الحماية الأصلية لمنصة إنترنت الأشياء، وقناة البيانات مزدحمة، والمعدات الجماعية “فقدت الاتصال”. إذا تم فرض هذا الهجوم على سرقة البيانات، فإن العواقب لا يمكن تصورها. دعني أفهم هذا الأمر تمامًا: إن أمن إنترنت الأشياء، بالاعتماد فقط على التشفير من جانب الجهاز ومصادقة النظام الأساسي ليس كافيًا على الإطلاق. حماية رابط الاتصال هي النقطة العمياء لمعظم الشركات.
هناك ميزة قاتلة لاتصالات أجهزة إنترنت الأشياء: اتصال طويل، وحزم صغيرة، وتفاعل عالي التردد. تقوم الكاميرات بتحميل الصور في كل لحظة، وتقوم أجهزة الاستشعار بالإبلاغ عن البيانات البيئية بانتظام، وتستمر السيارات الذكية في إرسال معلومات تحديد المواقع. قد تبدو هذه الاتصالات تافهة، ولكن عددها ضخم ومستمر، ومن السهل جدًا أن تصبح مصدر تضخيم لهجمات حجب الخدمة الموزعة، ولكنها أيضًا في نظر القراصنة “منجم ذهب للبيانات”. تعتقد العديد من الشركات أن بإمكانها الاطمئنان مع تشفير بروتوكول TLS، ولكن لا يزال من الممكن أن تحدث هجمات الرجل في الوسط، وثغرات البروتوكول، وتسريبات المفاتيح. الأمر الأكثر إثارة للخوف هو أن المهاجمين غالبًا ما يستخدمون طلبات العمل العادية لخلط حركة المرور الخبيثة، ولا تستطيع جدران الحماية التقليدية ببساطة معرفة أيهما بيانات حقيقية وأيهما نبضات قلب مزيفة.
في العام الماضي، ساعدت في تدقيق منصة منزلية ذكية، ووجدت أنه على الرغم من أنهم استخدموا HTTPS، إلا أن التحقق من الشهادة يسمح في الواقع لأي مرجع مصدق بإصدارها، ويمكن للوسيط الذي أدخل شهادة مزورة أن يفك تشفيرها بالكامل. بالإضافة إلى ذلك، لم تقم واجهة API الخاصة بهم لتكون متوافقة مع المعدات القديمة، ولم تقم بتحديد المعدل، والمهاجمون الذين لديهم هجمات CC ذات المعدل المنخفض يستنفدون ببطء موارد الواجهة الخلفية. لا يمكن منع هذه المشاكل عن طريق حل أمني واحد. يجب أن يكون أمن إنترنت الأشياء متعدد الطبقات - وشبكة CDN عالية الدفاع، على وجه التحديد في طبقة الاتصال لبناء “درع خفي”.
القيمة الأساسية لشبكة CDN عالية الدفاع هي أنها تدفع عقدة تنظيف حركة المرور الأقرب إلى مصدر الهجوم. فبدلاً من الاتصال مباشرةً بالمصدر، تصل أجهزة إنترنت الأشياء أولاً إلى العقدة الطرفية لشبكة CDN. يتم تنظيف كل حركة المرور هنا أولاً ثم إعادة توجيهها إلى الخادم المصدر. هذا يعني أن عنوان IP المصدر مخفي تماماً، ولا يمكن حتى لهجمات DDoS أن تصل إلى عتبة منزلك. لقد اختبرت، منصة CDN5 لإنترنت الأشياء الصناعية، حتى لو واجهت فيضان UDP بسرعة 300 جيجابت في الثانية، فإن زمن انتقال الأعمال الخلفية يكاد يكون بلا معنى - سيتم قتل حركة المرور في عقدة الحافة.
لكن شبكة CDN عالية الأمان ليست فقط مضادة لتسريب البيانات، فهي تقوم بثلاثة أمور رئيسية: أولاً، ترقيات تشفير SSL كامل الوصلة SSL، TLS 1.2 أو أعلى، ودعم شهادات ECC والمصادقة ثنائية الاتجاه، مما يمنع اختراق المفتاح؛ ثانياً، وحدة WAF الذكية، التي تحدد السلوكيات الشاذة الخاصة ببروتوكولات إنترنت الأشياء، مثل رموز الوظائف الشاذة لـ Modbus TCP وطلبات الاشتراك غير القانونية لـ MQTT; ثالثًا، تكامل بوابة واجهة برمجة التطبيقات، هوية الجهاز للقيام بالتحكم الدقيق، هل تمت سرقة جهاز؟ سحب الرمز الأسود على الفور وإبطال الوصول.
خذ على سبيل المثال CDN07، حيث يحتوي حل أمن إنترنت الأشياء الخاص بهم على وظيفة “خط أساس سلوك الجهاز”. من خلال التعلم الآلي لتحليل تردد الاتصال وحجم الحزمة وهدف الوصول لكل جهاز، بمجرد أن يبدأ الجهاز فجأة في تحميل البيانات بجنون (ربما سرقة محكومة)، أو يبدأ الاتصال في وقت لا ينبغي أن يبدأ فيه (مثل العداد الذكي في الساعة 3 صباحًا)، سيقوم النظام تلقائيًا بتنبيهه وحظره مؤقتًا. هذا أكثر دقة بكثير من مجرد النظر إلى حجم حركة المرور.
التكوين ليس بهذا التعقيد. معظم موفري شبكات CDN عالية الدفاع يقدمون قوالب معدة مسبقًا لإنترنت الأشياء. تحتاج فقط إلى CNAME اسم نطاق الجهاز إلى العنوان الذي توفره شبكة CDN، ثم ضبط بعض السياسات في وحدة التحكم. على سبيل المثال، في خلفية 08Host، غالبًا ما أعطي العملاء هذا الإعداد:
لا تصدق تلك الشائعات القائلة بأن “شبكة CDN ستؤدي إلى زمن انتقال عالٍ في إنترنت الأشياء”. الآن لدى بائعي شبكات CDN السائدة عقد حافة عالمية، وتوجيه ذكي لضمان توصيل الجهاز بأقرب عقدة. بالقياس، يبلغ متوسط الزيادة في زمن الاستجابة 3-5 مللي ثانية فقط، ولكن التحسن الأمني أسي. خاصةً مثل شبكة CDN5 Anycast، حيث يتم تعيين وصول الجهاز تلقائيًا إلى العقدة المثلى، وقد تذهب أجهزة الاستشعار في هونغ كونغ إلى عقدة سنغافورة، وأجهزة شبكات السيارات في ألمانيا المتصلة بعقدة فرانكفورت - قد يكون زمن الوصول أقل من الاتصال المباشر بالمحطة المصدر.
نقطة أخرى مهمة: السجلات والتدقيق. تقوم شبكات CDN عالية الدفاع بتسجيل جميع سجلات الوصول، بما في ذلك معرّف الجهاز والموقع الجغرافي وسلوك الطلب وتفاصيل اعتراض الهجوم. هذه البيانات مهمة للغاية من أجل التتبع اللاحق وضبط السياسات. لقد اعتمدتُ ذات مرة على سجلات CDN07 لاكتشاف مجموعة من الكاميرات التي تم تفريغها بشكل خبيث مع البرامج الثابتة - حيث كانت تصل دائمًا إلى نطاق شاذ معين في وقت محدد. بدون العرض العالمي لشبكة CDN، لم يكن من الممكن اكتشاف هذا النوع من التسلل البطيء على الإطلاق.
بالطبع، ليست كل شبكات CDN مناسبة لسيناريوهات إنترنت الأشياء. يجب أن يركز الاختيار على أربعة جوانب: الأول هو دعم البروتوكول (مثل ما إذا كان متوافقًا مع CoAP، MQTT عبر SSL)، والثاني هو دقة التنظيف (لا يمكن أن تقتل تعليمات الجهاز العادية عن طريق الخطأ)، والثالث هو مرونة القدرة على التوسيع (لا يمكن أن تفقد الحزم في حالة حركة المرور المفاجئة)، والرابع هو نموذج التسعير (وفقًا لعدد الأجهزة أو فواتير معدل التدفق). المشاريع الصغيرة مع 08Host's 08Host's الدفع حسب الحجم فعالة جداً من حيث التكلفة، والمشاريع الكبيرة يوصى بحلول CDN07 المخصصة. لا تختار أبدًا شبكات CDN التقليدية التي تقاوم حركة المرور الكبيرة فقط ولكنها لا تقوم بالتعرف على البروتوكول، وإلا فقد يتم قتل حزم إنترنت الأشياء عن طريق الخطأ على أنها هجوم.
أخيراً، الحقيقة: شبكة CDN عالية الدفاع في أمن إنترنت الأشياء هي في الواقع “الدفاع الخفي”. لا يدركه المستخدمون، ولا يمكن للمهاجمين اختراقه، وينام التشغيل والصيانة بشكل جيد. لكنه ليس حلاً سحرياً - يجب إدارة أمان البرامج الثابتة من جانب الجهاز، وإدارة المفاتيح، ونقاط ضعف النظام الأساسي كالمعتاد. مجرد رابط الاتصال هذا الرابط، مع CDN من الحماية الذاتية هو مجرد رابط اتصال، مع CDN من الحماية الذاتية هو الكثير من القلق. في هذه الأيام، حتى شبكة CDN يجب أن “تمنع زملاء الفريق” (مثل إساءة استخدام الموظفين الداخليين)، ناهيك عن هجمات الشبكة في كل مكان. القيام بعمل جيد للدفاع متعدد الطبقات، أكثر بكثير من المراهنة على الحظ.
حالة من العالم الواقعي: بعد وصول منصة شبكات السيارات إلى CDN5 العام الماضي، لم تقاوم ثلاثمائة هجوم من مستوى G فحسب، بل اعتمدت أيضًا على قواعد WAF لمنع محاولات اختراق متعددة ضد واجهات برمجة التطبيقات للتحكم في السيارة. بعد ذلك، وجد التحليل أن المهاجم أراد استخدام ثغرة لفتح باب السيارة بالجملة، ولكن تم تحديد الطلب الخبيث على أنه غير طبيعي من قبل وحدة التحليل السلوكي لشبكة CDN، والتي قامت بحظره على الفور. وبدون هذا البرنامج، تشير التقديرات إلى أن حدثاً آخر لتسريب البيانات كان من العناوين الرئيسية. إذن، آه، أمن إنترنت الأشياء، بالأحرى مستعدون ولكن غير مستخدمين، لا تستخدموا ولكن غير مستعدين.
