Perangkat IoT Yang Berdampak Terkena Masalah Cyber
Perangkat IoT Yang Berdampak Terkena Masalah Cyber – Bayangkan membaca berita utama di berita besok yang menyatakan bahwa identitas tetangga Anda dicuri dan tabungan hidup mereka dibersihkan oleh penjahat yang masuk melalui mesin cuci ‘pintar’ mereka. Anda mungkin memiliki beberapa gadget rumah tangga yang terhubung dan perangkat internet of things (IoT) lainnya yang ditambatkan secara nirkabel melalui router yang salah konfigurasi tanpa pengaturan firewall. Apakah firmware saat ini? Apakah patch keamanan mutakhir?
Perangkat IoT Yang Berdampak Terkena Masalah Cyber
deshack – Masih tidak yakin ini adalah masalah serius? Kemudian pertimbangkan contoh mencolok tentang betapa berbahayanya perangkat yang sudah ketinggalan zaman. Pada bulan Juni, pemilik Western Digital My Book NAS di seluruh dunia menemukan bahwa perangkat mereka secara misterius direset ke pabrik dan semua file mereka dihapus. My Book Live dan My Book Live Duo adalah perangkat penyimpanan cloud pribadi.
Baca Juga : Teknologi Yang Kita Butuhkan Untuk Memerangi Pemanasan Global
Ketika pengguna produk WD mencoba masuk melalui dasbor web, perangkat menjawab bahwa mereka memiliki “kata sandi tidak valid.” Pemilik WD My Book tidak dapat lagi masuk ke perangkat melalui browser atau aplikasi. Produk My Book Live dan My Book Live Duo mengalami kehilangan data karena insiden keamanan, menurut situs web Western Digital. WD memberi tahu pelanggan bahwa perusahaan akan menanggung biaya pengguna yang memenuhi syarat dengan produk yang memenuhi syarat untuk memulihkan data mereka menggunakan layanan pemulihan data (DRS) yang disediakan oleh vendor pilihan Western Digital.
Perusahaan berjanji untuk menanggung biaya pengiriman produk yang memenuhi syarat ke vendor DRS dan untuk layanan pemulihan data. Setiap data yang dipulihkan akan dikirim ke pelanggan di drive My Passport. Western Digital mengkonfirmasi bahwa “beberapa perangkat My Book Live sedang disusupi oleh perangkat lunak berbahaya.” Perusahaan juga mengkonfirmasi laporan bahwa ini telah menyebabkan reset pabrik yang menghapus semua data pada beberapa perangkat pelanggan.
Perangkat My Book Live menerima pembaruan firmware terakhirnya pada tahun 2015. Pernyataan pada bulan Juni 2021 dari Western Digital menyarankan pengguna untuk memutuskan sambungan perangkat My Book Live mereka dari internet untuk melindungi data di perangkat mereka. Kerentanan My Book Live menunjukkan bahwa masih ada jalan panjang dalam keamanan IoT. Banyak perhatian telah diberikan bahwa perangkat tersebut tidak dikeraskan atau dibuat sesuai dengan praktik terbaik, menurut John Bambenek, penasihat intelijen ancaman di Netenrich.
“Dalam hal ini, kami melihat bahwa perangkat sedang dibuat yang dimaksudkan untuk bertahan lebih lama dari komitmen dukungan vendor mereka; jadi bukan hanya mereka yang rentan, tetapi konsumen juga tidak dapat melindungi diri mereka sendiri. Baik itu kehilangan data, ransomware, atau DDoS, masalah ini akan terus berulang hingga vendor berkomitmen untuk melindungi pelanggan mereka,”
Model Bisnis yang Cacat
Produsen peralatan asli (OEM) tidak bertanggung jawab atas kegagalan ini, karena perangkat terhubung mereka yang sudah tua tidak lagi dijual. Namun, sebagian besar pelanggan tidak menyadari bahwa perangkat ini sebenarnya memiliki tanggal kedaluwarsa, dan konsumen tidak diperingatkan akan bahaya terus menggunakan firmware yang belum ditambal, dengan banyaknya perangkat terhubung yang sudah ketinggalan zaman menunggu untuk disusupi oleh penyerang oportunistik, saran Asaf Ashkenazi, COO di perusahaan keamanan perangkat yang terhubung Verimatrix.
“OEM harus mengubah model bisnis mereka untuk mempertahankan layanan pembaruan perangkat lunak yang tahan lama atau memasang teknologi yang lebih canggih yang akan membuat peretasan perangkat ini jauh lebih sulit,” Ashkenazi tidak langsung menyalahkan masalah seperti kegagalan Western Digital pada industri OEM. Masalahnya adalah dengan model bisnis. Tidak ada standar yang mengatur bagaimana perangkat IoT harus dipelihara dan diamankan.
“Sayangnya, saya tidak melihat apa pun yang membahas standarisasi keamanan pada perangkat IoT ini. Mungkin pemerintah atau perlindungan konsumen, atau beberapa perusahaan akan memutuskan untuk membangun konsorsium yang akan mengatakan siapa yang bertanggung jawab, ”katanya.
Jelas ada kebutuhan untuk transparansi yang lebih dalam hal tingkat dukungan untuk perangkat lunak pada perangkat ini. Tidak ada yang bisa dilakukan untuk mengatasi masalah sampai industri memutuskan untuk mengambil tantangan itu, tambahnya.
Tanggung jawab Tidak Ada
Konsumen harus sama telitinya dengan bisnis perusahaan dalam hal keamanan Cyber. Tim keamanan perusahaan memahami bahwa kerentanan datang dalam berbagai bentuk dan ukuran, kata Yaniv Bar-Dayan, CEO dan salah satu pendiri Vulcan Cyber, penyedia SaaS untuk perbaikan risiko Cyber perusahaan.
“Dalam kasus perangkat Western Digital My Book Live, pelaku ancaman mengambil keuntungan dari serangkaian keadaan rantai daisy untuk menghapus data dari hard drive yang terbuka. Konsumen seharusnya mengetahui untuk menjaga agar firmware drive tetap ditambal, dan hanya menghubungkan drive ke internet saat diperlukan. Namun, di mana tanggung jawab itu jatuh? Di konsumen atau di Western Digital? Tidak ada jawaban yang jelas,”
Salah satu masalah utama dengan keamanan IoT saat ini adalah serbuan ke pasar sering kali membuat langkah-langkah keamanan yang perlu dibangun ke dalam perangkat kita tidak diprioritaskan. Masalah ini telah membuat banyak perangkat IoT menjadi buah gantung bagi penjahat yang tertarik mencuri data sensitif dan mengakses jaringan yang terbuka, kata Stefano De Blasi, peneliti ancaman di Digital Shadows.
“Selain itu, penjahat dapat mengeksploitasi produk yang rentan dengan memanfaatkan kekuatan komputasi mereka dan mengatur kampanye botnet IoT besar-besaran untuk mengganggu lalu lintas pada layanan yang ditargetkan dan menyebarkan malware,”
Titik Buta Keamanan Cyber
Keamanan IoT, atau kekurangannya, mengalami kekurangan industri. Masalah utama adalah bahwa alat manajemen kerentanan tradisional tidak memindai melewati sistem operasi. Dengan demikian, mereka tidak mendeteksi masalah keamanan atau kerentanan apa pun di lapisan firmware, menurut Baksheesh Singh Ghuman, direktur senior global pemasaran produk dan strategi di firma keamanan perangkat yang terhubung, Finite State.
“Masalah sekunder melibatkan produsen perangkat, yang sering bertanggung jawab untuk melakukan keamanan perangkat meskipun umumnya tidak memiliki kontrol keamanan yang sesuai untuk memindai kerentanan lapisan firmware,”
Penting bagi produsen untuk melakukan analisis menyeluruh untuk kerentanan dalam bentuk apa pun, dan jika mereka menemukannya, beri tahu pengguna potensial tentang peningkatan dan tambalan firmware yang tersedia, ia merekomendasikan.
“Ini adalah proses yang sangat reaksioner, tidak seperti proses proaktif otomatis yang ditemukan dalam praktik manajemen kerentanan perusahaan. Sebagai akibat dari faktor-faktor ini, kerentanan firmware sering diabaikan dan menjadi titik buta keamanan Cyber yang menarik perhatian pelaku ancaman, ”kata Ghuman.
Penargetan Tak Terelakkan
Perpindahan konsumen ke preferensi untuk interaksi digital pertama akan menumbuhkan lanskap ancaman potensial yang dapat ditargetkan oleh penyerang, kata Tyler Shields, CMO di JupiterOne. Lebih banyak aplikasi, lebih banyak data di cloud, lebih banyak pengalaman digital, berarti lebih banyak target baik peluang maupun peluang.
“Akan ada peningkatan terus-menerus dalam kompromi data saat kami semakin banyak memindahkan kehidupan sehari-hari kami ke cloud. Kami benar-benar baru saja mulai melihat perluasan pengalaman digital dan serangan yang akan tumbuh bersama mereka, ”
Baca Juga : Mengulas Lebih Dalam Tentang Keamanan Endpoint
Keamanan selalu diimbangi dengan kemudahan penggunaan. Komunitas vendor keamanan Cyber harus mendorong untuk menciptakan pengalaman keamanan Cyber yang mudah digunakan yang memberikan tingkat keamanan yang dapat diterima untuk teknologi yang diminta konsumen, menurut Shields.
Contoh yang baik dari hal ini adalah perpindahan ke sistem masuk tunggal dan otentikasi tanpa kata sandi. Pengguna telah gagal mempertahankan kata sandi yang tepat selama beberapa dekade, dan situasi itu tidak akan pernah berubah. Oleh karena itu, inovasi harus membangun alternatif yang mudah digunakan yang memberikan keamanan yang sesuai dengan pengalaman pengguna yang jauh lebih baik.
“Perusahaan harus menemukan keseimbangan yang tepat antara inovasi teknologi di samping keamanan untuk model tradisional,” katanya.