• 2025 sonunda küresel hücresel IoT bağlantıları 4 milyara yaklaşırken 2030’da 7 milyarı aşması bekleniyor. Bu büyüme geniş alan, düşük maliyet ve uzun pil ömrü gerektiren Massive IoT senaryolarıyla besleniyor.
  • Tüketici IoT güvenliği için ETSI EN 303 645, cihaz temel yetkinlikleri için NISTIR 8259A ve endüstriyel OT için IEC 62443 serisi fiili referans çerçevelerdir.
  • Botnet tehdidi sürüyor: 2024 botnet manzarasında yeni IoT kötü amaçlı yazılımların yaklaşık yüzde 72’si Mirai türev kodlar taşıyor.
  • MITRE ATT&CK v17 güncellemeleri ile ICS matrisindeki teknikler savunma haritalamasını güncel tutmayı gerektiriyor.

IoT Güvenliğine Sistemsel Yaklaşım

IoT ekosistemi çok katmanlıdır: cihaz kimliği, güvenli onboarding, iletişim, güncelleme, izleme ve olay müdahalesi birlikte ele alınmalıdır. Aşağıdaki tablo temel ilkeleri uygun standartlarla eşler.

Tablo 1. Güvenlik ilkeleri ve bağlandıkları standartlar

İlkeNe SağlarÖne Çıkan Standart
Cihaz kimliği ve güvenli önyüklemeDonanım kökenli kimlik, ölçülü önyükleme, uzaktan doğrulamaDICE, TPM tabanlı yaklaşımlar, NISTIR 8259A cihaz yetenekleri
Güvenli onboardingSıfır temaslı, geç bağlama ve ölçekli tedarikFIDO Device Onboard (FDO)
Güvenli iletişimMQTT üzerinde TLS 1.2+ ve CoAP üzerinde DTLS 1.3, OSCORE seçenekleriIETF DTLS 1.3, OSCORE, EDHOC
Yaşam döngüsü yönetimiGüvenli OTA, zafiyet yönetimi, konfigürasyonETSI EN 303 645, IEC 62443 sürece dayalı gereksinimler
Tehdit modelleme ve tespitTaktik teknik haritalama, denetim, uyarıMITRE ATT&CK Enterprise ve ICS

Protokol Sertleştirme: MQTT, CoAP, OPC UA

  • MQTT: Sunucu ve istemcilerde sertifikaya dayalı kimlik, TLS 1.2+ kullanımı, konu tabanlı yetkilendirme ve ACL’ler zorunlu olmalı.
  • CoAP: UDP tabanlı olduğu için DTLS 1.3 tercih edilmeli. Kısıtlı ağlarda paket üst verisi kritik, IETF analizleri PSK, RPK ve ECDHE seçeneklerinin ek yüklerini karşılaştırıyor. OSCORE ve EDHOC ile uçtan uca güvenlik mümkün.
  • OPC UA: Endüstriyel ortamda Sign & Encrypt modu, karşılıklı sertifikalar, sertifika yaşam döngüsü ve güvenilen mağaza yönetimi şart. 1.05 sürümü ile kriptografik tasarım güncelleniyor.

Tablo 2. Protokol sertleştirme kontrol listesi

ProtokolZorunlu AyarlarNot
MQTTTLS 1.2+ SNI, istemci sertifikası, güçlü CA zinciri, konu bazlı ACLEski SSLv3 devre dışı bırakılmalı
CoAPDTLS 1.3, PSK ya da RPK, yeniden el sıkışma korumasıOSCORE ile mesaj düzeyinde bütünlük ve gizlilik
OPC UASign & Encrypt, karşılıklı sertifikalar, CRL ve TrustList yönetimi1.05 sürüm değişikliklerini takip edin

Tehdit Modeli ve ATT&CK Haritalaması

  • IoT ile IT-OT kenarında saldırı teknikleri birleşir. Ağ keşfi, kimlik bilgisi elde etme, cihaz komut yürütme ve etkiler zinciri ICS matrisindeki 83 tekniğe kadar uzanır. Tespit ve koruma kontrollerinizi MITRE ATT&CK v17 ile eşleyin.

AI Tabanlı Saldırı Tespiti İçin Referans Mimari

Çok katmanlı yaklaşım önerilir:

  1. Cihaz üzerinde (TinyML): Mikrodenetleyici üzerinde titreşim, akım, ağ sayaçları gibi yerel özelliklerle anomali tespiti, gecikme çok düşüktür.
  2. Kenar düğümünde: eBPF ve XDP ile çekirdek içinde akış özellikleri çıkarımı, hafif otonom kurallar ve oto-encoders ile gözetimsiz tespit.
  3. Merkezde: Federated Learning ile istasyon verileri merkezde ham veri paylaşmadan birleşik model halinde eğitilir, gizlilik korunur ve kavramsal kayma yönetilir.

Tablo 3. Model seçimi, konum ve ayak izi

KatmanModel türüGecikmeAyak iziÖrnek
CihazTek sınıflı autoencoder, quantized CNNçok düşük<1 MBTinyML anomali tespiti
EdgeAutoencoder, Isolation Forest, eBPF tabanlı istatistiklerdüşük10–100 MBeBPF + QAT ile hızlandırma
MerkezGRU, Transformer, Graph tabanlı ağ anomali modeliortaGPU/CPU kümeleriFL ile dağıtık eğitim

Veri Setleri ve Eğitimi

Gerçek saha verisi altın standarttır. Ek olarak açık veri setleriyle başlangıç yapılabilir:

Tablo 4. Yaygın IoT IDS veri setleri

Veri setiİçerikNot
N-BaIoT9 ticari IoT cihazı, Mirai ve BASHLITE bulaşılarıAğ tabanlı anomali tespiti için iyi başlangıç
BoT-IoTUNSW test yatağı, normal ve botnet trafiği, etiketli CSV/PCAPSınıf dengesizliği ve sentetik doğa dikkate alınmalı
CIC-IDS2017Çeşitli saldırılar, akış özellikleriÖzellik çıkarımı yaklaşımları güncelleniyor

Botnet ve DDoS Gerçekleri

  • Mirai türevleri IoT kötü amaçlı yazılımlarında domine etmeyi sürdürüyor, bu da kimlik bilgisi hijyeni ile varsayılan parolaların kaldırılmasının neden hayati olduğunu gösteriyor.
  • Hücresel IoT genişlerken düşük bant genişlikli, enerji kısıtlı cihazlar volumetrik DDoS kampanyalarında oransal çarpan etkisi yaratabiliyor. Segmentasyon, eBPF tabanlı rate-limit ve upstream kara-liste paylaşımı gerekir.

90 Günlük Uygulama Planı

Gün 0–15: Keşif ve hızlı kazanımlar

  • Envanter ve gölge IoT taraması, yüksek riskli açık port ve varsayılan kimlik bilgisi taraması.
  • MQTT broker için TLS etkinleştirme, konu bazlı ACL ve minimum hak ilkesi.

Gün 16–45: Temel güvenlik ve telemetri

  • FDO destekli onboarding POC, DICE veya TPM ile cihaz kimliği.
  • CoAP trafiğinde DTLS 1.3 ve OSCORE testleri.
  • eBPF ile akış telemetrisi, kenar düğümünde anomali temel çizgisi.

Gün 46–75: AI-IDS POC

  • Edge üzerinde gözetimsiz autoencoder, merkezde federated öğrenme denemesi.
  • MITRE ATT&CK tekniklerine göre kural ve uyarı haritası.

Gün 76–90: Yaygınlaştırma ve süreçler

  • CI/CD içinde model versiyonlama, drift izleme, geri alma politikaları.
  • Olay müdahalesi playbook’ları, rate-limit ve karantina akışları.

Başarı Ölçütleri ve Raporlama

  • Mean Time To Detect ve Respond, yanlış pozitif oranı, kapsanan ATT&CK teknik sayısı, güncelleme uygunluk oranı, sertifika yenileme süresi, MQTT erişim ihlali girişimleri.

Uygulama İçin Kısa Kontrol Listesi

  • ETSI EN 303 645 ve NISTIR 8259A gereksinimleri ürün gereksinimlerine işlendi.
  • MQTT TLS 1.2+ ve istemci sertifikaları, CoAP DTLS 1.3, OPC UA Sign & Encrypt aktif.
  • FDO ile sıfır temaslı onboarding planı, DICE ya da TPM ile donanım kökenli kimlik.
  • eBPF tabanlı telemetri ve hız sınırlama, TinyML ile cihaz içi anomali tespiti, merkezde FL.
  • MITRE ATT&CK ICS eşlemesi, denetim ve tatbikat takvimi.