導(dǎo)讀:物聯(lián)網(wǎng)設(shè)備被認(rèn)為是最危險(xiǎn)的網(wǎng)絡(luò)設(shè)備之一,因?yàn)樗鼈兎浅H菀妆缓诳凸?,大多?shù)所有者忽略了必要的安全預(yù)防措施。供應(yīng)商通知,安全專(zhuān)家的分析,甚至系統(tǒng)管理員報(bào)告都同意這一點(diǎn)。問(wèn)題依然存在,因?yàn)榇笮透腥纠^續(xù)成為頭條新聞。
物聯(lián)網(wǎng)設(shè)備被認(rèn)為是最危險(xiǎn)的網(wǎng)絡(luò)設(shè)備之一,因?yàn)樗鼈兎浅H菀妆缓诳凸?,大多?shù)所有者忽略了必要的安全預(yù)防措施。供應(yīng)商通知,安全專(zhuān)家的分析,甚至系統(tǒng)管理員報(bào)告都同意這一點(diǎn)。問(wèn)題依然存在,因?yàn)榇笮透腥纠^續(xù)成為頭條新聞。
物聯(lián)網(wǎng)設(shè)備在安全方面失敗
物聯(lián)網(wǎng)設(shè)備是普遍存在的,并且正在向家庭用戶(hù)和大公司提供。無(wú)論他們的目標(biāo)受眾如何,有關(guān)報(bào)告都表明,針對(duì)智能產(chǎn)品的攻擊數(shù)量正在上升,并且到20世紀(jì)20年代,四分之一的網(wǎng)絡(luò)攻擊將明確針對(duì)物聯(lián)網(wǎng)設(shè)備。
為了理解這種疏忽,我們必須了解IoT設(shè)備應(yīng)該如何工作。設(shè)備啟動(dòng)后,需要正確配置,以便將其集成到Internet和專(zhuān)用本地網(wǎng)絡(luò)(Intranet)。根據(jù)其實(shí)施和條件,需要不同的配置以提供最有效的保護(hù)。
包含敏感信息的公開(kāi)資源只能通過(guò)安全帳戶(hù)或通過(guò)本地網(wǎng)絡(luò)建立的連接訪(fǎng)問(wèn)。但是,實(shí)際上我們看到大多數(shù)此功能都可以通過(guò)Web面板或僅使用默認(rèn)或弱憑據(jù)保護(hù)的遠(yuǎn)程連接訪(fǎng)問(wèn)。這允許使用密碼暴力攻擊等自動(dòng)化方法輕松劫持設(shè)備。因此,不安全的物聯(lián)網(wǎng)設(shè)備不斷暴露其服務(wù)。
最近的顯示數(shù)以千計(jì)的物聯(lián)網(wǎng)設(shè)備可以在幾秒內(nèi)被黑客攻擊
10月份,研究人員發(fā)現(xiàn)了許多安全漏洞,這些漏洞使黑客可以濫用物聯(lián)網(wǎng)設(shè)備。這一發(fā)現(xiàn)是目前物聯(lián)網(wǎng)安全性不足的最有用的例證之一。FreeRTOS是物聯(lián)網(wǎng)設(shè)備最常用的操作系統(tǒng)之一; 披露這些漏洞使得大部分智能產(chǎn)品自動(dòng)易受攻擊,除非事后收到更新。總的來(lái)說(shuō),研究人員僅在基本操作系統(tǒng)中就發(fā)現(xiàn)了13個(gè)錯(cuò)誤。它們的性質(zhì)包括遠(yuǎn)程代碼執(zhí)行,信息泄漏,拒絕服務(wù)以及具有未指定功能的服務(wù)。
在公開(kāi)披露這些缺陷后,安全團(tuán)隊(duì)發(fā)布了必要的補(bǔ)丁。問(wèn)題是并非所有供應(yīng)商都及時(shí)實(shí)施這些修復(fù)。即使每個(gè)物聯(lián)網(wǎng)設(shè)備制造商發(fā)布補(bǔ)丁,并非所有用戶(hù)都會(huì)應(yīng)用它們。由于大多數(shù)設(shè)備缺少自動(dòng)更新選項(xiàng),因此設(shè)備所有者需要主動(dòng)保持其物聯(lián)網(wǎng)設(shè)備的安全性。然后,他們需要按照逐步更新指南進(jìn)行操作,這可能很復(fù)雜。
毫無(wú)疑問(wèn),物聯(lián)網(wǎng)入侵的后果可能是毀滅性的。許多物聯(lián)網(wǎng)設(shè)備目前執(zhí)行與安全或自動(dòng)化相關(guān)的職責(zé)。鑒于此類(lèi)功能,攻擊者不僅可以監(jiān)控受感染的智能設(shè)備,還可以以使其無(wú)用的方式重新配置它們。例如,可以操縱安全攝像頭和警報(bào)系統(tǒng)來(lái)關(guān)閉實(shí)時(shí)饋送或禁用傳感器。如果攻擊證明成功,那么竊賊就可以輕易地進(jìn)入實(shí)體店或家中。
針對(duì)物聯(lián)網(wǎng)設(shè)備的攻擊類(lèi)型
盜竊肯定是物聯(lián)網(wǎng)設(shè)備受損的一個(gè)可能后果。但它不是唯一的,特別是當(dāng)攻擊者決定追蹤大量智能產(chǎn)品時(shí)。有了這些類(lèi)型的攻擊,壞人通常會(huì)追求三個(gè)目標(biāo)之一:
僵尸網(wǎng)絡(luò)招募 - 攻擊者將易受攻擊的物聯(lián)網(wǎng)設(shè)備連接到稱(chēng)為“僵尸網(wǎng)絡(luò)”的惡意網(wǎng)絡(luò)。當(dāng)被指示時(shí),不良參與者將使用僵尸網(wǎng)絡(luò)進(jìn)行DDoS(分布式拒絕服務(wù))攻擊以關(guān)閉系統(tǒng)或整個(gè)網(wǎng)絡(luò)。這樣的活動(dòng)會(huì)嚴(yán)重破壞企業(yè)的可操作性。讓我們來(lái)看看現(xiàn)在臭名昭著的Mirai僵尸網(wǎng)絡(luò)的多次迭代,它已經(jīng)演變成一系列惡意軟件威脅,招募易受攻擊的物聯(lián)網(wǎng)設(shè)備。最終結(jié)果是一個(gè)龐大的國(guó)際主機(jī)網(wǎng)絡(luò),可用于發(fā)動(dòng)毀滅性的DDoS攻擊,能夠擊敗企業(yè)和政府機(jī)構(gòu)等目標(biāo)。
設(shè)備劫持 - 惡意攻擊者可能會(huì)破壞物聯(lián)網(wǎng)設(shè)備,然后將其關(guān)閉以對(duì)網(wǎng)絡(luò)產(chǎn)生負(fù)面影響。在生產(chǎn)環(huán)境的情況下,劫持設(shè)備可以因此破壞整個(gè)設(shè)施。考慮到所有IoT設(shè)備都是通過(guò)向其提供服務(wù)與其他主機(jī)交互的網(wǎng)絡(luò)的一部分。只使用幾行代碼,云托管解決方案可以重新配置為向所有可用主機(jī)分發(fā)危險(xiǎn)的惡意軟件。
登陸和擴(kuò)展 - 物聯(lián)網(wǎng)設(shè)備既可用作網(wǎng)絡(luò)入口點(diǎn),也可用于控制物理安全設(shè)備。這意味著成功的滲透將暴露整個(gè)網(wǎng)絡(luò)及其中包含的所有資源。一旦他們通過(guò)物聯(lián)網(wǎng)設(shè)備在網(wǎng)絡(luò)中立足,入侵者就可以橫向傳播到其他設(shè)備,包括計(jì)算機(jī)和服務(wù)器,以訪(fǎng)問(wèn)敏感用戶(hù)數(shù)據(jù),IP,憑證和機(jī)密公司數(shù)據(jù)等信息。此外,正如我所描述的那樣,當(dāng)負(fù)責(zé)物理安全的設(shè)備被劫持時(shí),攻擊者可以橫向移動(dòng)到允許物理訪(fǎng)問(wèn)安全位置的物理安全設(shè)備。示例包括門(mén)禁控制,安全攝像頭和控制門(mén)。
安全團(tuán)隊(duì)必須采取額外措施來(lái)保護(hù)物聯(lián)網(wǎng)設(shè)備
考慮到物聯(lián)網(wǎng)設(shè)備已經(jīng)放置在醫(yī)院中的事實(shí),任何篡改它們都會(huì)造成人命損失。在WannaCry流行期間,一些感染勒索軟件的設(shè)備是成像護(hù)士呼叫系統(tǒng),輸液泵,病人監(jiān)護(hù)儀和網(wǎng)關(guān)。鑒于他們的漏洞以及不良行為者可以輕松利用它們,很明顯,沒(méi)有做足夠的事情來(lái)加強(qiáng)物聯(lián)網(wǎng)安全。
統(tǒng)計(jì)數(shù)據(jù)顯示,盡管存在這一令人擔(dān)憂(yōu)的事實(shí),但物聯(lián)網(wǎng)設(shè)備預(yù)計(jì)將增長(zhǎng)到互聯(lián)網(wǎng)連接設(shè)備總數(shù)的很大一部分。這些智能產(chǎn)品的感染可能會(huì)繼續(xù),因?yàn)樵O(shè)備制造商和供應(yīng)商的行為沒(méi)有明顯改變。
物聯(lián)網(wǎng)安全問(wèn)題沒(méi)有單一解決方案,因?yàn)槊刻於紩?huì)發(fā)現(xiàn)新的漏洞和漏洞。僅僅修補(bǔ)已知錯(cuò)誤是不夠的,因?yàn)椴⒎撬泄舳际峭ㄟ^(guò)網(wǎng)絡(luò)漏洞進(jìn)行的。系統(tǒng)管理員需要仔細(xì)規(guī)劃和協(xié)調(diào)智能基礎(chǔ)架構(gòu)的集成方式以及它如何適應(yīng)已部署的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)。
根據(jù)定義和目的,物聯(lián)網(wǎng)設(shè)備充當(dāng)網(wǎng)絡(luò)服務(wù)器 - 它們提供某些功能,就像常規(guī)服務(wù)器一樣,它們的工作需要進(jìn)行監(jiān)控。這可以通過(guò)配置必要的網(wǎng)絡(luò)監(jiān)控解決方案來(lái)完成,以便監(jiān)控可能揭示可能的網(wǎng)絡(luò)入侵和惡意網(wǎng)絡(luò)活動(dòng)的可疑行為。
此外,只要有可能,請(qǐng)使用雙因素身份驗(yàn)證以及在所有可訪(fǎng)問(wèn)基礎(chǔ)架構(gòu)上設(shè)置帳戶(hù)憑據(jù)的最佳安全實(shí)踐。這將大大降低暴力和字典攻擊的可能性。
簡(jiǎn)而言之,安全團(tuán)隊(duì)需要假設(shè)物聯(lián)網(wǎng)設(shè)備在保護(hù)自身方面本身就很差,因此您必須采取額外的步驟來(lái)保護(hù)其他網(wǎng)絡(luò)設(shè)備和存儲(chǔ)在那里的數(shù)據(jù)。