網(wǎng)絡(luò)攻擊者將物聯(lián)網(wǎng)設(shè)備作為攻擊目標(biāo)的原因

由于缺乏網(wǎng)絡(luò)安全的設(shè)計(jì)，并且長(zhǎng)期使用默認(rèn)密碼，物聯(lián)網(wǎng)設(shè)備正迅速成為網(wǎng)絡(luò)攻擊者最喜歡的攻擊目標(biāo)。除此之外，在運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)中，分配給每個(gè)高級(jí)物聯(lián)網(wǎng)傳感器的許多角色和身份的迅速增加，以及它們與運(yùn)行業(yè)務(wù)的關(guān)鍵任務(wù)系統(tǒng)的接近，網(wǎng)絡(luò)攻擊者喜歡將物聯(lián)網(wǎng)設(shè)備作為攻擊目標(biāo)也就不足為奇了。

調(diào)研機(jī)構(gòu)Forrester公司在最近發(fā)表的一份名為《2023年物聯(lián)網(wǎng)安全狀況研究報(bào)告》中解釋了導(dǎo)致網(wǎng)絡(luò)攻擊者喜歡攻擊物聯(lián)網(wǎng)設(shè)備的一些因素。

物聯(lián)網(wǎng)攻擊的增長(zhǎng)速度明顯快于主流攻擊?？ò退够?a href="http://ttokpm.com/v/tag/204/" target="_blank">工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(Kaspersky ICS CERT)發(fā)現(xiàn)，在2022年下半年，全球34.3%的工業(yè)部門的服務(wù)器遭到了網(wǎng)絡(luò)攻擊，僅在2021年上半年，針對(duì)物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊就達(dá)到15億次，40%以上的OT系統(tǒng)遭到網(wǎng)絡(luò)攻擊。SonicWall Capture實(shí)驗(yàn)室的網(wǎng)絡(luò)威脅研究人員在2022年記錄了1.123億個(gè)物聯(lián)網(wǎng)惡意軟件攻擊實(shí)例，與2021年相比增加了87%。

全球安全隔離與信息交換系統(tǒng)提供商Airgap Networks公司的首席執(zhí)行官Ritesh Agrawal指出，雖然物聯(lián)網(wǎng)端點(diǎn)可能不是業(yè)務(wù)關(guān)鍵點(diǎn)，但它們很容易被攻破，并被用于將惡意軟件直接傳播到企業(yè)最有價(jià)值的系統(tǒng)和數(shù)據(jù)。他建議企業(yè)對(duì)每個(gè)物聯(lián)網(wǎng)端點(diǎn)堅(jiān)持使用網(wǎng)絡(luò)安全的基本措施——發(fā)現(xiàn)、細(xì)分和身份識(shí)別。

在最近接受行業(yè)媒體采訪時(shí)，Agrawal建議企業(yè)尋找一些不需要強(qiáng)制升級(jí)、并且在部署過程中不會(huì)破壞物聯(lián)網(wǎng)網(wǎng)絡(luò)的解決方案。這是他和聯(lián)合創(chuàng)始人在創(chuàng)建Airgap Networks公司時(shí)確定的一些網(wǎng)絡(luò)安全設(shè)計(jì)目標(biāo)中的兩個(gè)。

制造業(yè)采用的物聯(lián)網(wǎng)設(shè)備成為高價(jià)值的目標(biāo)

物聯(lián)網(wǎng)設(shè)備受到網(wǎng)絡(luò)攻擊是因?yàn)樗鼈兒苋菀壮蔀槟繕?biāo)，在正常運(yùn)行時(shí)間對(duì)生存至關(guān)重要的行業(yè)中，它們可以迅速導(dǎo)致大量的勒索軟件攻擊。制造業(yè)受到的打擊尤其嚴(yán)重，因?yàn)榫W(wǎng)絡(luò)攻擊者知道任何一家工廠都無法承受長(zhǎng)期停工的后果，因此他們索要的贖金是其他目標(biāo)的兩到四倍。61%的入侵企圖和23%的勒索軟件攻擊主要針對(duì)OT系統(tǒng)。

調(diào)研機(jī)構(gòu)Forrester公司研究了物聯(lián)網(wǎng)設(shè)備成為如此高價(jià)值目標(biāo)的原因，以及它們?nèi)绾伪挥脕碓谄髽I(yè)中發(fā)動(dòng)更廣泛、更具破壞性的網(wǎng)絡(luò)攻擊。他們確定了以下四個(gè)關(guān)鍵因素：

1

物聯(lián)網(wǎng)設(shè)備的設(shè)計(jì)有安全盲點(diǎn)

目前安裝的大多數(shù)傳統(tǒng)物聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)時(shí)都沒有將安全性作為優(yōu)先考慮的因素。很多都缺少刷新固件或加載新軟件代理的選項(xiàng)。盡管存在這些限制，但仍然有一些有效的方法來保護(hù)物聯(lián)網(wǎng)端點(diǎn)。

首先安全措施要覆蓋物聯(lián)網(wǎng)傳感器和網(wǎng)絡(luò)中的盲點(diǎn)。CrowdStrike公司物聯(lián)網(wǎng)安全產(chǎn)品管理總監(jiān)Shivan Mandalam在最近的一次采訪中表示，“企業(yè)必須消除與未管理或不受支持的遺留系統(tǒng)相關(guān)的盲點(diǎn)。隨著IT和OT系統(tǒng)的可見性和分析能力的提高，安全團(tuán)隊(duì)可以在對(duì)手利用問題之前快速識(shí)別和解決問題。”

目前使用物聯(lián)網(wǎng)安全系統(tǒng)和平臺(tái)的領(lǐng)先網(wǎng)絡(luò)安全供應(yīng)商包括AirGap Networks、Absolute Software、Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti、JFrog和Rapid7。在2022年舉辦的Fal.Con大會(huì)上，CrowdStrike公司推出了增強(qiáng)的Falcon Insight，包括Falcon Insight XDR和Falcon Discover for IoT，旨在彌合工業(yè)控制系統(tǒng)(ICS)內(nèi)部和之間的安全差距。

2

長(zhǎng)期使用默認(rèn)管理密碼(包括憑據(jù))很常見

網(wǎng)絡(luò)安全方面比較薄弱的制造商在物聯(lián)網(wǎng)傳感器上使用默認(rèn)管理密碼是很常見的。他們通常使用默認(rèn)設(shè)置，因?yàn)橹圃霫T團(tuán)隊(duì)沒有時(shí)間設(shè)置每個(gè)細(xì)節(jié)，或者沒有意識(shí)到存在這樣做的選項(xiàng)。Forrester公司指出，這是因?yàn)樵S多物聯(lián)網(wǎng)設(shè)備在初始化時(shí)并沒有要求用戶設(shè)置新密碼，也不要求企業(yè)強(qiáng)制設(shè)置新密碼。Forrester公司還指出，管理憑據(jù)在舊設(shè)備中通常無法更改。

因此，首席信息安全官、安全團(tuán)隊(duì)、風(fēng)險(xiǎn)管理專業(yè)人員和IT團(tuán)隊(duì)在其網(wǎng)絡(luò)上擁有已知憑據(jù)的新舊設(shè)備。

提供網(wǎng)絡(luò)安全解決方案以提高密碼和身份級(jí)別物聯(lián)網(wǎng)端點(diǎn)安全性的領(lǐng)先供應(yīng)商包括Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti和JFrog。Ivanti公司是該領(lǐng)域的領(lǐng)導(dǎo)者，成功開發(fā)并推出了四種物聯(lián)網(wǎng)安全解決方案：用于RBVM的Ivanti Neurons、用于UEM的Ivati Neuron、支持醫(yī)療物聯(lián)網(wǎng)(IoMT)的醫(yī)療保健Ivanti Neurons，以及基于該公司收購(gòu)Wavelink的用于保護(hù)工業(yè)物聯(lián)網(wǎng)安全的Ivanti Neurons。

Ivanti公司的首席產(chǎn)品官Srinivas Mukkamala博士在最近接受行業(yè)媒體采訪時(shí)解釋說：“物聯(lián)網(wǎng)設(shè)備正在成為網(wǎng)絡(luò)攻擊者的熱門目標(biāo)，根據(jù)IBM公司發(fā)布的一份調(diào)查報(bào)告，物聯(lián)網(wǎng)攻擊在2021年占全球惡意軟件攻擊的12%以上，高于2019年的1%。為了解決這個(gè)問題，企業(yè)必須實(shí)施統(tǒng)一的端點(diǎn)管理(UEM)解決方案，該解決方案可以發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)上的所有資產(chǎn)，甚至是企業(yè)休息室中采用Wi-Fi聯(lián)網(wǎng)的烤面包機(jī)?！?/p>

Mukkamala說：“統(tǒng)一的端點(diǎn)管理(UEM)和基于風(fēng)險(xiǎn)的漏洞管理解決方案的結(jié)合對(duì)于實(shí)現(xiàn)無縫、主動(dòng)的風(fēng)險(xiǎn)響應(yīng)，以修復(fù)企業(yè)環(huán)境中所有設(shè)備和操作系統(tǒng)上的漏洞至關(guān)重要?！?/p>

3

幾乎所有醫(yī)療保健、服務(wù)和制造企業(yè)

都依賴于傳統(tǒng)的物聯(lián)網(wǎng)傳感器

從醫(yī)院部門、病房到車間，傳統(tǒng)的物聯(lián)網(wǎng)傳感器是這些企業(yè)獲取運(yùn)營(yíng)所需實(shí)時(shí)數(shù)據(jù)的支柱。醫(yī)療保健和服務(wù)這兩個(gè)行業(yè)都是網(wǎng)絡(luò)攻擊者的高價(jià)值目標(biāo)，他們的目標(biāo)是入侵物聯(lián)網(wǎng)，從而在網(wǎng)絡(luò)上發(fā)起橫向移動(dòng)。73%基于物聯(lián)網(wǎng)的靜脈輸液泵是可攻擊的，50%的IP語音系統(tǒng)也是如此?？傮w而言，在一家傳統(tǒng)的醫(yī)院中，50%的聯(lián)網(wǎng)設(shè)備目前存在嚴(yán)重風(fēng)險(xiǎn)。

Forrester公司指出，造成這些漏洞的主要原因之一是，這些設(shè)備運(yùn)行的是不受支持的操作系統(tǒng)，無法保護(hù)或更新。如果網(wǎng)絡(luò)攻擊者破壞了物聯(lián)網(wǎng)設(shè)備并且無法修補(bǔ)，這會(huì)增加設(shè)備 “磚頭化”的風(fēng)險(xiǎn)。

4

物聯(lián)網(wǎng)的問題在于互聯(lián)網(wǎng)，而不是技術(shù)

Forrester公司觀察到，物聯(lián)網(wǎng)設(shè)備一旦連接到互聯(lián)網(wǎng)，就會(huì)立即成為安全隱患。一位不愿透露姓名的網(wǎng)絡(luò)安全供應(yīng)商在接受采訪時(shí)表示，他們一個(gè)最大的客戶一直在掃描網(wǎng)絡(luò)，以解析從該公司外部發(fā)出的IP地址。這個(gè)IP地址來自一家制造工廠前廳的監(jiān)控?cái)z像頭。網(wǎng)絡(luò)攻擊者一直在監(jiān)控人員進(jìn)出，并試圖混入上班的員工中進(jìn)入該工廠內(nèi)部，并在其網(wǎng)絡(luò)上植入他們的傳感器。毫無疑問，F(xiàn)orrester公司觀察到物聯(lián)網(wǎng)設(shè)備已經(jīng)成為指揮和控制攻擊的渠道，或者成為僵尸網(wǎng)絡(luò)，就像眾所周知的Marai僵尸網(wǎng)絡(luò)攻擊一樣。

遭到物聯(lián)網(wǎng)攻擊是什么感覺

一些制造商表示，他們不確定如何保護(hù)傳統(tǒng)的物聯(lián)網(wǎng)設(shè)備及其可編程邏輯控制器(PLC)?？删幊踢壿嬁刂破?PLC)提供運(yùn)行業(yè)務(wù)所需的實(shí)時(shí)數(shù)據(jù)流。物聯(lián)網(wǎng)和可編程邏輯控制器(PLC)是為易于集成而設(shè)計(jì)的，這與網(wǎng)絡(luò)安全性相反，這使得任何沒有專職IT人員和安全人員的制造商都很難確保它們的網(wǎng)絡(luò)安全。

總部位于美國(guó)中西部的一家汽車零部件制造商遭遇了大規(guī)模勒索軟件攻擊，此次攻擊主要針對(duì)該公司在網(wǎng)絡(luò)上未受保護(hù)的物聯(lián)網(wǎng)傳感器和攝像頭進(jìn)行攻擊。網(wǎng)絡(luò)攻擊者使用了一種R4IoT勒索軟件的變體，最初滲透了該公司用于自動(dòng)化暖通空調(diào)、電力和機(jī)械預(yù)防性維護(hù)的物聯(lián)網(wǎng)、視頻監(jiān)控和可編程邏輯控制器(PLC)。

在入侵企業(yè)網(wǎng)絡(luò)之后，網(wǎng)絡(luò)攻擊者就會(huì)橫向移動(dòng)，尋找基于Windows的系統(tǒng)，并用勒索軟件感染它們。網(wǎng)絡(luò)攻擊者還獲得了管理員權(quán)限，并禁用了Windows防火墻和第三方防火墻，然后通過網(wǎng)絡(luò)將R4IoT可執(zhí)行文件安裝到機(jī)器上。

這次攻擊使得這家制造商無法監(jiān)控機(jī)器的熱量、壓力、運(yùn)行狀況和循環(huán)時(shí)間等參數(shù)，還凍結(jié)和加密了所有數(shù)據(jù)文件，使它們無法使用。更糟糕的是，網(wǎng)絡(luò)攻擊者威脅該公司，如果不支付贖金，將在24小時(shí)內(nèi)將該公司的所有定價(jià)、客戶和生產(chǎn)數(shù)據(jù)發(fā)布到暗網(wǎng)上。

這家制造商別無選擇，不得不支付了贖金，他們的網(wǎng)絡(luò)安全人才對(duì)如何應(yīng)對(duì)網(wǎng)絡(luò)攻擊不知所措。網(wǎng)絡(luò)攻擊者知道，還有很多制造商沒有專門的網(wǎng)絡(luò)安全和IT團(tuán)隊(duì)來應(yīng)對(duì)這種威脅，也不知道如何應(yīng)對(duì)這種威脅。這就是制造業(yè)仍然是受沖擊最嚴(yán)重的行業(yè)的原因。簡(jiǎn)而言之，物聯(lián)網(wǎng)設(shè)備已經(jīng)成為首選的威脅載體，因?yàn)樗鼈儾皇鼙Ｗo(hù)。

Agrawal表示，“物聯(lián)網(wǎng)給企業(yè)安全成熟度帶來了很大的壓力。將零信任擴(kuò)展到物聯(lián)網(wǎng)是很困難的，因?yàn)槎它c(diǎn)各不相同，而且環(huán)境是動(dòng)態(tài)的，充滿了傳統(tǒng)設(shè)備?！碑?dāng)被問及制造商和其他高風(fēng)險(xiǎn)行業(yè)目標(biāo)如何開始進(jìn)行安全防護(hù)時(shí)，Agrawal建議說：“準(zhǔn)確的資產(chǎn)發(fā)現(xiàn)、細(xì)分和身份識(shí)別仍然是正確的答案，但在大多數(shù)物聯(lián)網(wǎng)設(shè)備無法接受代理的情況下，如何將它們與傳統(tǒng)解決方案一起部署？這就是許多企業(yè)采用像Airgap這樣的無代理網(wǎng)絡(luò)安全作為物聯(lián)網(wǎng)唯一可行的架構(gòu)的原因?！?/p>

編輯：黃飛

?