搜索歷史

清空
搜索熱詞
      0
      • 聊天消息
      • 系統(tǒng)消息
      • 評論與回復
      VIP于 到期 續(xù)費
      登錄后你可以
      • 下載海量資料
      • 學習在線課程
      • 觀看技術視頻
      • 寫文章/發(fā)帖/加入社區(qū)
      會員中心
      創(chuàng)作中心
      發(fā)布
      創(chuàng)作活動

      完善資料讓更多小伙伴認識你,還能領取20積分哦,立即完善>

      3天內(nèi)不再提示

      嵌入式設備仍然容易受到勒索軟件威脅

      王飛云 ? 來源:小新1999 ? 作者:小新1999 ? 2022-07-14 16:26 ? 次閱讀

      OT 系統(tǒng)是勒索軟件的既定目標,其中的關鍵設備也是如此。公共和私營部門必須采取更全面的方法來保護這一層。

      2021 年發(fā)生的大量引人注目的事件應該可以消除惡意行為者使用勒索軟件以工業(yè)控制系統(tǒng) (ICS) 為目標的任何懷疑。

      對這些系統(tǒng)的攻擊起源于數(shù)據(jù)密集型企業(yè)/IT 級別以及運營核心的控制室。隨著全球沖突在 2022 年提高世界各國政府和行業(yè)的威脅水平,威脅可能已經(jīng)升高。

      不幸的是,在 ICS 中提供足夠的安全控制方面,我們?nèi)栽谧汾s。現(xiàn)有最關鍵的差距在于設備級別:使我們的電網(wǎng)保持在線的執(zhí)行器、傳感器、安全設備和電子控制單元 (ECU)、快速和安全的電信網(wǎng)絡以及在安全狀態(tài)下運行的制造工廠。

      缺乏設備上的勒索軟件保護可能會導致單個設備受到威脅——或通過網(wǎng)絡橫向傳播導致多個設備鎖定。雖然我們尚未在現(xiàn)場看到此類攻擊的可靠證據(jù),但很明顯,活動增加和揮之不去的安全漏洞使我們處于轉(zhuǎn)折點。嵌入式設備現(xiàn)在需要更多的勒索軟件保護。然而,將足夠的安全性提高到這個級別需要大量的時間和投資——遠遠超過開發(fā)和部署在這個級別有效的勒索軟件所需的時間。

      去年的行政命令等指令是在多次備受矚目的攻擊之后發(fā)布的,有助于提高對 ICS 勒索軟件威脅的認識。但我審查過的任何指令或安全標準都遠遠不夠。勒索軟件和 ICS、固件和嵌入式設備安全性經(jīng)常被討論。但到目前為止,政府和行業(yè)領導者尚未將這些部分整合成有效的指導或行動計劃。

      在攻擊者通過將勒索軟件降低到 ICS 技術并降低到設備級別來破壞基本系統(tǒng)之前,我們可能還有時間。在攻擊者為我們提出理由之前,這三個事實應該提供改善保護的動力:

      事實 1:固件不安全是一個嚴重的問題,尤其是對于嵌入式設備

      在企業(yè)和控制室級別為設備和網(wǎng)絡帶來強大的安全控制已經(jīng)花費了 20 年的大部分時間。我們還沒有將類似的控制擴展到直接在 ICS 物理過程中工作的嵌入式設備。

      許多這些設備的固件是一個特別值得關注的問題。固件由直接與設備硬件交互的程序和數(shù)據(jù)組成,對設備的功能至關重要,但通常缺乏強大的保護。

      事實 2:嵌入式設備是合法的勒索軟件目標

      由于嵌入式設備通常包含有限的數(shù)據(jù),因此勒索軟件攻擊似乎違反直覺。但有證據(jù)表明,攻擊者已將固件本身作為勒索軟件負載的目標,并且還將固件用作將勒索軟件傳播到其他敏感系統(tǒng)的手段。

      許多關鍵的 ICS 設備在公開市場上出售,通常標有四位數(shù)的價格標簽。雖然需要高級技能來對它們進行逆向工程以發(fā)現(xiàn)可利用的漏洞,但惡意行為者已經(jīng)證明他們有時間和資源來做到這一點,特別是當 ICS 勒索軟件攻擊的支出達到八位數(shù)時。

      事實 3:已建立的保護措施不會阻止設備上的勒索軟件

      大多數(shù)嵌入式設備都位于外圍防御和訪問控制之后,這導致人們在為它們提供基于主機的保護方面有些自滿。但這些設備的功能和與用戶交互的方式之間存在重要差異。

      與對單個 PC 的攻擊不同,勒索軟件不會在嵌入式設備上激活,因為有人點擊了惡意鏈接或下載了勒索軟件有效負載。嵌入式設備入侵很可能是通過針對服務器和策略系統(tǒng)對企業(yè)采取大規(guī)模方法的攻擊的結果 - 這可以允許攻擊者直接向端點發(fā)送惡意命令而無需任何人工交互。

      在最可能的情況下,這些命令將源自受感染的工程工作站或通過供應商監(jiān)控/更新渠道,然后直接傳播,設備到設備,就像蠕蟲在 90 年代和 2000 年代所做的那樣。

      如果勒索軟件在授權的通信路徑和協(xié)議上傳播,防火墻、基于角色的訪問控制和其他保護措施將無效。一旦設備遭到入侵,他們也無法阻止東/西勒索軟件的傳播,因為此活動將發(fā)生在受保護的范圍內(nèi)。

      為了提高安全標準,我們必須突出對嵌入式設備的勒索軟件威脅

      我擔心一年后我們會處于同樣的境地,或者更糟的是,為了應對勒索軟件攻擊,我們將爭先恐后地升級設備上的安全性,這些攻擊會劫持我們的關鍵基礎設施或使其嚴重受損。為了避免這種情況,我們需要采取以下步驟:

      認識到嵌入式設備面臨的更高威脅。在當前的全球動蕩中,威脅行為者被鼓勵在基本基礎設施中發(fā)現(xiàn)可利用的弱點。嵌入式設備通常是關鍵任務,因此是勒索軟件和其他網(wǎng)絡攻擊的合法目標。

      在固件工程和安全方面投入更多資金。盡管達到此級別的攻擊的潛在嚴重性,許多行業(yè)仍然不愿意對固件的安全化進行深入投資。ICS 運營商必須為更高的安全性提出要求和預算,制造商必須為其產(chǎn)品帶來更多的原生保護。

      確保供應鏈手頭有足夠的替換設備。在此級別的勒索軟件攻擊后,設備更換很容易成為恢復操作的唯一選擇。目前,如果許多設備在一次攻擊中失敗,供應鏈不太可能產(chǎn)生足夠的替代品。

      備份設備配置。并非所有勒索軟件攻擊都會導致設備完全丟失。最終用戶應確保所有設備備份都是最新且可訪問的。


      審核編輯 黃昊宇

      聲明:本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權轉(zhuǎn)載。文章觀點僅代表作者本人,不代表電子發(fā)燒友網(wǎng)立場。文章及其配圖僅供工程師學習之用,如有內(nèi)容侵權或者其他違規(guī)問題,請聯(lián)系本站處理。 舉報投訴
      • 嵌入式設備
        +關注

        關注

        0

        文章

        109

        瀏覽量

        16903
      • 勒索軟件
        +關注

        關注

        0

        文章

        37

        瀏覽量

        3529
      收藏 人收藏

        評論

        相關推薦

        嵌入式系統(tǒng)的未來趨勢有哪些?

        會更加模塊化和集成化,允許更容易的硬件和軟件的切換和升級。這會提高系統(tǒng)的可維護性和可擴展性,會使得系統(tǒng)能夠適應不斷在變化的應用需求。 5. 生態(tài)可持續(xù)性與環(huán)保材料 在嵌入式系統(tǒng)的設計以及在制造過程中
        發(fā)表于 09-12 15:42

        嵌入式軟件開發(fā)與AI整合

        嵌入式軟件開發(fā)與AI整合是當前技術發(fā)展的重要趨勢之一。隨著人工智能技術的快速發(fā)展,嵌入式系統(tǒng)越來越多地集成了AI算法,以實現(xiàn)更復雜的智能功能。以下是關于嵌入式
        的頭像 發(fā)表于 07-31 09:25 ?489次閱讀
        <b class='flag-5'>嵌入式</b><b class='flag-5'>軟件</b>開發(fā)與AI整合

        嵌入式軟件設計的原則分享

        嵌入式軟件開發(fā)如果具有更好的閱讀性、擴展性以及維護性,就需要考慮很多因素。今天給大家分享幾個嵌入式軟件設計的原則。
        發(fā)表于 02-25 10:54 ?500次閱讀
        <b class='flag-5'>嵌入式</b><b class='flag-5'>軟件</b>設計的原則分享

        嵌入式軟件開發(fā)應該掌握哪些知識?

        兩個部分組成,其中嵌入式軟件是指在嵌入式系統(tǒng)中運行的程序,用于控制硬件并提供特定的功能和服務。嵌入式軟件應用廣泛,包括汽車、醫(yī)療
        發(fā)表于 02-19 11:23

        嵌入式學習步驟

        嵌入式行業(yè)是一個涉及廣泛領域的行業(yè),嵌入式、物聯(lián)網(wǎng)、人工智能、智能與科學、電子信息工程、通信工程、自動化工程、測控、計算機科學等專業(yè)在嵌入式系統(tǒng)中使得軟件和硬件的結合更加高效,適合從事
        發(fā)表于 02-02 15:24

        嵌入式軟件開發(fā)和軟件開發(fā)的區(qū)別

        嵌入式軟件開發(fā)和軟件開發(fā)是兩個不同的概念,它們在一些關鍵方面有著明顯的區(qū)別。嵌入式軟件開發(fā)是指開發(fā)嵌入
        的頭像 發(fā)表于 01-22 15:27 ?1789次閱讀

        啥是嵌入式?嵌入式都有啥?薪資如何?前景如何

        嵌入式系統(tǒng)(Embedded Systems)是一種特殊類型的計算機系統(tǒng),被嵌入到其他設備或系統(tǒng)中,用于執(zhí)行特定的任務或控制特定的功能。這些系統(tǒng)通常設計用于特定的應用領域,具有特定的硬件和軟件
        的頭像 發(fā)表于 01-17 16:39 ?465次閱讀
        啥是<b class='flag-5'>嵌入式</b>?<b class='flag-5'>嵌入式</b>都有啥?薪資如何?前景如何

        聊聊嵌入式軟件分層

        今天以控制LED閃爍為例,聊聊嵌入式軟件分層
        的頭像 發(fā)表于 12-28 09:22 ?548次閱讀

        什么是嵌入式系統(tǒng)?嵌入式系統(tǒng)的具體應用

        嵌入式,一般是指嵌入式系統(tǒng)。用于控制、監(jiān)視或者輔助操作機器和設備的裝置。
        的頭像 發(fā)表于 12-20 13:33 ?2132次閱讀

        嵌入式硬件和軟件哪個好?

        ,他的領域是比較廣泛的,在一些消費電子,通訊設備等這些方面。因為領域大,相對而言就業(yè)領域也是比較大的,人才需求量也是一樣。嵌入式軟件工程師相對于硬件工程師來說,人才需求比硬件工程師要大,軟件
        發(fā)表于 12-05 15:17

        嵌入式軟件的開發(fā)流程

        電子發(fā)燒友網(wǎng)站提供《嵌入式軟件的開發(fā)流程.doc》資料免費下載
        發(fā)表于 11-17 14:39 ?0次下載
        <b class='flag-5'>嵌入式</b><b class='flag-5'>軟件</b>的開發(fā)流程

        嵌入式軟件開發(fā)流程

        電子發(fā)燒友網(wǎng)站提供《嵌入式軟件開發(fā)流程.ppt》資料免費下載
        發(fā)表于 11-17 14:37 ?3次下載
        <b class='flag-5'>嵌入式</b><b class='flag-5'>軟件</b>開發(fā)流程

        為什么嵌入式沒有35歲危機?

        歲危機呢? 首先,嵌入式技術的應用領域非常廣泛。它不僅僅局限于軟件開發(fā),還需要與硬件密切結合。相比之下,其他IT崗位如軟件工程師、系統(tǒng)管理員等更容易
        發(fā)表于 11-17 10:33

        嵌入式軟件不需要架構嗎?為什么沒有嵌入式軟件架構師?

        我的看法:目前國內(nèi)的嵌入式開發(fā)主要分為嵌入式底層開發(fā)和嵌入式應用開發(fā),嵌入式的底層開發(fā)一般叫做驅(qū)動開發(fā),或者bsp開發(fā),有時也有稱之為linux內(nèi)核開發(fā),名字聽著都很高大上的感覺。
        發(fā)表于 10-27 14:45 ?449次閱讀
        <b class='flag-5'>嵌入式</b><b class='flag-5'>軟件</b>不需要架構嗎?為什么沒有<b class='flag-5'>嵌入式</b><b class='flag-5'>軟件</b>架構師?

        從事嵌入式工作有哪些優(yōu)勢?

        職業(yè)發(fā)展相對順利。從事企業(yè)應用軟件的人,工作范圍廣,項目變化大,日常的積累很難產(chǎn)生質(zhì)變,容易遭遇職業(yè)瓶頸;而從事嵌入式軟件的人,所涉及的專業(yè)技術范圍就是那些,時間長了會越來越有經(jīng)驗。
        發(fā)表于 10-08 15:05