一、前言
由于缺乏网络安全的设计,并且长期使用默认密码,物联网设备正迅速成为网络攻击者最喜欢的攻击目标。除此之外,在运营技术(OT)网络中,分配给每个高级物联网传感器的许多角色和身份的迅速增加,以及它们与运行业务的关键任务系统的接近,网络攻击者喜欢将物联网设备作为攻击目标也就不足为奇了。
二、什么是物联网?
物联网,简称IoT(Internet of things),其概念最早在1999年由美国麻省理工学院Auto-ID实验室明确提出。它主要通过射频识别、红外感应器、全球定位系统、激光扫描器等信息传感设备,按约定的协议,把任何物品与互联网相连接,进行信息交换和通信,以实现对物品的智能化识别、定位、跟踪、监控和管理的一种网络。实现任何时间、任何地点下,人、机、物的互联互通。
物联网(IoT)一般由嵌入传感器、软件和网络连接的物理设备、车辆、电器和其他物理对象组成,允许它们收集和共享数据。这些设备(也称为“智能对象”)的范围可以从简单的“智能家居”设备(如智能恒温器)到可穿戴设备(如智能手表、VR眼镜以及支持RFID的服装),再到复杂的工业机械和运输系统。
物联网是新一代信息技术的重要组成部分,IT行业又叫:泛互联,意指物物相连,万物万联。由此可以概括:“物联网就是物物相连的互联网”。这有两层意思:第一,物联网的核心和基础仍然是互联网,是在互联网基础上的延伸和扩展的网络;第二,其用户端延伸和扩展到了任何物品与物品之间,进行信息交换和通信。
物联网的潜在应用是广泛而多样的,其影响已经在诸多行业中感受到,包括制造业、运输业、医疗保健和农业。随着互联网连接设备数量的持续增长,物联网可能会在塑造我们的世界和改变我们的生活、工作和互动方式方面发挥越来越重要的作用。
三、为什么网络攻击者喜欢攻击物联网设备
调研机构Forrester公司在最近发表的一份名为《2023年物联网安全状况研究报告》中解释了导致网络攻击者喜欢攻击物联网设备的一些因素。
物联网攻击的增长速度明显快于主流攻击。卡巴斯基工业控制系统网络应急响应小组(Kaspersky ICS CERT)发现,在2022年下半年,全球34.3%的工业部门的服务器遭到了网络攻击,仅在2021年上半年,针对物联网设备的网络攻击就达到15亿次,40%以上的OT系统遭到网络攻击。SonicWall Capture实验室的网络威胁研究人员在2022年记录了1.123亿个物联网恶意软件攻击实例,与2021年相比增加了87%。
全球安全隔离与信息交换系统提供商Airgap Networks公司的首席执行官Ritesh Agrawal指出,虽然物联网端点可能不是业务关键点,但它们很容易被攻破,并被用于将恶意软件直接传播到企业最有价值的系统和数据。他建议企业对每个物联网端点坚持使用网络安全的基本措施——发现、细分和身份识别。
在最近接受行业媒体采访时,Agrawal建议企业寻找一些不需要强制升级、并且在部署过程中不会破坏物联网网络的解决方案。这是他和联合创始人在创建Airgap Networks公司时确定的一些网络安全设计目标中的两个。
四、制造业采用的物联网设备成为高价值的目标
物联网设备受到网络攻击是因为它们很容易成为目标,在正常运行时间对生存至关重要的行业中,它们可以迅速导致大量的勒索软件攻击。制造业受到的打击尤其严重,因为网络攻击者知道任何一家工厂都无法承受长期停工的后果,因此他们索要的赎金是其他目标的两到四倍。61%的入侵企图和23%的勒索软件攻击主要针对OT系统。
调研机构Forrester公司研究了物联网设备成为如此高价值目标的原因,以及它们如何被用来在企业中发动更广泛、更具破坏性的网络攻击。他们确定了以下四个关键因素:
(一)物联网设备的设计有安全盲点
目前安装的大多数传统物联网设备在设计时都没有将安全性作为优先考虑的因素。很多都缺少刷新固件或加载新软件代理的选项。尽管存在这些限制,但仍然有一些有效的方法来保护物联网端点。
首先安全措施要覆盖物联网传感器和网络中的盲点。CrowdStrike公司物联网安全产品管理总监Shivan Mandalam在最近的一次采访中表示,“企业必须消除与未管理或不受支持的遗留系统相关的盲点。随着IT和OT系统的可见性和分析能力的提高,安全团队可以在对手利用问题之前快速识别和解决问题。”
目前使用物联网安全系统和平台的领先网络安全供应商包括AirGap Networks、Absolute Software、Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti、JFrog和Rapid7。在2022年举办的Fal.Con大会上,CrowdStrike公司推出了增强的Falcon Insight,包括Falcon Insight XDR和Falcon Discover for IoT,旨在弥合工业控制系统(ICS)内部和之间的安全差距。
(二)长期使用默认管理密码(包括凭据)很常见
网络安全方面比较薄弱的制造商在物联网传感器上使用默认管理密码是很常见的。他们通常使用默认设置,因为制造IT团队没有时间设置每个细节,或者没有意识到存在这样做的选项。Forrester公司指出,这是因为许多物联网设备在初始化时并没有要求用户设置新密码,也不要求企业强制设置新密码。Forrester公司还指出,管理凭据在旧设备中通常无法更改。
因此,首席信息安全官、安全团队、风险管理专业人员和IT团队在其网络上拥有已知凭据的新旧设备。
提供网络安全解决方案以提高密码和身份级别物联网端点安全性的领先供应商包括Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti和JFrog。Ivanti公司是该领域的领导者,成功开发并推出了四种物联网安全解决方案:用于RBVM的Ivanti Neurons、用于UEM的Ivati Neuron、支持医疗物联网(IoMT)的医疗保健Ivanti Neurons,以及基于该公司收购Wavelink的用于保护工业物联网安全的Ivanti Neurons。
Ivanti公司的首席产品官Srinivas Mukkamala博士在最近接受行业媒体采访时解释说:“物联网设备正在成为网络攻击者的热门目标,根据IBM公司发布的一份调查报告,物联网攻击在2021年占全球恶意软件攻击的12%以上,高于2019年的1%。为了解决这个问题,企业必须实施统一的端点管理(UEM)解决方案,该解决方案可以发现企业网络上的所有资产,甚至是企业休息室中采用Wi-Fi联网的烤面包机。”
Mukkamala说:“统一的端点管理(UEM)和基于风险的漏洞管理解决方案的结合对于实现无缝、主动的风险响应,以修复企业环境中所有设备和操作系统上的漏洞至关重要。”
(三)几乎所有医疗保健、服务和制造企业都依赖于传统的物联网传感器
从医院部门、病房到车间,传统的物联网传感器是这些企业获取运营所需实时数据的支柱。医疗保健和服务这两个行业都是网络攻击者的高价值目标,他们的目标是入侵物联网,从而在网络上发起横向移动。73%基于物联网的静脉输液泵是可攻击的,50%的IP语音系统也是如此。总体而言,在一家传统的医院中,50%的联网设备目前存在严重风险。
Forrester公司指出,造成这些漏洞的主要原因之一是,这些设备运行的是不受支持的操作系统,无法保护或更新。如果网络攻击者破坏了物联网设备并且无法修补,这会增加设备 “砖头化”的风险。
(四)物联网的问题在于互联网,而不是技术
Forrester公司观察到,物联网设备一旦连接到互联网,就会立即成为安全隐患。一位不愿透露姓名的网络安全供应商在接受采访时表示,他们一个最大的客户一直在扫描网络,以解析从该公司外部发出的IP地址。这个IP地址来自一家制造工厂前厅的监控摄像头。网络攻击者一直在监控人员进出,并试图混入上班的员工中进入该工厂内部,并在其网络上植入他们的传感器。毫无疑问,Forrester公司观察到物联网设备已经成为指挥和控制攻击的渠道,或者成为僵尸网络,就像众所周知的Marai僵尸网络攻击一样。
五、常见的物联网攻击
由于大多数物联网设备都是为简单的任务而构建的,因此它们没有使用强大的安全程序。恶意行为者利用这些薄弱的安全标准来尝试以下常见的物联网攻击之一。
(一) 窃听
黑客通过物联网设备监控受害者的网络,并秘密收集敏感数据,包括银行详细信息和登录凭证。他们甚至可以通过坐在近距离的地方听到房间里正在进行的谈话。
例如,你可能没有意识到有人在你家附近的咖啡馆喝咖啡,可以利用你房间里支持物联网的智能设备监视你的谈话。
这是通过利用这些设备运行的不安全或安全较弱的网络来实现的。
(二)特权升级攻击
了解有关物联网的一切至关重要,因为专业黑客也可以攻击操作系统。他们利用物联网设备中未修补的弱点或零日漏洞将权限升级到管理员级别并完全控制系统。
(三)暴力攻击
近84%的组织使用物联网设备,但只有50%的组织部署了适当的安全措施,包括定期更改密码。默认密码、未更改密码和弱密码允许网络攻击者尝试暴力攻击。他们使用试错法,用所有可能的组合来破解密码,进入系统、账户或网络。
所以,你的密码越简单,攻击者就越容易破解它。
(四)恶意节点注入
网络犯罪分子在合法节点之间注入恶意脚本,以访问链接节点之间交换的数据。这通常是可能的,因为没有人监控物联网设备。
(五)固件劫持
有这么多的物联网设备,品牌和产品固件劫持是一个主要问题。恶意行为者向受害者发送带有损坏链接的虚假更新通知。这些链接将用户重定向到恶意网站,要求用户提交个人详细信息或用恶意软件感染系统。
(六)分布式拒绝服务
最近,分布式拒绝服务(DDoS)攻击的数量急剧上升。目标是通过多个设备访问单个服务器。黑客使用僵尸网络恶意软件通过受感染或“僵尸化”的物联网设备尝试DDoS攻击。
(七)物理篡改
像汽车这样的物联网设备可以从外部访问,因为在开放环境中无法控制谁可以接触它们。因此,攻击者通过物理篡改来建立立足点,以执行有针对性的攻击。
六、最小化物联网设备的风险
以下方法可帮助保护企业和家庭中的物联网设备:
(一)选择注重安全的供应商
在为企业或家庭购买物联网设备时,应该选择一家专注于网络安全的供应商。物联网供应商重视安全性,其生产的设备可保护用户避免受到攻击。
德迅云网络安全提供商,部署的T级别数据中心,具备完善的机房设施,核心骨干网络有效保证高品质的网络环境和丰富的带宽资源。搭载赠送:自主化管理平台、德迅卫士(主机安全防火墙)、Web云防护(一站式网站安全加速)、1V1专家技术支撑,竭诚为您提供安全、可靠、稳定、高效的服务体验。
(二)采用零信任安全模型
在传统的安全模型中,当设备和用户第一次尝试连接到网络时,必须只对其进行一次验证和身份验证。
但在零信任安全模型中,每当物联网设备和用户试图连接到物联网网络时,他们都会得到验证和身份验证。这样,你就可以确保每个人都是他们所说的自己,每个设备都是真实的。
德迅蜂巢(容器安全)
(三)实施网络分段
当应用网络分段时,将网络划分为更小的网段,这些部分作为独立的网络工作。
因此,为连接的物联网设备实施网络分段可以减少攻击面,并最大限度地减少安全问题。这是因为网络分段使得威胁行为者,很难在网络中横向移动并造成严重破坏。
(四)让设备保持最新状态
未修补的漏洞可能成为黑客访问物联网设备的切入点。因此,请在所有固件更新可用时尽快安装,并确保从设备制造商的网站下载更新。
利用物联网设备上的自动更新功能。如果您的设备不支持自动更新,请制定计划,每周手动检查一次。及时更新物联网设备将有助于防止黑客利用物联网设备中的已知漏洞。
(五)更改设备的默认密码
如果不更改物联网设备的默认密码,连接的设备将容易受到各种物联网攻击。黑客可以很容易地猜测易受攻击设备的用户名和密码。一旦威胁行为者控制了设备,他们就可以将它们添加到物联网僵尸网络中。
这就是为什么立即更改默认密码,并创建能记住的牢不可破的密码是至关重要的原因。还可以开始使用密码管理器或生成器来为多个物联网设备创建和管理密码。
(六)加强设备设置
物联网设备可能带有默认的隐私和安全设置。这些设置通常使设备制造商受益,尤其是在隐私方面。所以应该仔细检查物联网设备的隐私和安全设置。如果看到加强隐私和安全的选项,请打开它们。
(七)禁用未使用的功能
禁用物联网设备上未使用的功能是保护连接设备免受黑客攻击的另一种方法。物联网设备具有一系列功能,您可能无法使用所有这些功能。例如,有些设备可能有一个web浏览器,而在用例中不需要它。
如果激活设备上所有可用的功能和服务,就会扩大攻击面,黑客将有更多机会利用物联网设备中的漏洞。养成定期查看活动功能和服务的习惯。如果发现任何对特定用例不必要的东西,请禁用它以减少攻击面。
(八)尽可能启用MFA
多因素身份验证(MFA)是一种要求用户提供两个,或多个因素以访问设备的认证方法。例如,身份验证服务器可以要求提供一次性密码等附加因素,而不是仅要求用户名和密码,以授予对设备的访问权限。
如果物联网设备支持MFA,你必须实现它。这样做会增加额外的安全层。但要警惕MFA疲劳攻击,如果成功,可以帮助黑客绕过身份验证。
(九)投资安全解决方案
物联网系统不断受到黑客的关注;实施强大的物联网安全解决方案是保护物联网生态系统的必要条件。
借助功能强大的物联网安全解决方案,可以:
查看网络中的所有物联网设备并了解相关的安全风险
实施零信任政策以防止未经授权的访问
密切关注威胁和漏洞
通过虚拟补丁和实时物联网威胁情报防止已知和零日攻击
评估登录凭据较弱的设备
(十)提高物理安全
黑客想尽一切办法访问物联网设备,包括进入家或办公室。在保护物联网设备时,还应该考虑这些设备的物理安全性。
将敏感物联网设备保存在防篡改的情况下,添加一个功能,当有人对其进行处理时会禁用连接的设备,并且只允许对敏感设备进行身份验证访问,这些都是增强物联网设备物理安全的几种方法。
(十一)保护路由器和网关
Wi-Fi路由器是物联网设备和互联网之间的网关。黑客可以访问路由器和Wi-Fi,这可能会危及连接设备和整个网络的安全。因此,除了保护物联网设备外,还应该保护路由器和Wi-Fi网络。
此外,还应该更新路由器的固件,保护智能家居设备以防止物联网攻击。