調(diào)研機(jī)構(gòu)Forrester公司在最近發(fā)表的一份名為《2023年物聯(lián)網(wǎng)安全狀況研究報告》中解釋了導(dǎo)致網(wǎng)絡(luò)攻擊者喜歡攻擊物聯(lián)網(wǎng)設(shè)備的一些因素。
(資料圖片僅供參考)
物聯(lián)網(wǎng)攻擊的增長速度明顯快于主流攻擊。卡巴斯基工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(Kaspersky ICS CERT)發(fā)現(xiàn),在2022年下半年,全球34.3%的工業(yè)部門的服務(wù)器遭到了網(wǎng)絡(luò)攻擊,僅在2021年上半年,針對物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)攻擊就達(dá)到15億次,40%以上的OT系統(tǒng)遭到網(wǎng)絡(luò)攻擊。SonicWall Capture實驗室的網(wǎng)絡(luò)威脅研究人員在2022年記錄了1.123億個物聯(lián)網(wǎng)惡意軟件攻擊實例,與2021年相比增加了87%。
全球安全隔離與信息交換系統(tǒng)提供商Airgap Networks公司的首席執(zhí)行官Ritesh Agrawal指出,雖然物聯(lián)網(wǎng)端點可能不是業(yè)務(wù)關(guān)鍵點,但它們很容易被攻破,并被用于將惡意軟件直接傳播到企業(yè)最有價值的系統(tǒng)和數(shù)據(jù)。他建議企業(yè)對每個物聯(lián)網(wǎng)端點堅持使用網(wǎng)絡(luò)安全的基本措施——發(fā)現(xiàn)、細(xì)分和身份識別。
在最近接受行業(yè)媒體采訪時,Agrawal建議企業(yè)尋找一些不需要強(qiáng)制升級、并且在部署過程中不會破壞物聯(lián)網(wǎng)網(wǎng)絡(luò)的解決方案。這是他和聯(lián)合創(chuàng)始人在創(chuàng)建Airgap Networks公司時確定的一些網(wǎng)絡(luò)安全設(shè)計目標(biāo)中的兩個。
制造業(yè)采用的物聯(lián)網(wǎng)設(shè)備成為高價值的目標(biāo)物聯(lián)網(wǎng)設(shè)備受到網(wǎng)絡(luò)攻擊是因為它們很容易成為目標(biāo),在正常運行時間對生存至關(guān)重要的行業(yè)中,它們可以迅速導(dǎo)致大量的勒索軟件攻擊。制造業(yè)受到的打擊尤其嚴(yán)重,因為網(wǎng)絡(luò)攻擊者知道任何一家工廠都無法承受長期停工的后果,因此他們索要的贖金是其他目標(biāo)的兩到四倍。61%的入侵企圖和23%的勒索軟件攻擊主要針對OT系統(tǒng)。
調(diào)研機(jī)構(gòu)Forrester公司研究了物聯(lián)網(wǎng)設(shè)備成為如此高價值目標(biāo)的原因,以及它們?nèi)绾伪挥脕碓谄髽I(yè)中發(fā)動更廣泛、更具破壞性的網(wǎng)絡(luò)攻擊。他們確定了以下四個關(guān)鍵因素:
(1)物聯(lián)網(wǎng)設(shè)備的設(shè)計有安全盲點目前安裝的大多數(shù)傳統(tǒng)物聯(lián)網(wǎng)設(shè)備在設(shè)計時都沒有將安全性作為優(yōu)先考慮的因素。很多都缺少刷新固件或加載新軟件代理的選項。盡管存在這些限制,但仍然有一些有效的方法來保護(hù)物聯(lián)網(wǎng)端點。
首先安全措施要覆蓋物聯(lián)網(wǎng)傳感器和網(wǎng)絡(luò)中的盲點。CrowdStrike公司物聯(lián)網(wǎng)安全產(chǎn)品管理總監(jiān)Shivan Mandalam在最近的一次采訪中表示,“企業(yè)必須消除與未管理或不受支持的遺留系統(tǒng)相關(guān)的盲點。隨著IT和OT系統(tǒng)的可見性和分析能力的提高,安全團(tuán)隊可以在對手利用問題之前快速識別和解決問題。”
目前使用物聯(lián)網(wǎng)安全系統(tǒng)和平臺的領(lǐng)先網(wǎng)絡(luò)安全供應(yīng)商包括AirGap Networks、Absolute Software、Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti、JFrog和Rapid7。在2022年舉辦的Fal.Con大會上,CrowdStrike公司推出了增強(qiáng)的Falcon Insight,包括Falcon Insight XDR和Falcon Discover for IoT,旨在彌合工業(yè)控制系統(tǒng)(ICS)內(nèi)部和之間的安全差距。
(2)長期使用默認(rèn)管理密碼(包括憑據(jù))很常見網(wǎng)絡(luò)安全方面比較薄弱的制造商在物聯(lián)網(wǎng)傳感器上使用默認(rèn)管理密碼是很常見的。他們通常使用默認(rèn)設(shè)置,因為制造IT團(tuán)隊沒有時間設(shè)置每個細(xì)節(jié),或者沒有意識到存在這樣做的選項。Forrester公司指出,這是因為許多物聯(lián)網(wǎng)設(shè)備在初始化時并沒有要求用戶設(shè)置新密碼,也不要求企業(yè)強(qiáng)制設(shè)置新密碼。Forrester公司還指出,管理憑據(jù)在舊設(shè)備中通常無法更改。
因此,首席信息安全官、安全團(tuán)隊、風(fēng)險管理專業(yè)人員和IT團(tuán)隊在其網(wǎng)絡(luò)上擁有已知憑據(jù)的新舊設(shè)備。
提供網(wǎng)絡(luò)安全解決方案以提高密碼和身份級別物聯(lián)網(wǎng)端點安全性的領(lǐng)先供應(yīng)商包括Armis、Broadcom、Cisco、CradlePoint、CrowdStrike、Entrust、Forescout、Fortinet、Ivanti和JFrog。Ivanti公司是該領(lǐng)域的領(lǐng)導(dǎo)者,成功開發(fā)并推出了四種物聯(lián)網(wǎng)安全解決方案:用于RBVM的Ivanti Neurons、用于UEM的Ivati Neuron、支持醫(yī)療物聯(lián)網(wǎng)(IoMT)的醫(yī)療保健Ivanti Neurons,以及基于該公司收購Wavelink的用于保護(hù)工業(yè)物聯(lián)網(wǎng)安全的Ivanti Neurons。
Ivanti公司的首席產(chǎn)品官Srinivas Mukkamala博士在最近接受行業(yè)媒體采訪時解釋說:“物聯(lián)網(wǎng)設(shè)備正在成為網(wǎng)絡(luò)攻擊者的熱門目標(biāo),根據(jù)IBM公司發(fā)布的一份調(diào)查報告,物聯(lián)網(wǎng)攻擊在2021年占全球惡意軟件攻擊的12%以上,高于2019年的1%。為了解決這個問題,企業(yè)必須實施統(tǒng)一的端點管理(UEM)解決方案,該解決方案可以發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)上的所有資產(chǎn),甚至是企業(yè)休息室中采用Wi-Fi聯(lián)網(wǎng)的烤面包機(jī)。”
Mukkamala說:“統(tǒng)一的端點管理(UEM)和基于風(fēng)險的漏洞管理解決方案的結(jié)合對于實現(xiàn)無縫、主動的風(fēng)險響應(yīng),以修復(fù)企業(yè)環(huán)境中所有設(shè)備和操作系統(tǒng)上的漏洞至關(guān)重要。”
(3)幾乎所有醫(yī)療保健、服務(wù)和制造企業(yè)都依賴于傳統(tǒng)的物聯(lián)網(wǎng)傳感器從醫(yī)院部門、病房到車間,傳統(tǒng)的物聯(lián)網(wǎng)傳感器是這些企業(yè)獲取運營所需實時數(shù)據(jù)的支柱。醫(yī)療保健和服務(wù)這兩個行業(yè)都是網(wǎng)絡(luò)攻擊者的高價值目標(biāo),他們的目標(biāo)是入侵物聯(lián)網(wǎng),從而在網(wǎng)絡(luò)上發(fā)起橫向移動。73%基于物聯(lián)網(wǎng)的靜脈輸液泵是可攻擊的,50%的IP語音系統(tǒng)也是如此。總體而言,在一家傳統(tǒng)的醫(yī)院中,50%的聯(lián)網(wǎng)設(shè)備目前存在嚴(yán)重風(fēng)險。
Forrester公司指出,造成這些漏洞的主要原因之一是,這些設(shè)備運行的是不受支持的操作系統(tǒng),無法保護(hù)或更新。如果網(wǎng)絡(luò)攻擊者破壞了物聯(lián)網(wǎng)設(shè)備并且無法修補(bǔ),這會增加設(shè)備 “磚頭化”的風(fēng)險。
(4)物聯(lián)網(wǎng)的問題在于互聯(lián)網(wǎng),而不是技術(shù)Forrester公司觀察到,物聯(lián)網(wǎng)設(shè)備一旦連接到互聯(lián)網(wǎng),就會立即成為安全隱患。一位不愿透露姓名的網(wǎng)絡(luò)安全供應(yīng)商在接受采訪時表示,他們一個最大的客戶一直在掃描網(wǎng)絡(luò),以解析從該公司外部發(fā)出的IP地址。這個IP地址來自一家制造工廠前廳的監(jiān)控攝像頭。網(wǎng)絡(luò)攻擊者一直在監(jiān)控人員進(jìn)出,并試圖混入上班的員工中進(jìn)入該工廠內(nèi)部,并在其網(wǎng)絡(luò)上植入他們的傳感器。毫無疑問,F(xiàn)orrester公司觀察到物聯(lián)網(wǎng)設(shè)備已經(jīng)成為指揮和控制攻擊的渠道,或者成為僵尸網(wǎng)絡(luò),就像眾所周知的Marai僵尸網(wǎng)絡(luò)攻擊一樣。
遭到物聯(lián)網(wǎng)攻擊是什么感覺一些制造商表示,他們不確定如何保護(hù)傳統(tǒng)的物聯(lián)網(wǎng)設(shè)備及其可編程邏輯控制器(PLC)。可編程邏輯控制器(PLC)提供運行業(yè)務(wù)所需的實時數(shù)據(jù)流。物聯(lián)網(wǎng)和可編程邏輯控制器(PLC)是為易于集成而設(shè)計的,這與網(wǎng)絡(luò)安全性相反,這使得任何沒有專職IT人員和安全人員的制造商都很難確保它們的網(wǎng)絡(luò)安全。
總部位于美國中西部的一家汽車零部件制造商遭遇了大規(guī)模勒索軟件攻擊,此次攻擊主要針對該公司在網(wǎng)絡(luò)上未受保護(hù)的物聯(lián)網(wǎng)傳感器和攝像頭進(jìn)行攻擊。網(wǎng)絡(luò)攻擊者使用了一種R4IoT勒索軟件的變體,最初滲透了該公司用于自動化暖通空調(diào)、電力和機(jī)械預(yù)防性維護(hù)的物聯(lián)網(wǎng)、視頻監(jiān)控和可編程邏輯控制器(PLC)。
在入侵企業(yè)網(wǎng)絡(luò)之后,網(wǎng)絡(luò)攻擊者就會橫向移動,尋找基于Windows的系統(tǒng),并用勒索軟件感染它們。網(wǎng)絡(luò)攻擊者還獲得了管理員權(quán)限,并禁用了Windows防火墻和第三方防火墻,然后通過網(wǎng)絡(luò)將R4IoT可執(zhí)行文件安裝到機(jī)器上。
這次攻擊使得這家制造商無法監(jiān)控機(jī)器的熱量、壓力、運行狀況和循環(huán)時間等參數(shù),還凍結(jié)和加密了所有數(shù)據(jù)文件,使它們無法使用。更糟糕的是,網(wǎng)絡(luò)攻擊者威脅該公司,如果不支付贖金,將在24小時內(nèi)將該公司的所有定價、客戶和生產(chǎn)數(shù)據(jù)發(fā)布到暗網(wǎng)上。
這家制造商別無選擇,不得不支付了贖金,他們的網(wǎng)絡(luò)安全人才對如何應(yīng)對網(wǎng)絡(luò)攻擊不知所措。網(wǎng)絡(luò)攻擊者知道,還有很多制造商沒有專門的網(wǎng)絡(luò)安全和IT團(tuán)隊來應(yīng)對這種威脅,也不知道如何應(yīng)對這種威脅。這就是制造業(yè)仍然是受沖擊最嚴(yán)重的行業(yè)的原因。簡而言之,物聯(lián)網(wǎng)設(shè)備已經(jīng)成為首選的威脅載體,因為它們不受保護(hù)。
Agrawal表示,“物聯(lián)網(wǎng)給企業(yè)安全成熟度帶來了很大的壓力。將零信任擴(kuò)展到物聯(lián)網(wǎng)是很困難的,因為端點各不相同,而且環(huán)境是動態(tài)的,充滿了傳統(tǒng)設(shè)備。”當(dāng)被問及制造商和其他高風(fēng)險行業(yè)目標(biāo)如何開始進(jìn)行安全防護(hù)時,Agrawal建議說:“準(zhǔn)確的資產(chǎn)發(fā)現(xiàn)、細(xì)分和身份識別仍然是正確的答案,但在大多數(shù)物聯(lián)網(wǎng)設(shè)備無法接受代理的情況下,如何將它們與傳統(tǒng)解決方案一起部署?這就是許多企業(yè)采用像Airgap這樣的無代理網(wǎng)絡(luò)安全作為物聯(lián)網(wǎng)唯一可行的架構(gòu)的原因。”
標(biāo)簽:
