物聯(lián)網(wǎng) (IoT) 在數(shù)字化轉(zhuǎn)型中發(fā)揮著關(guān)鍵作用。 但是,在許多情況下,組織意識到他們已經(jīng)擁有大量已在多年來逐步部署的傳統(tǒng) IoT 設(shè)備。 其中許多設(shè)備的設(shè)計可能并未考慮到安全性。
物聯(lián)網(wǎng)最大的擔(dān)憂之一是管理與越來越多的物聯(lián)網(wǎng)設(shè)備相關(guān)的風(fēng)險。 與物聯(lián)網(wǎng)設(shè)備相關(guān)的信息安全和隱私問題已引起全球關(guān)注,因為這些設(shè)備具有與物理世界交互的能力。 物聯(lián)網(wǎng)漏洞不斷出現(xiàn),這使得制造商在設(shè)計上強調(diào)物聯(lián)網(wǎng)安全至關(guān)重要。
許多行業(yè)都發(fā)現(xiàn)并暴露了 IoT 漏洞。 這些漏洞威脅到敏感數(shù)據(jù)以及人身安全。 毫無疑問,物聯(lián)網(wǎng)是 2022 年黑客的主要目標,任何生產(chǎn)或使用這些設(shè)備的組織都需要做好準備。
物聯(lián)網(wǎng)安全威脅
下面我們簡要回顧一下物聯(lián)網(wǎng)設(shè)備促成的一些常見網(wǎng)絡(luò)安全威脅。
物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)
物聯(lián)網(wǎng)設(shè)備是僵尸網(wǎng)絡(luò)構(gòu)建者的有吸引力的目標——這些黑客會破壞數(shù)百萬臺設(shè)備,將它們連接到可用于犯罪活動的網(wǎng)絡(luò)。物聯(lián)網(wǎng)設(shè)備是僵尸網(wǎng)絡(luò)的一個很好的候選者,因為它們的安全性很弱,并且有大量幾乎相同的設(shè)備,攻擊者可以使用相同的策略來破壞這些設(shè)備。
攻擊者可以使用未受保護的端口或網(wǎng)絡(luò)釣魚詐騙來用惡意軟件感染物聯(lián)網(wǎng)設(shè)備,并將它們納入可用于發(fā)起大規(guī)模網(wǎng)絡(luò)攻擊的僵尸網(wǎng)絡(luò)。黑客可以使用現(xiàn)成的攻擊工具包,能夠檢測到敏感設(shè)備、穿透它們并避免檢測。然后,工具包中的另一個模塊指示設(shè)備代表僵尸網(wǎng)絡(luò)所有者發(fā)起攻擊或竊取信息。
威脅行為者經(jīng)常在分布式拒絕服務(wù) (DDoS) 攻擊期間利用物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò);請參閱下面的示例攻擊部分。
數(shù)據(jù)泄露
當(dāng)黑客使用惡意軟件感染物聯(lián)網(wǎng)設(shè)備時,他們可以做的不僅僅是將設(shè)備加入僵尸網(wǎng)絡(luò)。例如,攻擊者可以訪問設(shè)備數(shù)據(jù)并竊取其中存儲的任何敏感信息。攻擊者還利用物聯(lián)網(wǎng)從設(shè)備固件中獲取憑據(jù)。使用這些憑據(jù),攻擊者可以訪問公司網(wǎng)絡(luò)或其他存儲敏感數(shù)據(jù)的系統(tǒng)。這樣,對看似無辜的設(shè)備的攻擊可能會變成全面的數(shù)據(jù)泄露。
影子物聯(lián)網(wǎng)
影子物聯(lián)網(wǎng)的出現(xiàn)是因為 IT 管理員并不總是能夠控制連接到網(wǎng)絡(luò)的設(shè)備。具有 IP 地址的設(shè)備(例如數(shù)字助理、智能手表或打印機)經(jīng)常連接到公司網(wǎng)絡(luò),并不總是符合安全標準。
在不了解影子物聯(lián)網(wǎng)設(shè)備的情況下,IT 管理員無法確保硬件和軟件具有基本的安全功能,并且難以監(jiān)控設(shè)備上的惡意流量。當(dāng)黑客入侵這些設(shè)備時,他們可以利用與公司網(wǎng)絡(luò)的連接并提升權(quán)限來訪問公司網(wǎng)絡(luò)上的敏感信息。
值得注意的物聯(lián)網(wǎng)安全漏洞和黑客攻擊
自從物聯(lián)網(wǎng)的概念誕生于二十世紀后期以來,安全專家就警告說,連接到互聯(lián)網(wǎng)的設(shè)備將對社會構(gòu)成風(fēng)險。從那時起,已經(jīng)公布了許多大規(guī)模的攻擊,其中攻擊者破壞了物聯(lián)網(wǎng)設(shè)備,并對公共安全和企業(yè)安全造成了真正的威脅。這里有一些例子。
超級工廠病毒
2010年,研究人員發(fā)現(xiàn)一種名為Stuxnet的病毒對伊朗的核離心機造成了物理損害。襲擊開始于2006年,2009年是戰(zhàn)役的初級階段。惡意軟件操縱了從可編程邏輯控制器(PLC)發(fā)出的命令。Stuxnet通常被認為是一種物聯(lián)網(wǎng)攻擊,是工業(yè)環(huán)境中最早針對監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)的攻擊之一。
第一個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)
2013年,Proofpoint的研究人員發(fā)現(xiàn)了現(xiàn)在被認為是“第一個物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)”的東西。超過25%的僵尸網(wǎng)絡(luò)是由智能電視、家用電器、嬰兒監(jiān)視器等非計算機設(shè)備組成的。此后,CrashOverride、VPNFilter和Triton等惡意軟件被廣泛用于破壞工業(yè)物聯(lián)網(wǎng)系統(tǒng)。
破壞吉普車
2015 年,兩名安全研究人員通過部署在車內(nèi)的克萊斯勒 Uconnect 系統(tǒng)無線入侵了一輛吉普車,并執(zhí)行了遠程操作,例如更改收音機頻道、打開雨刷和空調(diào)。研究人員表示,他們可以禁用休息時間,導(dǎo)致發(fā)動機熄火、減速或完全關(guān)閉。
Mirai 僵尸網(wǎng)絡(luò)
2016 年,有史以來發(fā)現(xiàn)的最大的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)之一 Mirai 通過攻擊安全研究員 Brian Krebs 和歐洲托管公司 OVH 的網(wǎng)站開始其活動。這些攻擊規(guī)模巨大——630 Gbps 和 1.1 Tbps。隨后,該僵尸網(wǎng)絡(luò)被用于攻擊大型 DNS 提供商 Dyn 以及 Twitter、亞馬遜、Netflix 和紐約時報等知名網(wǎng)站。攻擊者使用路由器和 IP 監(jiān)控攝像頭等物聯(lián)網(wǎng)設(shè)備構(gòu)建網(wǎng)絡(luò)。
St. Jude 心臟設(shè)備漏洞
2017 年,美國食品和藥物管理局 (FDA) 宣布 St. Jude Medical 制造的植入式心臟設(shè)備,包括植入活體患者體內(nèi)的起搏器,容易受到攻擊。出席黑帽會議的安全研究人員 Billy Rios 和 Jonathan Butts 證明了他們侵入心臟起搏器并關(guān)閉它的能力,如果黑客這樣做了,就會殺死病人。
物聯(lián)網(wǎng)安全最佳實踐
當(dāng)您開始為您的組織考慮物聯(lián)網(wǎng)安全策略時,這里有一些可以改善您的安全狀況的最佳實踐。
使用物聯(lián)網(wǎng)安全分析
安全分析基礎(chǔ)架構(gòu)可以顯著減少與物聯(lián)網(wǎng)相關(guān)的漏洞和安全問題。這需要收集、編譯和分析來自多個 IoT 源的數(shù)據(jù),將其與威脅情報相結(jié)合,并將其發(fā)送到安全運營中心 (SOC)。
當(dāng)物聯(lián)網(wǎng)數(shù)據(jù)與來自其他安全系統(tǒng)的數(shù)據(jù)相結(jié)合時,安全團隊就有更好的機會識別和響應(yīng)潛在威脅。安全分析系統(tǒng)可以關(guān)聯(lián)數(shù)據(jù)源并識別可能代表可疑行為的異常。然后,安全團隊可以調(diào)查并響應(yīng)異常情況,防止攻擊者破壞企業(yè)物聯(lián)網(wǎng)設(shè)備。
網(wǎng)絡(luò)分段
網(wǎng)絡(luò)分段是一種能夠?qū)⑻囟ńM件與其他組件隔離以提高安全性的技術(shù)。在物聯(lián)網(wǎng)的情況下,分段可以幫助防止攻擊者或惡意內(nèi)部人員連接到物聯(lián)網(wǎng)設(shè)備,或者可以防止受感染的設(shè)備感染網(wǎng)絡(luò)的其他部分。您可以將此技術(shù)實施到您的策略中或使用網(wǎng)絡(luò)安全解決方案。
要開始分段工作,請創(chuàng)建當(dāng)前使用的 IoT 設(shè)備的綜合列表、它們的連接方法(VLAN 或 LAN)、它們傳輸數(shù)據(jù)的方式和類型,以及每個設(shè)備真正需要連接的網(wǎng)絡(luò)上的其他設(shè)備。特別是,檢查每個類別的設(shè)備是否需要訪問 Internet,如果沒有,請禁用它。
一種細分建議是指定特定的設(shè)備類別,例如數(shù)據(jù)收集、基礎(chǔ)設(shè)施或個人員工擁有的設(shè)備。您可以根據(jù)每個 IoT 端點的連接要求創(chuàng)建分段策略,并采取措施隔離或阻止對真正不需要它的端點的網(wǎng)絡(luò)訪問。
啟用設(shè)備身份驗證
減少物聯(lián)網(wǎng)設(shè)備易受攻擊的另一種方法是在所有設(shè)備上強制執(zhí)行完全身份驗證。無論您的物聯(lián)網(wǎng)設(shè)備具有簡單的密碼身份驗證,還是數(shù)字證書、生物識別或多因素身份驗證 (MFA) 等更高級的措施,請使用設(shè)備上可用的最安全的身份驗證,并確保您從不使用出廠默認密碼。
用于物聯(lián)網(wǎng)安全的 AI 和 ML
不斷擴大的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)會產(chǎn)生大量數(shù)據(jù),如果沒有適當(dāng)?shù)姆治?,這些數(shù)據(jù)將毫無用處。借助人工智能 (AI) 和機器學(xué)習(xí)對海量數(shù)據(jù)集進行分析,使機器能夠自學(xué)、保留所學(xué)知識,從而提高物聯(lián)網(wǎng)系統(tǒng)的能力。
作為最近的物聯(lián)網(wǎng)趨勢之一,基于人工智能的入侵檢測系統(tǒng) (IDS) 持續(xù)監(jiān)控網(wǎng)絡(luò),收集和分析來自先前攻擊的信息。他們可以根據(jù)歷史數(shù)據(jù)預(yù)測攻擊,并提出應(yīng)對威脅的解決方案。即使發(fā)明了新的黑客技術(shù),它們?nèi)匀豢赡馨郧笆褂玫哪J剑@些模式可以通過 ML 算法實時識別。
一般來說,有兩種基于 ML 的 IDS。
Anomaly IDS 根據(jù)記錄的正常行為檢測攻擊,將當(dāng)前實時流量與之前記錄的正常實時流量進行比較。這些系統(tǒng)能夠檢測到一種新型攻擊,即使出現(xiàn)大量誤報,也得到了廣泛的應(yīng)用。
濫用或簽名 IDS 比較當(dāng)前實時流量中識別的模式與以前各種類型攻擊的已知模式之間的相似性。它顯示了較少的誤報警報,但同時,新型攻擊可以通過而不被發(fā)現(xiàn)。
線性判別分析 (LDA)、分類和回歸樹 (CART) 和隨機森林等 ML 算法可用于攻擊識別和分類。