在2021年度(du)RSA大會上對(dui)物聯(lian)網駭客的(de)(de)心(xin)理(li)剖析中,安(an)全專家 Itzik Feiglevitch 和(he) Justin Sowder 提出了各(ge)種物聯(lian)網設備易受攻擊的(de)(de)問題,以(yi)及企業�������網絡安(an)全工作中另類的(de)(de)處(chu)理(li)問題。通過一些�����驚人的(de)(de)案例,展現(xian)出企業的(de)(de)物聯(lian)網安(an)全現(xian)狀。
很少(shao)會有(you)網絡安全專家(jia)對企業的物聯網設(she)備進行跟蹤調查。通常(chang)情況下,智能(neng)電梯(ti)、各種傳感器、交互式網絡電視(IPTV)、打(da)印機、監控探(tan)頭等設(she)備,只(zhi)不過是一(yi)些零散設(she)備隨意組合到一(yi)起,每(mei)個(ge)設(she)備都(dou)采用(yong)獨(du)立的操�������作(zuo)系統(tong)及專有(you)協議,許多(duo)設(she)備都(dou)缺(que)少(shao)一(yi)種合理的控制接口。這點您應該理解,在您的企業中可能(neng)就存在數千(qian)個(ge)案(an)例。
█物聯(lian)網設備為何會(hui)引(yin)入額外的網絡安全風險
物聯網(wang)設備往往并(������bing)不被看作(zuo)是相關基礎設施。盡管大家會將網(wang)絡(luo)打(da)印機視為網(wang)絡(luo)設備,卻不會把智能建筑組(zu)件甚至IP電話(hua)������系(xi)統看作(zuo)網(wang)絡(luo)設備。很明(ming)顯(xian),這(zhe)類設備常常會和企業的工作(zuo)站連接在(zai)同一個(ge)網(wang)絡(luo)中(zhong)。
企(qi)業員工(gong)(gong)的(de)流動或許會讓情況更加復雜。網(wang)絡(lu������o)安全和信(xin)息技術的(de)人事變動越頻繁,新(xin)員工(gong)(gong)就越有(you)可能(neng)對連接到(dao)網(wang)絡(luo)的(de)物聯網(wang)集群的(de)狀況一無所知。
或許(xu),最壞的狀況在(zai)于部分(fen)物聯(lian)網(wang)設(she)(she)備(bei)是可以從(cong)外界訪問(wen)的。外人可以以合(he)法手段從(cong)外界訪問(wen),比如(ru)供應商對設(she)(she)備(bei)某些方面(mian)的控制(zhi),遠程辦公的實現(xian),以及維(wei)護行為。然而一邊�����把設(she)(she)備(bei)接入企業網(wang)絡,同時(shi)又(you)將設(she)(she)備(bei)長期連接到互(hu)聯(lian)網(wang),這種做法風險極(ji)高。
雖然聽起來(lai)有些矛盾(dun),但(dan)是現代(dai)電子產(chan)品功(gong)能(neng)的愈(yu)發(fa)強大,已(yi)成為又一(yi)個風(feng)險因素。一(yi)些物聯網設(she)備(bei)的使(shi)用(yong)壽命非常長(chang),其運行環境中(zhong)的安全狀(zhuang)況(kuang)早已(yi)比其出廠時要復(f������u)雜(za)得多(duo)。
舉個(ge)例(li)子,某些設備上(shang)運行著早已過時且(qie)易受(shou)攻擊(ji)的(de)操(cao)作(zuo)系(xi)統(tong),這類操(cao)作(zuo)系(xi)統(tong)不(��������bu)再更(geng)(geng)新。即便可以更(geng)(geng)新,大概也需要(yao)通過物理方式(shi)更(geng)(geng)新,而(er)且(qie)操(cao)作(zuo)困難到幾乎(hu)無(wu)法實(shi)現。部分功能無(wu)法更(geng)(geng)改密碼,還有那些在調試時不(bu)小心(xin)留在最(zui)終版固件(jian)中的(de)后門,以及其他一些給(gei)IT安全工作(zuo)添枝加葉(xie)的(de)“驚喜”。
█攻擊者為什么對(dui)物聯網設備感興趣
網(wang)絡犯罪分子對(dui)物聯網(wa����ng)設(she)(she)備感(gan)興(xing)趣的(de)原因(yin)有幾個,包括對(dui)主機(ji)企業(ye)和其(qi)他(ta)企業(ye)的(de)攻(gong)擊。受攻(gong)擊的(de)智能設(she)(she)備通常會被用于:
為DDoS攻擊建立僵尸(shi)網絡;
加密(mi)貨幣挖礦;
盜取機密信息(xi);
實施破(po)壞;
作為(wei)進一步攻擊和(he)網絡橫向移動的(de)跳板。
█案例研究
研究人員講述了幾個非常荒謬的(de)(de��)(de)案例,都涉及連接(jie)到互(hu)聯網的(de)(de)(de)標準設備,以及高度專(zhuan)業的(de)(de)(de)設備。有兩個突(tu)出案例是(shi)關于(yu)使用(yong)�������Zigbee協議的(de)(de)(de)超聲波機器(qi)和設備的(de)(de)(de)。
超聲機
現(xian)代醫(yi)療(liao)保(bao)健行(xing)(xing)業����組織廣泛使用物聯網醫(yi)療(liao)設備(bei)(bei)。為了對(dui)此類(lei)設備(bei)(bei)的(de)安全性進(jin)行(xing)(xing)測試,研究人員(yuan)購(gou)買了超聲(sheng)波機(ji)器������,并試圖對(dui)其實(shi)施破解。只(zhi)需五(wu)分鐘,就能完成破解。該設備(bei)(bei)使用不再支持更新的(de)Windows 2000的(de)一(yi)個系統版本(ben)。除(chu)此之外,他(ta)們不僅能獲得對(dui)設備(bei)(bei)的(de)控制,還能訪(fang)問前任機(ji)主(zhu)未刪除(chu)的(de)患者數據。
醫(yi)生往往會(hui)在不(bu)(bu)(bu)更(geng)新、不(bu)(bu)(bu)升級(ji)的(de)情況下,使用醫(yi)療設(she)備(bei)數(shu)年(nian)甚至數(shu)十(shi)年(nian)之久。這可以理解,如果機器(qi)不(bu)(bu)(bu)出問題(ti)就不(bu)(bu)(bu)用管。然而此類設(she)備(bei)往往并不(bu)(bu)(bu)會(hui)在自己的(d�������e)第一(yi)個主人手下工作較長(chang)時間,它們會(hui)被轉賣,隨后(hou)繼續服役(yi)。
Zigbee協(xie)議(yi)
Zigbee網絡協(xie)議是于2003年,為提(ti)高(gao)設(she)備間無(wu)線通(t����ong)(tong)訊的能效而開發(fa)的通(tong)(tong)信(xin)協(xie)議。企業使用Zigbee網絡協(xie)議構建Mesh網絡,以滿足智能建筑中各種組件的日常(chang)連接。這樣一來(lai),在辦(ban)公室某處設(she)置的網關就可(ke)以控制幾十種不同的設(she)備,比如(ru)智能照明系統(tong)。
一些(xie)研究人員表示,網(wang)絡犯罪(zui)分子(zi)可以在普(pu)通筆記本上輕易模擬(ni)Zigbee設(she)備,連接到網(wang)關(guan)�������(guan),并安裝惡意程(cheng)序。不(bu)法分子(zi)只需位于Zigbee網(wang)絡的(de)覆蓋范圍內,比如(ru)辦公室大廳,一旦控(kong)制網(wang)關(guan)(guan),就能(neng)以多種(zhong)方(fang)式實(������shi)施破(po)壞。比如(ru),可以關(guan)(guan)閉(bi)建筑物中(zhong)的(de)所有智能(neng)燈(deng)。
█如(ru)何為企(qi)業網絡(luo)提供保(bao)護
安全(quan)(quan)經理經常拿不準,是(shi)應該(gai)保護(hu)企業(ye)網絡中的(de)(de)(de)物聯(lian)網設(she)備(bei)(bei),還(huan)是(shi)保護(hu)企業(ye)網絡免受物聯(lian)網設(she)備(bei)(bei)發起的(de)(de)(de)攻(gong)擊。實際上(shang)(shang),這兩種問題都需要(yao)解決(jue)。這里要(yao)注������意的(de)(de)(de)是(shi),要(yao)保證網絡上(shang)(shang)的(de)(de)(de)每個(ge)項目(mu)和行為都是(shi)可見的(de)(de)(de)。建立企業(ye)安全(quan)(quan),需要(yao)首(shou)先識別每一個(ge)連接(jie)到網絡中的(de)(de)(de)設(she)備(bei)(bei),對(dui)其進行正確分類,理想情(qing)況(kuang)下要(yao)分析相關(guan)風險(xian)。
當然,下(xia)一步就是根(ge�������n)據(ju)分(fen)析結果進(jin)行(xing)網絡(luo)分(fen)段。如果某個設備必要且無(wu)法(fa)取代(dai),但存在無(wu)法(fa)修復的漏洞,就要配置(zhi������)網絡(luo)以拒絕(jue)易受攻擊的設備連(lian)接到互聯網,并在其他網段中移除其訪問(wen)權限。理想情(qing)況(kuang)下(xia),要使用(yong)零信(xin)任安全理念進(jin)行(xing)細分(fen)。
監視網絡流量以了解相(xiang)關網段中(zhong)的(de)異常狀(zhuang)況,同(tong)樣有助于提(ti)高監測能力,發現受(shou)攻(gong)擊的(de)物聯網設備實施的(de)DDoS攻(gong)擊以及挖礦�����行為。
最后(hou),如果您(nin)想要獲取早期監(jian)測(ce)能力,監(jian)測(ce)在網絡中以物聯網設備(bei����)作為跳板以攻擊其他系統(tong)的高級攻擊,請(qing)使(shi)用(yong)端點檢測(ce)和(he)響應(ying)解(jie)決方案(an)。
