物聯網設備在安全方面失敗
物聯網設備是普遍存在的,并且正在向家庭用戶和大公司提供。無論他們的目標受眾如何,有關報告都表明,針對智能產品的攻擊數量正在上升,并且到20世紀20年代,四分之一的網絡攻擊將明確針對物聯網設備。
為了理解這種疏忽,我們必須了解IoT設備應該如何工作。設備啟動后,需要正確配置,以便將其集成到Internet和專用本地網絡(Intranet)。根據其實施和條件,需要不同的配置以提供最有效的保護。
包含敏感信息的公開資源只能通過安全帳戶或通過本地網絡建立的連接訪問。但是,實際上我們看到大多數此功能都可以通過Web面板或僅使用默認或弱憑據保護的遠程連接訪問。這允許使用密碼暴力攻擊等自動化方法輕松劫持設備。因此,不安全的物聯網設備不斷暴露其服務。
最近的顯示數以千計的物聯網設備可以在幾秒內被黑客攻擊
10月份,研究人員發現了許多安全漏洞,這些漏洞使黑客可以濫用物聯網設備。這一發現是目前物聯網安全性不足的最有用的例證之一。FreeRTOS是物聯網設備最常用的操作系統之一; 披露這些漏洞使得大部分智能產品自動易受攻擊,除非事后收到更新。總的來說,研究人員僅在基本操作系統中就發現了13個錯誤。它們的性質包括遠程代碼執行,信息泄漏,拒絕服務以及具有未指定功能的服務。
在公開披露這些缺陷后,安全團隊發布了必要的補丁。問題是并非所有供應商都及時實施這些修復。即使每個物聯網設備制造商發布補丁,并非所有用戶都會應用它們。由于大多數設備缺少自動更新選項,因此設備所有者需要主動保持其物聯網設備的安全性。然后,他們需要按照逐步更新指南進行操作,這可能很復雜。
毫無疑問,物聯網入侵的后果可能是毀滅性的。許多物聯網設備目前執行與安全或自動化相關的職責。鑒于此類功能,攻擊者不僅可以監控受感染的智能設備,還可以以使其無用的方式重新配置它們。例如,可以操縱安全攝像頭和警報系統來關閉實時饋送或禁用傳感器。如果攻擊證明成功,那么竊賊就可以輕易地進入實體店或家中。
針對物聯網設備的攻擊類型
盜竊肯定是物聯網設備受損的一個可能后果。但它不是唯一的,特別是當攻擊者決定追蹤大量智能產品時。有了這些類型的攻擊,壞人通常會追求三個目標之一:
僵尸網絡招募 - 攻擊者將易受攻擊的物聯網設備連接到稱為“僵尸網絡”的惡意網絡。當被指示時,不良參與者將使用僵尸網絡進行DDoS(分布式拒絕服務)攻擊以關閉系統或整個網絡。這樣的活動會嚴重破壞企業的可操作性。讓我們來看看現在臭名昭著的Mirai僵尸網絡的多次迭代,它已經演變成一系列惡意軟件威脅,招募易受攻擊的物聯網設備。最終結果是一個龐大的國際主機網絡,可用于發動毀滅性的DDoS攻擊,能夠擊敗企業和政府機構等目標。
設備劫持 - 惡意攻擊者可能會破壞物聯網設備,然后將其關閉以對網絡產生負面影響。在生產環境的情況下,劫持設備可以因此破壞整個設施。考慮到所有IoT設備都是通過向其提供服務與其他主機交互的網絡的一部分。只使用幾行代碼,云托管解決方案可以重新配置為向所有可用主機分發危險的惡意軟件。
登陸和擴展 - 物聯網設備既可用作網絡入口點,也可用于控制物理安全設備。這意味著成功的滲透將暴露整個網絡及其中包含的所有資源。一旦他們通過物聯網設備在網絡中立足,入侵者就可以橫向傳播到其他設備,包括計算機和服務器,以訪問敏感用戶數據,IP,憑證和機密公司數據等信息。此外,正如我所描述的那樣,當負責物理安全的設備被劫持時,攻擊者可以橫向移動到允許物理訪問安全位置的物理安全設備。示例包括門禁控制,安全攝像頭和控制門。
安全團隊必須采取額外措施來保護物聯網設備
考慮到物聯網設備已經放置在醫院中的事實,任何篡改它們都會造成人命損失。在WannaCry流行期間,一些感染勒索軟件的設備是成像護士呼叫系統,輸液泵,病人監護儀和網關。鑒于他們的漏洞以及不良行為者可以輕松利用它們,很明顯,沒有做足夠的事情來加強物聯網安全。
統計數據顯示,盡管存在這一令人擔憂的事實,但物聯網設備預計將增長到互聯網連接設備總數的很大一部分。這些智能產品的感染可能會繼續,因為設備制造商和供應商的行為沒有明顯改變。
物聯網安全問題沒有單一解決方案,因為每天都會發現新的漏洞和漏洞。僅僅修補已知錯誤是不夠的,因為并非所有攻擊都是通過網絡漏洞進行的。系統管理員需要仔細規劃和協調智能基礎架構的集成方式以及它如何適應已部署的網絡基礎架構。
根據定義和目的,物聯網設備充當網絡服務器 - 它們提供某些功能,就像常規服務器一樣,它們的工作需要進行監控。這可以通過配置必要的網絡監控解決方案來完成,以便監控可能揭示可能的網絡入侵和惡意網絡活動的可疑行為。
此外,只要有可能,請使用雙因素身份驗證以及在所有可訪問基礎架構上設置帳戶憑據的最佳安全實踐。這將大大降低暴力和字典攻擊的可能性。
簡而言之,安全團隊需要假設物聯網設備在保護自身方面本身就很差,因此您必須采取額外的步驟來保護其他網絡設備和存儲在那里的數據。