物聯(lián)網(wǎng)設(shè)備成遠(yuǎn)程辦公新風(fēng)險(xiǎn)敞口 當(dāng)以零信任化解燃眉之急
截至2017 年����,聯(lián)網(wǎng)設(shè)備的數(shù)量就已經(jīng)超過了世界人口的總和�����,這是一個(gè)驚人的數(shù)據(jù)�。但事實(shí)上�����,大多數(shù)的聯(lián)網(wǎng)設(shè)備都沒有考慮到安全因素��,導(dǎo)致大量的物聯(lián)網(wǎng)(IoT)漏洞被攻擊者加以利用��。
將目光拉回到今天�����,5年過去了����,還有多少物聯(lián)網(wǎng)設(shè)備暴露在攻擊者的視線之內(nèi)?據(jù)不完全統(tǒng)計(jì)���,2020年全球約有123 億臺(tái)設(shè)備連接到互聯(lián)網(wǎng),除此以外��,還有更多遺忘在角落中的物聯(lián)網(wǎng)設(shè)備����,他們是否仍然能夠連接互聯(lián)網(wǎng)?他們是否存在安全風(fēng)險(xiǎn)?我們對(duì)此不得而知。
潛伏在地平面下的物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)
眾所周知�����,物聯(lián)網(wǎng)設(shè)備可能存在于企業(yè)�、家庭、醫(yī)院����、政府機(jī)構(gòu)以及基本上任何連接存在的地方。一份調(diào)查報(bào)告顯示���,2020年���,平均每個(gè)美國家庭在使用的物聯(lián)網(wǎng)設(shè)備超過10臺(tái)。假設(shè)美國的平均家庭有2.6人�����,人均擁有4臺(tái)設(shè)備,那么在一個(gè)擁有1000名員工的企業(yè)中�����,將有多少臺(tái)物聯(lián)網(wǎng)設(shè)備能夠訪問到企業(yè)網(wǎng)絡(luò)和業(yè)務(wù)?
爆炸式增長(zhǎng)的海量物聯(lián)網(wǎng)設(shè)備和其短暫的生命周期為物聯(lián)網(wǎng)帶來了難以把控的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)����,無論是廠家已經(jīng)停止安全更新的舊設(shè)備�����,還是代表當(dāng)前最新技術(shù)的新設(shè)備�����,都難以抵御0Day漏洞的攻擊�����,這成為了物聯(lián)網(wǎng)安全難以繞過的話題�����。
日前�����,有研究人員在用于邊緣計(jì)算的消息引擎和多協(xié)議消息總線NanoMQ中發(fā)現(xiàn)了一個(gè)0Day漏洞,而NanoMQ這一組件在各類物聯(lián)網(wǎng)設(shè)備中都扮演著實(shí)施捕獲數(shù)據(jù)的重要功能���,如智能手表�����、汽車�、火災(zāi)探測(cè)器����、患者監(jiān)測(cè)和安全系統(tǒng)的傳感器等設(shè)備中都廣泛應(yīng)用,這一漏洞的披露���,意味著超過1億臺(tái)設(shè)備都完全暴露在攻擊者眼前�����,用戶的隱私數(shù)據(jù)可以任其翻閱��。
許多公司擔(dān)心遠(yuǎn)程和混合工作結(jié)構(gòu)會(huì)增加網(wǎng)絡(luò)風(fēng)險(xiǎn)��,但事實(shí)上大規(guī)模的物聯(lián)網(wǎng)攻擊面更應(yīng)該受到關(guān)注�����。
即使是一個(gè)智能燈泡
都有可能成為攻擊入口
2021年上半年��,針對(duì)智能設(shè)備的攻擊高達(dá)到15億次����,攻擊者試圖竊取敏感數(shù)據(jù)、加密劫持設(shè)備或構(gòu)建僵尸網(wǎng)絡(luò)����,他們希望通過家庭局域網(wǎng)連接企業(yè)內(nèi)網(wǎng)進(jìn)行遠(yuǎn)程辦公的設(shè)備竊取企業(yè)資產(chǎn)�。
對(duì)企業(yè)來說,最好的勒索攻擊防御方案絕不僅僅是阻止網(wǎng)絡(luò)釣魚攻擊�,企業(yè)管理者還應(yīng)認(rèn)真考慮他們的物聯(lián)網(wǎng)生態(tài)系統(tǒng)?�;蛟S一些人認(rèn)為可以通過重啟設(shè)備來阻止劫持或鎖定設(shè)備的惡意軟件�,但是,即使你重啟一個(gè)簡(jiǎn)單的物聯(lián)網(wǎng)燈泡�,最終也可能會(huì)暴露真實(shí)的網(wǎng)絡(luò)地址。
以智能燈泡設(shè)備舉例來說,攻擊者能夠利用硬件漏洞遠(yuǎn)程接管燈泡功能�����,進(jìn)而可以更改燈泡亮度或使其打開和關(guān)閉����。燈泡的光亮的閃爍會(huì)造成一種連接錯(cuò)誤的假象。這時(shí)��,假如用戶重新啟動(dòng)燈泡��,并通過應(yīng)用程序重新連接該設(shè)備���,攻擊者就可以順利地將提前準(zhǔn)備好的攻擊代碼或惡意軟件添加到網(wǎng)絡(luò)中�����,以實(shí)現(xiàn)IP網(wǎng)絡(luò)滲透和惡意軟件傳播��。
針對(duì)物聯(lián)網(wǎng)設(shè)備
安全產(chǎn)業(yè)界都提出了哪些建議?
通常建議保護(hù)物聯(lián)網(wǎng)設(shè)備的傳統(tǒng)方法包括:
• 盡快安裝固件更新���。更新中的補(bǔ)丁有助于防止0Day攻擊。
• 經(jīng)常更改預(yù)裝的密碼�。使用包含大寫和小寫字母��、數(shù)字和符號(hào)的復(fù)雜密碼���。
• 一旦認(rèn)為設(shè)備運(yùn)行異常,請(qǐng)立即重新啟動(dòng)設(shè)備,它可能有助于擺脫現(xiàn)有的惡意軟件�。(當(dāng)心這個(gè)建議!)
• 保持對(duì)受本地虛擬專用網(wǎng)絡(luò)限制的IoT設(shè)備的訪問,這可以防止公共互聯(lián)網(wǎng)暴露。
• 使用威脅數(shù)據(jù)源來阻止來自惡意網(wǎng)絡(luò)地址的網(wǎng)絡(luò)連接����。
• 將未打補(bǔ)丁的設(shè)備保存在未經(jīng)授權(quán)的用戶無法訪問的單獨(dú)網(wǎng)絡(luò)中。理想情況下����,應(yīng)該停用、銷毀或回收無法修補(bǔ)的設(shè)備�����。
雖然其中一些技巧可能有用��,但大多數(shù)人可能忽視了這些建議�����。甚至其中一些建議還會(huì)起到相反的效果���,比如其中第三條�����,設(shè)備重啟甚至可以會(huì)引起惡意軟件感染����。
零信任架構(gòu)
或許是更有效的物聯(lián)網(wǎng)安全方案
鑒于當(dāng)今設(shè)備的快速擴(kuò)展和流動(dòng)的組織邊界����,企業(yè)的網(wǎng)絡(luò)邊界幾乎已經(jīng)不再存在,隨著更多的設(shè)備訪問的接入�,更多遠(yuǎn)程辦公訪問的接入,企業(yè)亟需重新定義自身的安全邊界���,而零信任將是一條可行的解決之道��。
例如����,零信任架構(gòu)能夠?qū)⑦吔缪由斓阶钸h(yuǎn)的一端��,無論是用戶����、設(shè)備��、應(yīng)用程序還是試圖獲得網(wǎng)絡(luò)訪問權(quán)限的API�����,在可以驗(yàn)證身份和真實(shí)性之前��,都能夠堅(jiān)決拒絕未獲信任的訪問請(qǐng)求�����。
對(duì)于已經(jīng)采用零信任方法的企業(yè)����,可以嘗試采用安全訪問服務(wù)邊緣 (SASE) 服務(wù)����。SASE是一種具有集成邊緣計(jì)算安全性的零信任模型,旨在滿足混合勞動(dòng)力和各種物聯(lián)網(wǎng)環(huán)境的需求�����。
SASE在邊緣建立云交付的安全性��,更靠近訪問公司資源的用戶和設(shè)備���?����;诜植际郊軜?gòu)的SASE專注于將各個(gè)端點(diǎn)(分支機(jī)構(gòu)�、個(gè)人用戶或單個(gè)設(shè)備)連接到服務(wù)邊緣�����,并進(jìn)一步著重于網(wǎng)絡(luò)本身固有的安全性��。
文章來源:安全419
在線咨詢
在線咨詢
0371-63319761