物聯(lián)網(wǎng)成黑客頭號攻擊目標(biāo)
物聯(lián)網(wǎng)設(shè)備的安全性存在設(shè)計(jì)上的“先天缺陷”且長期使用默認(rèn)密碼,極容易遭到黑客攻擊。此外����,隨著OT網(wǎng)絡(luò)中分配給高級物聯(lián)網(wǎng)傳感器的角色和身份迅速增加����,這些與關(guān)鍵任務(wù)系統(tǒng)緊密關(guān)聯(lián)的物聯(lián)網(wǎng)設(shè)備正在成為黑客最青睞的高價(jià)值目標(biāo)�。
根據(jù)Forrester的最新報(bào)告《2023 年物聯(lián)網(wǎng)安全狀況》����,物聯(lián)網(wǎng)設(shè)備正在成為黑客攻擊的頭號載體和目標(biāo)。
物聯(lián)網(wǎng)攻擊增速明顯快于主流漏洞
卡巴斯基ICS CERT發(fā)現(xiàn)�����,在2022年下半年�����,工業(yè)領(lǐng)域計(jì)算機(jī)中有34.3%受到攻擊影響����,僅2021年上半年�����,針對物聯(lián)網(wǎng)設(shè)備的攻擊就高達(dá)15億次�����。超過40%的OT系統(tǒng)曾阻止過惡意對象����。SonicWall Capture Labs的威脅研究人員在2022年記錄了1.123億個物聯(lián)網(wǎng)惡意軟件實(shí)例�����,比2021年增長了87%����。
資料來源:Forrester,2023年物聯(lián)網(wǎng)安全狀況
Airgap Networks首席執(zhí)行官Ritesh Agrawal觀察到����,雖然物聯(lián)網(wǎng)端點(diǎn)可能不是業(yè)務(wù)關(guān)鍵組件,但它們很容易被入侵成為惡意軟件載體����,殃及企業(yè)最有價(jià)值的系統(tǒng)和數(shù)據(jù)�。他建議企業(yè)加強(qiáng)物聯(lián)網(wǎng)端點(diǎn)安全的三個基本功:資產(chǎn)發(fā)現(xiàn)�����、微分段和身份管理�。
物聯(lián)網(wǎng)成為高價(jià)值目標(biāo)的四大原因
物聯(lián)網(wǎng)設(shè)備受到攻擊不僅是因?yàn)樗鼈內(nèi)菀坠簦彝歉邇r(jià)值目標(biāo)���。很多行業(yè)的物聯(lián)網(wǎng)設(shè)備運(yùn)行著關(guān)鍵任務(wù)�,因此受害者更容易支付贖金�。攻擊者知道�,任何工廠都無法承受長期停機(jī)的后果,因此勒索軟件組織向制造企業(yè)索要的贖金金額是其他行業(yè)目標(biāo)的兩到四倍�����。調(diào)查顯示�����,61%的攻擊嘗試和23%的勒索軟件攻擊主要針對OT系統(tǒng)��。
Forrester調(diào)查了物聯(lián)網(wǎng)設(shè)備為何成為如此高價(jià)值的目標(biāo)��,以及它們?nèi)绾伪挥脕韺M織發(fā)起更廣泛、更具破壞性的攻擊�。報(bào)告發(fā)現(xiàn)四個關(guān)鍵因素如下:
1. 物聯(lián)網(wǎng)設(shè)備的設(shè)計(jì)存在安全盲點(diǎn)。
大多數(shù)遺留的����、當(dāng)前安裝的物聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)時(shí)并未將安全性作為優(yōu)先事項(xiàng)。許多人缺乏重新刷新固件或加載新軟件代理的選項(xiàng)����。盡管有這些局限,仍然有保護(hù)物聯(lián)網(wǎng)端點(diǎn)的有效方法�����。
第一個目標(biāo)必須是消除物聯(lián)網(wǎng)傳感器和網(wǎng)絡(luò)中的盲點(diǎn)��。CrowdStrike物聯(lián)網(wǎng)安全產(chǎn)品管理總監(jiān)Shivan Mandalam在最近的一次采訪中指出:“企業(yè)必須消除與不受管理或不受支持的遺留系統(tǒng)相關(guān)的盲點(diǎn)��。通過提高IT和OT系統(tǒng)的可見性和分析能力����,安全團(tuán)隊(duì)可以在對手利用問題之前快速識別和解決問題。”
目前北美市場的主要物聯(lián)網(wǎng)安全系統(tǒng)和平臺廠商包括AirGap Networks�����、Absolute Software、Armis��、Broadcom���、Cisco�、CradlePoint�����、CrowdStrike�、Entrust、Forescout�、Fortinet、Ivanti�、JFrog和Rapid7。去年在Falcon 2022上�,CrowdStrike推出了增強(qiáng)型Falcon Insight�,包括Falcon Insight XDR和Falcon Discover for IoT,后者針對工業(yè)控制系統(tǒng)(ICS)內(nèi)部和之間的安全漏洞���。
企業(yè)網(wǎng)絡(luò)安全優(yōu)先級調(diào)查統(tǒng)計(jì)數(shù)據(jù)
資料來源:Forrester��,2023年物聯(lián)網(wǎng)安全狀況
Forrester的2022年調(diào)查數(shù)據(jù)顯示��,63%的全球高級安全決策者決定在2023年增加物聯(lián)網(wǎng)安全預(yù)算��,這表現(xiàn)為端點(diǎn)安全已經(jīng)成為企業(yè)安全預(yù)算的最高優(yōu)先級(上圖)��。
2. 長期使用管理員密碼(包括憑據(jù))很常見����。
人手不足的制造企業(yè)在物聯(lián)網(wǎng)傳感器上使用默認(rèn)管理員密碼極為常見。他們通常使用默認(rèn)設(shè)置����,因?yàn)橹圃炱髽I(yè)的IT團(tuán)隊(duì)沒有時(shí)間為每個傳感器進(jìn)行安全設(shè)置,或者壓根不知道可以這么做���。Forrester指出���,這是因?yàn)樵S多物聯(lián)網(wǎng)設(shè)備在初始化時(shí)不要求用戶設(shè)置新密碼。Forrester還指出���,管理憑據(jù)在舊設(shè)備中通常無法更改��。
因此�����,CISO���、安全團(tuán)隊(duì)����、風(fēng)險(xiǎn)管理專業(yè)人員和IT團(tuán)隊(duì)在其網(wǎng)絡(luò)上擁有大量可用已知憑據(jù)訪問的新舊設(shè)備����。
提供基于身份的物聯(lián)網(wǎng)安全解決方案的供應(yīng)商有很多,例如Armis��、Broadcom���、Cisco�、CradlePoint����、CrowdStrike、Entrust�、Forescout����、Fortinet��、Ivanti和JFrog�����。Ivanti是該領(lǐng)域的領(lǐng)導(dǎo)者����,已成功開發(fā)并推出四種物聯(lián)網(wǎng)安全解決方案:用于RBVM的Ivanti Neurons��、用于UEM的Ivanti Neurons����、用于醫(yī)療行業(yè)的Ivanti Neurons,它支持醫(yī)療物聯(lián)網(wǎng)(IoMT)���,以及Ivanti Neurons for IIoT(收購自Wavelink)����,用于保護(hù)工業(yè)物聯(lián)網(wǎng)(IIoT)網(wǎng)絡(luò)����。
“根據(jù)IBM的數(shù)據(jù)����,物聯(lián)網(wǎng)設(shè)備正成為黑客的熱門目標(biāo)��。2021年�,物聯(lián)網(wǎng)攻擊占全球惡意軟件攻擊的12%以上,遠(yuǎn)高于2019年的1%�����,”Ivanti首席產(chǎn)品官Srinivas Mukkamala博士解釋道:“為了解決這個問題���,企業(yè)必須實(shí)施統(tǒng)一的端點(diǎn)管理(UEM)解決方案�����,該解決方案可以發(fā)現(xiàn)組織網(wǎng)絡(luò)上的所有資產(chǎn)——甚至包括是休息室中支持Wi-Fi聯(lián)網(wǎng)的烤面包機(jī)���。”
“UEM和基于風(fēng)險(xiǎn)的漏洞管理解決方案的結(jié)合對于實(shí)現(xiàn)無縫、主動的風(fēng)險(xiǎn)響應(yīng)以修復(fù)組織環(huán)境中所有設(shè)備和操作系統(tǒng)上被積極利用的漏洞至關(guān)重要���。”Mukkamala強(qiáng)調(diào)�。
3. 幾乎所有醫(yī)療��、服務(wù)和制造企業(yè)都依賴傳統(tǒng)的物聯(lián)網(wǎng)傳感器��。
從醫(yī)院科室和病房到車間�����,傳統(tǒng)的物聯(lián)網(wǎng)傳感器是這些企業(yè)獲取運(yùn)營所需實(shí)時(shí)數(shù)據(jù)的支柱�����。同時(shí)這兩個行業(yè)又都是高價(jià)值目標(biāo)����,攻擊者首先會攻擊其物聯(lián)網(wǎng)網(wǎng)絡(luò)以啟動跨網(wǎng)絡(luò)的橫向移動。73%的聯(lián)網(wǎng)IV泵是可破解的�,50%的IP語音(VoIP)系統(tǒng)也是如此;總體而言,如今一家典型醫(yī)院中50%的聯(lián)網(wǎng)設(shè)備都存在嚴(yán)重風(fēng)險(xiǎn)���。
Forrester指出��,造成這些漏洞的主要原因之一是設(shè)備運(yùn)行著失去技術(shù)支持的老舊操作系統(tǒng)���,無法保護(hù)或更新這些操作系統(tǒng)。如果攻擊者入侵了設(shè)備并且無法修補(bǔ)�,會增加設(shè)備“變磚”的風(fēng)險(xiǎn)���。
4. IoT的問題是I,而不是T�����。
物聯(lián)網(wǎng)設(shè)備一旦接入互聯(lián)網(wǎng)就存在安全風(fēng)險(xiǎn)�����。一位匿名網(wǎng)絡(luò)安全供應(yīng)商透露���,他們的一個制造業(yè)大客戶發(fā)現(xiàn)有人從外部頻繁掃描其內(nèi)部一個IP地址�。
調(diào)查發(fā)現(xiàn)該IP地址屬于該企業(yè)大堂的安全攝像頭���,攻擊者正在監(jiān)控(員工)流量模式����,研究如何從上班的員工人流中混入企業(yè)���,然后物理訪問內(nèi)部網(wǎng)絡(luò)并將惡意傳感器植入網(wǎng)絡(luò)��。Forrester的調(diào)查顯示���,物聯(lián)網(wǎng)設(shè)備已成為黑客命令和控制攻擊的管道����,或者成為僵尸網(wǎng)絡(luò)的一部分��,例如眾所周知的Marai僵尸網(wǎng)絡(luò)����。
物聯(lián)網(wǎng)攻擊的真實(shí)案例
制造業(yè)企業(yè)普遍反映����,他們不確定如何保護(hù)傳統(tǒng)物聯(lián)網(wǎng)設(shè)備及其可編程邏輯控制器(PLC)。PLC提供了運(yùn)行其業(yè)務(wù)所需的豐富的實(shí)時(shí)數(shù)據(jù)流�����。IoT和PLC的設(shè)計(jì)目的是為了易于集成����,而不是安全性,這使得任何沒有全職網(wǎng)絡(luò)安全人員的制造企業(yè)難以應(yīng)對��。
一家位于美國中西部的汽車零部件制造商遭到過大規(guī)模勒索軟件攻擊�,該攻擊始于其網(wǎng)絡(luò)上未受保護(hù)的物聯(lián)網(wǎng)傳感器和攝像頭遭到破壞�。攻擊者使用R4IoT勒索軟件的變體初始滲透到該公司用于自動化HVAC��、電力和設(shè)備預(yù)防性維護(hù)的物聯(lián)網(wǎng)���、視頻系統(tǒng)和PLC組件中�。
進(jìn)入公司網(wǎng)絡(luò)后�,攻擊者橫向移動并用勒索軟件感染了所有基于Windows的系統(tǒng)。攻擊者還獲得了管理員權(quán)限并禁用了Windows防火墻和第三方防火墻��,然后通過網(wǎng)絡(luò)將R4IoT可執(zhí)行文件安裝到機(jī)器上���。
這次攻擊導(dǎo)致該制造企業(yè)無法監(jiān)控機(jī)器的熱量�、壓力����、運(yùn)行狀況和循環(huán)時(shí)間。勒索軟件還凍結(jié)并加密了所有數(shù)據(jù)文件���,使它們無法使用�����。更糟糕的是����,攻擊者威脅說,如果不支付贖金��,他們將在24小時(shí)內(nèi)將受害企業(yè)的所有定價(jià)�、客戶和生產(chǎn)數(shù)據(jù)發(fā)布到暗網(wǎng)上。
該制造商別無選擇��,只能支付贖金����,因?yàn)槠渌诘貐^(qū)的網(wǎng)絡(luò)安全人才并不知道如何應(yīng)對攻擊���。攻擊者也知道����,成千上萬的制造企業(yè)沒有專業(yè)的網(wǎng)絡(luò)安全團(tuán)隊(duì)來應(yīng)對這種威脅����,也不知道如何應(yīng)對。這導(dǎo)致制造業(yè)成為物聯(lián)網(wǎng)攻擊受災(zāi)最嚴(yán)重的行業(yè)�。而物聯(lián)網(wǎng)設(shè)備成為黑客首選威脅載體的原因也很簡單,因?yàn)樗鼈儧]有受到保護(hù)。
來源:GoUpSec
在線咨詢
在線咨詢
0371-63319761