物联网 (IoT) 在数字化转型中发挥着关键作用。 但是,在许多情况下,组织意识到他们已拥有大量已在多年来逐步部署的传统 IoT 设备。 其中许多设备的设计可能并未考虑到安全性。
物联网最大的担忧之一是管理与慢慢的变多的物联网设备相关的风险。 与物联网设备相关的信息安全和隐私问题已引起全球关注,因为这些设备具备了与物理世界交互的能力。 物联网漏洞不断出现,这使得制造商在设计上强调物联网安全至关重要。
许多行业都发现并暴露了 IoT 漏洞。 这些漏洞威胁到敏感数据及人身安全。 毫无疑问,物联网是 2022 年黑客的主要目标,任何生产或使用这一些设备的组织都一定要做好准备。
物联网设备是僵尸网络构建者的着迷的目标——这些黑客会破坏数百万台设备,将它们连接到可用于犯罪活动的网络。物联网设备是僵尸网络的一个很好的候选者,因为它们的安全性很弱,并且有大量几乎相同的设备,攻击者能够正常的使用相同的策略来破坏这些设备。
攻击者能够正常的使用未受保护的端口或网络钓鱼诈骗来用恶意软件感染物联网设备,并将它们纳入可用于发起大规模网络攻击的僵尸网络。黑客能够正常的使用现成的攻击工具包,能够检测到敏感设备、穿透它们并避免检测。然后,工具包中的另一个模块指示设备代表僵尸网络所有者发起攻击或窃取信息。
威胁行为者经常在分布式拒绝服务 (DDoS) 攻击期间利用物联网僵尸网络;请参阅下面的示例攻击部分。
当黑客使用恶意软件感染物联网设备时,他们能够做的不单单是将设备加入僵尸网络。例如,攻击者可以访问设备数据并窃取其中存储的任何敏感信息。攻击者还利用物联网从设备固件中获取凭据。使用这一些凭据,攻击者可以访问公司网络或其他存储敏感数据的系统。这样,对看似无辜的设备的攻击可能会变成全面的数据泄露。
影子物联网的出现是因为 IT 管理员并不总是能够控制连接到网络的设备。具有 IP 地址的设备(例如数字助理、智能手表或打印机)经常连接到公司网络,并不总是符合安全标准。
在不了解影子物联网设备的情况下,IT 管理员无法确保硬件和软件具有基本的安全功能,并且难以监控设备上的恶意流量。当黑客入侵这些设备时,他们能够利用与公司网络的连接并提升权限来访问公司网络上的敏感信息。
自从物联网的概念诞生于二十世纪后期以来,安全专家就警告说,连接到互联网的设备将对社会构成风险。从那时起,已经公布了许多大规模的攻击,其中攻击者破坏了物联网设备,并对公共安全和企业安全造成了真正的威胁。这里有一些例子。
2010年,研究人员发现一种名为Stuxnet的病毒对伊朗的核离心机造成了物理损害。袭击开始于2006年,2009年是战役的初级阶段。恶意软件操纵了从可编程逻辑控制器(PLC)发出的命令。Stuxnet通常被认为是一种物联网攻击,是工业环境中最早针对监控和数据采集(SCADA)系统的攻击之一。
2013年,Proofpoint的研究人员发现了现在被认为是“第一个物联网僵尸网络”的东西。超过25%的僵尸网络是由智能电视、家用电器、婴儿监视器等非计算机设备组成的。此后,CrashOverride、VPNFilter和Triton等恶意软件被大范围的使用在破坏工业物联网系统。
2015 年,两名安全研究人员通过部署在车内的克莱斯勒 Uconnect 系统无线入侵了一辆吉普车,并执行了远程操作,例如更改收音机频道、打开雨刷和空调。研究人员表示,他们能够禁用休息时间,导致发动机熄火、减速或完全关闭。
2016 年,有史以来发现的最大的物联网僵尸网络之一 Mirai 通过攻击安全研究员 Brian Krebs 和欧洲托管公司 OVH 的网站开始其活动。这些攻击规模巨大——630 Gbps 和 1.1 Tbps。随后,该僵尸网络被用于攻击大型 DNS 提供商 Dyn 以及 Twitter、亚马逊、Netflix 和等知名网站。攻击者使用路由器和 IP 监控摄像头等物联网设备构建网络。
2017 年,美国食品和药物管理局 (FDA) 宣布 St. Jude Medical 制造的植入式心脏设备,包括植入活体患者体内的起搏器,容易受到攻击。出席黑帽会议的安全研究人员 Billy Rios 和 Jonathan Butts 证明了他们侵入心脏起搏器并关闭它的能力,如果黑客这样做了,就会杀死病人。
当您开始为您的组织考虑物联网安全策略时,这里有一些能改善您的安全状况的最佳实践。
安全分析基础架构可以显着减少与物联网相关的漏洞和安全问题。这需要收集、编译和分析来自多个 IoT 源的数据,将其与威胁情报相结合,并将其发送到安全运营中心 (SOC)。
当物联网数据与来自其他安全系统的数据相结合时,安全团队就有更好的机会识别和响应潜在威胁。安全分析系统能关联数据源并识别可能代表可疑行为的异常。然后,安全团队可以调查并响应不正常的情况,防止攻击者破坏企业物联网设备。
网络分段是一种能够将特定组件与其他组件隔离以提高安全性的技术。在物联网的情况下,分段能够在一定程度上帮助防止攻击者或恶意内部人员连接到物联网设备,或者可以有效的预防受感染的设备感染网络的别的部分。您可以将此技术实施到您的策略中或使用网络安全解决方案。
要开始分段工作,请创建当前使用的 IoT 设备的综合列表、它们的连接方法(VLAN 或 LAN)、它们传输数据的方式和类型,以及每个设备真正需要连接的网络上的别的设备。特别是,检查每个类别的设备要不要访问 Internet,假如没有,请禁用它。
一种细分建议是指定特定的设备类别,例如数据收集、基础设施或个人员工拥有的设备。您能够准确的通过每个 IoT 端点的连接要求创建分段策略,并采取一定的措施隔离或阻止对真正不需要它的端点的网络访问。
减少物联网设备易受攻击的另一种方法是在所有设备上强制执行完全身份验证。无论您的物联网设备具备了简单的密码身份验证,还是数字证书、生物识别或多因素身份验证 (MFA) 等更高级的措施,请使用设备上可用的最安全的身份验证,并确保您从不使用出厂默认密码。
不断扩大的物联网设备网络会产生大量数据,如果没有适当的分析,这一些数据将毫无用处。借助人工智能 (AI) 和机器学习对海量数据集做多元化的分析,使机器能够自学、保留所学知识,来提升物联网系统的能力。
作为最近的物联网趋势之一,基于AI的入侵检测系统 (IDS) 持续监控网络,收集和分析来自先前攻击的信息。他们能够根据历史数据预测攻击,并提出应对威胁的解决方案。即使发明了新的黑客技术,它们仍然可能包含以前使用的模式,这些模式能够最终靠 ML 算法实时识别。
Anomaly IDS 根据记录的正常行为检测攻击,将当前实时流量与之前记录的正常实时流量作比较。这些系统能够检测到一种新型攻击,即使出现大量误报,也得到了广泛的应用。
滥用或签名 IDS 比较当前实时流量中识别的模式与以前很多类型攻击的已知模式之间的相似性。它显示了较少的误报警报,但同时,新型攻击可以通过而不被发现。
线性判别分析 (LDA)、分类和回归树 (CART) 和随机森林等 ML 算法可用于攻击识别和分类。